No corras a solucionar Meltdown y Spectre

Como es bien sabido investigadores de varios centros universitarios y del grupo “Parche cero” de Google revelaron en los primeros días del año que microprocesadores modernos sufren de una seria vulnerabilidad que permite acceso a datos no autorizados.

La complejidad de la vulnerabilidad es alta y requiere buenos conocimientos de arquitectura de computadores para entenderla. Por fortuna, algunos medios la han explicado en términos simples. Desafortunadamente, la alta exposición de los medios también ha creado cierto sentimiento de pánico que puede ocasionar problemas sino se analiza las consecuencias de los parches para Meltdown/Spectre.

El título de hoy puede sonar extraño viniendo de un profesional de seguridad informática, pero los reportes del impacto al rendimiento de microprocesadores causados por los parches no paran de circular en la red. En algunos casos el impacto puede ser severo.

La razón de este impacto se debe a como los microprocesadores modernos ejecutan sus tareas, de manera casi paralela y anticipativa (Sin esperar a saber si algunos datos se necesitan o no el procesador ejecuta algunas tareas con anticipación). Para “solucionar” la vulnerabilidad, los parches eliminan o limitan la “ejecución anticipativa”, y esto puede disminuir el rendimiento de los computadores.

De acuerdo a Microsoft, sus parches de seguridad afectan de manera negativa el rendimiento en algunos procesadores.  En los computadores más nuevos y equipos de usuario este puede no ser un problema, pero Microsoft indica que el impacto es perceptible en servidores y esto puede ser un serio problema en muchas aplicaciones. En algunos procesadores, el parche parece generar serios problemas de estabilidad e incluso causa el tan temido pantallazo de la muerte (la muy conocida pantalla azul cuando tu computador no responde para nada).  

El impacto al computador también depende del sistema operativo. Windows 10 parece responder mejor a los parches que Windows 8 y Windows 7. Adicionalmente, algunos antivirus rechazan el parche de seguridad de Microsoft lo cual ha generado una cadena de validación de software no solo a nivel de sistema operativo sino de aplicaciones.

¿Qué hacer entonces? La respuesta, de nuevo, es: los directivos de informática deben analizar la situación y sopesar los pasos a seguir. En otras palabras, deben analizar el riesgo. Cada situación es independiente y cada empresa tendrá diferentes soluciones.

Por ejemplo, si una empresa tiene un centro de llamadas que usa escritorio virtual deberá revisar si usa servidores relativamente nuevos o no. Uso este caso porque un servidor de escritorio virtual (i.e. Citrix) es altamente sensible al rendimiento de sus procesadores y el parche de Microsoft impactaría negativamente la operación. Como la mayoría de centros de llamadas calculan su costo por minuto, una desmejora en la velocidad del servicio tiene impactos financieros fácilmente medibles que no serían bienvenidos por los ejecutivos de la operación.

Si el servidor está protegido y aislado en una zona con listas restrictivas de acceso de usuario y software, el contraargumento (y de nuevo este es un caso hipotético) sería que los controles existentes compensan la falta del parche de seguridad.

¿Qué hacer? Nadie conoce mejor el ambiente informático de una empresa que su propio departamento de sistemas o informática. No existe una receta única sino una solución que depende del ambiente y procesos particulares de una organización.

La mejor respuesta la da el propio Microsoft (la traducción es mía): “…y es por esta razón que se debe ser cuidadoso al evaluar el riesgo de código no seguro en cada instancia de un servidor Windows, y hacer un balance de la seguridad versus el rendimiento de su ambiente”.

Nunca dejes tu laptop solo

Para nosotros los latinoamericanos este parece un consejo de sobra, o eso creemos, porque los amigos de lo ajeno siempre están atentos para tomar ventaja de cualquier descuido. Sin embargo, aquellos familiarizados con técnicas de ingeniería social saben muy bien que puedes tener tu laptop a tu lado y aun así ser víctimas de otros ataques.

La compañía F-Secure anunció que descubrió una vulnerabilidad en el sistema de administración remota de Intel AMT (por sus siglas en inglés Active Management Technology) que permitiría burlar las claves de acceso al BIOS de un laptop e instalar un backdoor. Los procesadores con Intel V-Pro y algunos Xeon parecen ser los más susceptibles a esta vulnerabilidad.

De acuerdo a F-Secure, esta vulnerabilidad no está relacionada con Meltdown/Spectre. Aunque la vulnerabilidad requiere acceso físico al laptop, la rapidez con que se puede realizar el ataque es preocupante. Un ataque de ingeniería social puede distraer a la víctima momentáneamente mientras un segundo sujeto compromete al equipo. Ejemplos donde esta situación puede suceder incluye los vuelos (¿Quién se roba un laptop en un avión?), conferencias o cualquier Starbucks.

Mientras que una clave en el BIOS de un equipo usualmente previene acceso a su configuración, la clave no previene acceso desautorizado a la configuración de AMT lo que permite al atacante reconfigurar AMT y habilitar explotación remota si la clave no ha sido cambiada (Usualmente los departamentos de sistemas solo cambian la clave de BIOS no la de AMT). Una vez existe acceso a AMT, el atacante puede configurar el laptop para permitir acceso remoto sin el conocimiento de su legítimo dueño. Una condición necesaria para que el acceso remoto funcione es que la víctima y el atacante tienen que estar en la misma red, situación muy frecuente en estos días.

Muchas compañías tienen sus laptops con disco duros encriptados, pero esa defensa no es útil en esta situación porque AMT actúa al nivel del BIOS. Una vez el usuario autorizado se conecta al equipo, el atacante puede observar toda la actividad que realiza el usuario con total desconocimiento del mismo. AMT realiza todas sus comunicaciones vía SSL, y esto previene que los equipos de respuesta a incidentes (SIRT) puedan detectar anomalías en el tráfico.

Al parecer existe un paliativo y es que algunas organizaciones han deshabilitado el servicio Windows LMS por causa de la vulnerabilidad CVE-2017-5698. Aunque AMT necesita de este servicio para la administración remota, no es claro si es posible tomar ventaja de la vulnerabilidad o no sin el servicio.  

¿Qué hacer? Las organizaciones deben evaluar la susceptibilidad de sus laptops a esta vulnerabilidad (hacer un análisis de riesgo ¿recuerdan?) y actuar de acuerdo a las recomendaciones de la evaluación. Realizar cambios en configuraciones del BIOS puede ser una pesadilla logística y tomará un buen tiempo actualizar todos los equipos con configuraciones seguras de AMT (o deshabilitar totalmente la función).

Mientras tanto no dejes tu laptop solo.

Un año difícil

El 2018 apenas inicia, pero las consecuencias y el trabajo a realizar para mitigar vulnerabilidades públicas continua de manera inexorable.

Y no es de sorprender que este sea el caso, el año 2017 fue difícil y los profesionales de seguridad presenciaron el ascenso de ransomware más poderoso y versátil. A principios del 2017 no solo mencioné como el ransomware atacaba y evolucionaba, sino también como los administradores de sistemas de información y los ejecutivos del área comparten la responsabilidad cuando hay fallas en las defensas informáticas.

Los daños causados por ataques en el 2017 fueron tan altos que la BBC calificó el año como el ciber - armagedón. Esta referencia bíblica no es exagerada, fueron muchos las empresas e individuos que sufrieron altas pérdidas económicas causados por hackers y otros delincuentes del mundo virtual. Este costo financiero ya no puede ser considerado un campanazo de alerta sino el anuncio final de la llegada de organizaciones con intereses financieros e ingentes recursos que les permiten atacar a blancos alrededor del mundo.

Como enfrentar esta situación y prevenir o al menos minimizar los daños causados por la explotación de vulnerabilidades no es imposible. Actuar a la loca tolondra y enviar técnicos a solucionar problemas sin antes realizar un juicioso análisis es un uso ineficiente de recursos y tiempo que las organizaciones modernas no tienen el lujo de desperdiciar.

A riesgo de sonar reiterativo, un adecuado análisis de riesgo es el primer paso que las organizaciones y sus ejecutivos deben tomar. Hay mucho en juego, no solo hay pérdida de información sino de trabajos y la preciosa privacidad de muchos ciudadanos que ameritan la profesionalización de la seguridad informática. Esta es la nueva realidad que los ejecutivos deben tener presente si quieren que sus compañías sigan siendo competitivas en el mundo de hoy.