Autor Tema: Una peor para Intel  (Leído 1699 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado KILLERJC

  • Colaborador
  • DsPIC33
  • *****
  • Mensajes: 8242
Una peor para Intel
« en: 16 de Mayo de 2019, 22:19:34 »
Tras la pesadilla creada por Spectre, Meltdown y Foreshadow, ahora nos llega 'ZombieLoad', una recién descubierta vulnerabilidad que afecta, nuevamente, a los procesadores Intel. ZombieLoad explota un fallo en la ejecución especulativa, lo que hace que un atacante pueda tener acceso y robar información confidencial directamente del procesador.

De acuerdo a los investigadores, ZombieLoad puede afectar a casi todos los procesadores Intel fabricados desde 2011, y su diseño es muy similar a lo que vimos con Spectre y Meltdown, que aprovechaban un fallo que está presente en el diseño de la mayoría de los procesadores modernos.

En ingles, el blog explicandolo (tecnico):
https://www.cyberus-technology.de/posts/2019-05-14-zombieload.html

Paper:
https://zombieloadattack.com/zombieload.pdf

Afecta al microprocesador, por lo tanto no hay sistema operativo, hypervisor o gestor de contenedores que lo puedan parar.
Del paper:


Citar
ZombieLoad enables an attacker to leak recently loaded values used by the current or sibling logical CPU. We show that ZombieLoad allows leaking across user-space processes, CPU protection rings, virtual machines, and SGX enclaves.

We demonstrated the immense attack potential by monitoring browser behaviour, extracting AES keys, establishing cross-VM covert channels or recovering SGX sealing keys.

Finally, we conclude that disabling hyperthreading is the only possible workaround to mitigate ZombieLoad on current processors.
« Última modificación: 16 de Mayo de 2019, 22:25:04 por KILLERJC »

Desconectado juaperser1

  • Colaborador
  • DsPIC30
  • *****
  • Mensajes: 2976
Re:Una peor para Intel
« Respuesta #1 en: 17 de Mayo de 2019, 02:49:17 »
y ademas para arreglarlo, el rendimiento del procesador baja hasta un 20%....

al final va ser mejor tener un pentiun IV que un i7 6800  :D :D
Visita mi canal para aprender sobre electrónica y programación:

https://www.youtube.com/channel/UCxOYHcAMLCVEtZEvGgPQ6Vw

Desconectado AcoranTf

  • Colaborador
  • PIC24H
  • *****
  • Mensajes: 1093
Re:Una peor para Intel
« Respuesta #2 en: 17 de Mayo de 2019, 08:48:05 »
y ademas para arreglarlo, el rendimiento del procesador baja hasta un 20%....

al final va ser mejor tener un pentiun IV que un i7 6800  :D :D

Creo que voy a recuperar mi spectrum plus...  :D :D

Pensando un poco se me ocurre algo, que no se si funcionara, pero es posible que si.
No entiendo muy bien el funcionamiento de esta vulnerabilidad, pero si intercalamos entre cualquier ordenador con uP Intel e internet un cortafuegos, o incluso un proxi, podria solucionar el problema?.
« Última modificación: 17 de Mayo de 2019, 09:03:25 por AcoranTf »

Desconectado KILLERJC

  • Colaborador
  • DsPIC33
  • *****
  • Mensajes: 8242
Re:Una peor para Intel
« Respuesta #3 en: 17 de Mayo de 2019, 10:28:31 »
No entiendo muy bien el funcionamiento de esta vulnerabilidad.

Basicamente es en error por hardware el cual permite obtener informacion de otros procesos (mejor dicho nucleos) que normalmente deberían estar protegidos por el mismo procesador

El problema esta en que vos tenes varios niveles de seguridad... Asi como en los micros ARM (COrtex-M) tenes el modo supervisor y el modo usuario, los programas de usuario no pueden acceder a los espacios del supervisor o instrucciones especificas del modo supervisor. En los micros de intel se denominan a estos modos Ring, van del 0 al 3.

https://en.wikipedia.org/wiki/Protection_ring

Una aplicación que corra sin privilegios podría obtener esta información (del SO, de otros procesos, crack de llaves AES según mostraron en el paper), el problema esta en que ningún software lo puede parar, porque el problema esta en el funcionamiento del mismo microprocesador y no es capacidad del SO decidir si usarlo o no, en este caso, la única alternativa es deshabilitar esa "ventaja" que poseia el micro, que es el Hyper-Threading, logrando esa baja de rendimiento.

Por ende, si no lo corres con sudo en Linux o si no tiene permisos de administrador en Windows, seguis teniendo problemas.

Citar
internet un cortafuegos, o incluso un proxi, podria solucionar el problema?.

La idea es no ejecutar algún programa que se aproveche de esta vulnerabilidad. El problema esta en que muchas veces uno no ejecuta directamente esto, lo hace indirectamente (un programa que siempre usas, un instalador de otra cosa, etc).
Tampoco el vector puede ser únicamente por internet, pendrives es vector.

Y por supuesto todavia no se hablo de nada de AMD,, ya que se baso especialmente en el HT de intel.
« Última modificación: 17 de Mayo de 2019, 10:37:07 por KILLERJC »

Desconectado AcoranTf

  • Colaborador
  • PIC24H
  • *****
  • Mensajes: 1093
Re:Una peor para Intel
« Respuesta #4 en: 17 de Mayo de 2019, 18:13:52 »
Gracias por la respuesta KillerJc.
Otra pregunta, ¿Cual seria el procedimiento para cancelar el HT y de ese modo hacer totalmente seguro un PC, aun a costa de la citada perdida de prestaciones?.
Y una mas, los micros que no sean del tipo "CORE", como el Atom, ¿estan exentos de estos problemas?.

Saludos.

Desconectado KILLERJC

  • Colaborador
  • DsPIC33
  • *****
  • Mensajes: 8242
Re:Una peor para Intel
« Respuesta #5 en: 18 de Mayo de 2019, 06:35:19 »
Citar
Otra pregunta, ¿Cual seria el procedimiento para cancelar el HT y de ese modo hacer totalmente seguro un PC, aun a costa de la citada perdida de prestaciones?.

Mediante la BIOS, pero yo me haria problemas :P, yo lo dejaria tal como esta si es una PC de casa. Al menos a mi, seguro que me ven la situación financiera y les da lastima y tal ves me dan algo de lo robado de otro  :D jejeje

Citar
Y una mas, los micros que no sean del tipo "CORE", como el Atom, ¿estan exentos de estos problemas?.

Segun la pagina de Wikipedia de HT:

It first appeared in February 2002 on Xeon server processors and in November 2002 on Pentium 4 desktop CPUs.[4] Later, Intel included this technology in Itanium, Atom, and Core 'i' Series CPUs, among others.

Desconectado AcoranTf

  • Colaborador
  • PIC24H
  • *****
  • Mensajes: 1093
Re:Una peor para Intel
« Respuesta #6 en: 18 de Mayo de 2019, 07:23:21 »
Gracias de nuevo KillerJC.
Y yo que estaba pensando sortear el problema usando mi viejo portatil con  Atom, bueno pues seguire con el no tan viejo Core Duo.
Respecto a lo de la situacion financiera, creo que si ven la mia les pasara algo parecido,  :D :D. Aunque de esos no se puede uno fiar...

Saludos.

Desconectado xocas

  • Administrador
  • PIC24H
  • *******
  • Mensajes: 2312
Re:Una peor para Intel
« Respuesta #7 en: 18 de Mayo de 2019, 15:10:30 »
Por lo que leí tiene bastantes similitudes con Meltdown, aunque entiendo que ZombieLoad no toma los datos de la caché de la CPU si no que toma datos al vuelo de los diferentes buffers internos de ésta.

Ante una toma de decisiones la CPU utiliza sus capacidades de procesamiento paralelo y abre diferentes hilos tratando de adelantarse al camino que se tomará, especula con las posibles opciones. El problema es que sólo la opción en curso es supervisada y obligada a cumplir con las políticas del sistema, dejando al resto de los hilos sin protección alguna.

Trataré de poner un ejemplo:
Imaginemos que en mis compras en internet suelo utilizar tres métodos de pago como podrían ser paypal, tarjeta o transferencia bancaria.
Pués bien, cuando inicio un proceso de compra la ejecución especulativa llamará a los tres y tendrá sus datos en diferentes hilos y caché a la espera de mi decisión, y recordemos que solamente a la seleccionada se le aplicarán las políticas del sistema.
Se demostró que mediante un código javascript alojado en una página web era posible acceder a los datos en caché de las otras dos sin trabas de autenticación. Es más, también se demostró que era posible modificar los datos en caché para engañar al procesador y acceder a áreas protegidas del sistema.

Creo -creo- que la forma que se utilizó para parchear Meltdown fue la de instaurar las políticas de seguridad y sistema también en los hilos no activos, con el correspondiente aumento de trabajo para el procesador y su lógica bajada de rendimiento, que en ningún caso alcanzó los niveles del 20% que entonces se anunciaban y ahora de nuevo se reiteran en algunos medios.

Yo instalé los parches de Meltdown y Spectre en su día y no noté cambio alguno de rendimiento en el uso habitual de mi PC.
Hace unos días se actualizó Windows y uno de los parches instalados es para ZombieLoad (MDS attack), aunque desde Power Shell veo que no está corregida la vulnerabilidad o al menos no en su totalidad.

Habrá que esperar nuevas actualizaciones, ya sea de Intel o de Microsoft, pero la cosa no pinta bien según mi opinión. Si toma los datos al vuelo en buffers de procesos inevitables no veo que solución puede darse mediante un parche y no me extraña que estén aconsejando deshabilitar HyperThreading.

Desconectado xocas

  • Administrador
  • PIC24H
  • *******
  • Mensajes: 2312
Re:Una peor para Intel
« Respuesta #8 en: 18 de Mayo de 2019, 15:11:26 »
Personalmente no tengo la menor intención de deshabilitar HyperThreading porque considero que ZombieLoad es una de tantas vulnerabilidades existentes y ni siquiera la doy como probable en un entorno de usuario doméstico. Meltdown y Spectre (+ sus 7 variantes, que yo sepa) tienen año y medio y no veo que hayan tenido una incidencia que justificara siquiera una noticia en los medios de seguridad, y eso estando convencido de que buena parte de los usuarios no se han molestado en parchearlos durante todo este tiempo.

Hay un montón de formas de obtener los datos de usuarios domésticos, con eficacia demostrada y sin la necesidad de poseer grandes conocimientos. Salvo que mañana se publique un exploit lo suficientemente automatizado para que esta vulnerabilidad pase a ser de un riesgo mayor que otras mi rutina continuará como hasta ahora.

Sí me parece una muy mala noticia para entornos de servidor, centros de bases de datos y en general todos aquellos servicios con sistemas virtualizados y/o donde la necesidad de ejecutar procesamiento en paralelo es vital. Un ataque exitoso en uno de estes casos dejaría todo el sistema al alcance del atacante y de poco o nada servirían todas las capas de protección hardware/software instaladas. Una vulnerabilidad de este tipo es una gran merdé para quienes han invertido mucho tiempo y dinero en securizar sus sistemas y ahora se encuentran con que todo eso podría no servirles de nada...

***

Citar
¿Cual seria el procedimiento para cancelar el HT y de ese modo hacer totalmente seguro un PC

Ummmm... ¿tenerlo apagado? No, en serio, no hay ningún modo, no hay un 100% de seguridad en ningún caso.

Mi actitud en este tema es tratar de reducir al mínimo las posibilidades de éxito de un hipotético ataque(1) y a la vez reducir al mínimo posible el daño que éste pudiera causar(2).

Por si fuera de interés para alguien, os comento que en mi PC con Win10 los puntos que considero de riesgo son internet, la red local y los puertos usb. Las medidas tomadas son:

(1)
- SO siempre actualizado. Buena parte de las veces que veo noticias sobre tal o cual problema de seguridad en Windows que afecta a no sé cuántos resulta que ya Microsoft había solucionado el tema y era suficiente con estar actualizado para que tal problema no te afectara. Aún así sigo viendo gente relacionada con la informática aconsejando, en blogs y canales de youtube, no actualizar ??? No lo entiendo.
Recomiendo conocimientos básicos sobre directivas de seguridad (gestión de políticas: secpol.msc y gpedit.msc) y Servicios (en Herramientas administrativas) sobre todo si hay más de una persona utilizando la misma máquina.

- Solución de seguridad integral (antivirus + firewall). En mi caso utilizo Eset Internet Security porque lo encuentro muy ligero y con un buen precio pero puede ser cualquier otro similar. Lo considero imprescindible para controlar la red local, puertos usb  y, por supuesto, internet.
No recomiendo el uso de antivirus gratuitos porque no conozco ninguno que se actualice con la frecuencia deseable y porque su sistema de detección suele estar basado en el uso de firmas, algo que está sobradamente superado desde hace tiempo.

- Navegador (y gestor de correo si se da el caso) siempre actualizado. Recomiendo el uso de los complementos (o extensiones) McAfee® WebAdvisor y uBlock Origin (o Privacy Badger) para una navegación más segura. Tengo algunos más para cosas muy puntuales pero eso es básicamente porque mi navegación no siempre es muy ortodoxa.

- Tengo varios pendrives usb pero solamente uno de ellos sale de casa, por lo general para servicios de impresión de fotografías o documentos.

A pesar de todas las medidas que suelo tomar hace un par de semanas hubiera caído en un caso de phising si McAfee® WebAdvisor no lo impidiera. Por eso:

(2)
Backup regular de contenido que considero importante sí o sí

un saludo


 

anything