Spectre meltdown

La compañía Intel está ya recibiendo demandas judiciales por los fallos Meltdown y Spectre, descubiertos recientemente en la gran mayoría de microprocesadores pero que afectan especialmente a los de Intel. Diversas empresas piden compensaciones a la veterana compañía por los problemas que conllevará mitigar estas amenazas, especialmente la bajada de rendimiento de los sistemas.

Meltdown y Spectre vienen de fallos de diseño en los chips y su principal riesgo es el robo de información. Meltdown afecta a los microprocesadores Intel fabricados a partir de 1995, mientras que Spectre afecta a la gran mayoría de microprocesadores del mercado, en mayor o menor medida, incluídas las tarjetas gráficas Nvidia. Meltdown permite a un atacante local robar datos de la memoria del sistema, mientras que Spectre permite robar datos de cualquier aplicación, de forma remota.

Diversas pruebas de concepto han demostrado que, explotando estos fallos de seguridad informática, atacantes avanzados podrían conseguir desde contraseñas hasta imágenes, documentos o “cookies”. Las empresas que manejan información sensible serían por tanto las que estarían más en riesgo, y no solo a nivel de portátiles o servidores, sino de cualquier dispositivo que tenga un microprocesador, como los teléfonos, tablets, centralitas, cámaras de vigilancia, controles industriales, domótica, incluso coches.

¿Es peor Spectre o Meltdown?

Los ataques que posibilita Spectre son bastante más complejos de llevar a cabo que los de Meltdown, pero es también más complejo defenderse de Spectre. La solución definitiva para este problema es cambiar los procesadores, pero al ser una solución cara es poco probable que se aplique masivamente. Los principales sistemas operativos ya han repartido, mediante actualizaciones automáticas, mitigaciones de software para ambos fallos, aunque alguna ha dado problemas, como el parche de Windows que hace dos días “congeló” todos los ordenadores con chips AMD, por lo que se recomienda instalar con prudencia.

Los productores de “software” avisan que los parches no cierran totalmente la posibilidad de un ataque, solo lo reducen. Además, estos parches rebajan el rendimiento de la máquina entre un 5 y un 30%, siendo el sistema operativo Windows de los más afectados. Google ha anunciado una solución que podría evitar esta ralentización, pero por el momento Microsoft ya ha admitido públicamente que los parches tendrán una impacto en el rendimiento de Windows.

Los ordenadores fabricados antes de 2015 sufrirán las mayores ralentizaciones en Windows, así como los Windows Server, cuyo rendimiento caerá de forma importante y será preciso analizar si vale la pena actualizar, evaluando el riesgo y el equilibro de la compensación de seguridad frente al rendimiento. En cuanto a Windows 10, la desaceleración será sólo de un dígito  en los ordenadores comprados de 2016 para adelante, siendo más importante en los más antiguos. También Windows 8 y Windows 7 con procesadores antiguos lo notarán.

Esta afectación en el rendimiento, así como las tareas a realizar para mitigar los fallos a nivel de software y de hardware, es un misil directo al correcto funcionamiento y rentabilidad de los servicios en la nube y de alquiler de servidores, aunque Amazon, Microsoft y Google han expresado públicamente que no habrá problemas para sus clientes. Las demandas contra Intel no han venido de ellos, a quienes posiblemente Intel ofrecerá compensaciones en forma de importantes rebajas en sus productos.

Más allá de Spectre y Meltdown

Las demandas, colectivas, presentadas en California, Oregón e Indiana, piden compensaciones por la ralentización de los ordenadores que causará la aplicación de los parches. Las tres demandas citan también la demora de Intel en divulgar públicamente estos fallos, dado que está demostrado que los conocía desde junio del año pasado, incluso es público que su CEO vendió acciones al tener noticia de los mismos. No se conoce aún la afectación en servicios financieros ni otros sistemas. Los afectados están aún cerrando agujeros a toda prisa. Es de esperar que cuando se vuelva a la normalidad se pidan más responsabilidades.


eBook Disaster Recovery BLOG

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.