Las vulnerabilidades en procesadores (Intel, AMD y ARM) conocidas como Meltdown y Spectre, tienen en vilo a la comunidad tecnológica mundial porque pueden afectar a la seguridad de centenares de millones de dispositivos, ordenadores personales, consolas y smartphones con chips de distintos fabricantes y bajo los principales sistemas operativos comerciales, Windows, Mac y Linux.
Aunque estas vulnerabilidades en procesadores, que potencialmente pueden disminuir la seguridad de aplicaciones y sistemas, eran conocidas desde hace meses en ámbitos de seguridad y los principales afectados estaban trabajando con fabricantes y proveedores en una solución global con actualizaciones de software y firmware, la llegada de distintas informaciones (que Intel califica como inexactas) sobre su parcheo e impacto ha hecho saltar todas las alarmas.
Aunque no se conocen hasta la fecha exploits externos que aprovechen estas vulnerabilidades y los proveedores de sistemas operativos, fabricantes de equipos y proveedores de Cloud están preparando actualizaciones o ya las han publicado con el fin de mitigar ataques bajo Meltdown (Spectre aún no tiene solución pública) el gran problema es que además del ámbito de la seguridad estas vulnerabilidades en procesadores también terminará afectando al propio rendimiento de los chips.
Seguridad, pero también rendimiento
Para entender el problema de rendimiento al que podemos enfrentarnos, debemos comprender cual es la solución vía software que están proporcionando los proveedores para mitigar los ataques bajo estas vulnerabilidades y que tienen que ver con el propio funcionamiento de los chips. Los procesadores Intel (y también los de otros fabricantes compatibles) ganan rendimiento con una arquitectura que intenta “anticiparse” a las operaciones que va a realizar el código que hace funcionar el software.
Los procesadores no separan por completo los procesos clave que tienen acceso al kernel del sistema operativo de aquellos con privilegios bajos y de poca confianza (como los de muchas aplicaciones), por lo que un atacante podría aprovechar esta función para que el procesador le anticipe datos que no debería gracias a la ejecución especulativa y conseguir cualquier dato del equipo en cuestión.
Intel niega que se trata de un “error” o un “defecto” de diseño en sus chips, pero solucionar esta vulnerabilidad vía software (al menos para Meltdown) implicará necesariamente separar los procesos del usuario de la memoria del kernel y con ello variar el funcionamiento programado del procesador y en definitiva, afectar en mayor o menor grado al rendimiento. ¿Cuánto?
Intel ha publicado una página web dedicada a estas incidencias de seguridad con un interesante muestrario de «preguntas frecuentes». En la relativa a este tema reconoce abiertamente que el rendimiento se verá afectado aunque dependerá de la plataforma y equipos:
«El rendimiento en algunas cargas de trabajo o puntos de referencia puede verse afectado y pueden variar dependiendo de la configuración del microprocesador y la plataforma (hardware y software). Mientras que algunas cargas de trabajo especializadas pueden observar un impacto notable en el rendimiento, para la mayoría de usuarios cualquier impacto será modesto»
¿Tendremos que reemplazar los procesadores?
En referencia a este aspecto, CERT (Computer Emergency Response Team), el centro de respuesta a incidentes de seguridad en tecnologías de la información y referente absoluto en ciberseguridad, ha emitido unas declaraciones sobre el particular que han debido hacer saltar las alarmas en todo el planeta:
«Debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar de el software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada«
Si a ello unimos la posible pérdida de rendimiento derivado de las soluciones de seguridad que se implementen, que reconoce la misma Intel y que medios externos elevan hasta en un 30%, parece evidente que el mundo tecnológico está envuelto en un problema de consecuencias incalculables.
Cambiar el procesador de un equipo implica en la mayoría de las ocasiones cambiar también la placa base y eventualmente memoria RAM. Es decir, medio equipo. Si en el caso de un consumidor de a pie no creemos que la situación llegue hasta ese extremo, en ámbitos profesionales, corporativos y gubernamentales la situación es distinta y lo mismo podemos decir de centros de datos con cargas intensivas de trabajo de los procesadores.
Y cuidado porque no se trata únicamente de ordenadores personales. Si Meltdown parece afectar (se estudia el resto de proveedores) únicamente a procesadores Intel, Spectre afecta también a AMD y ARM, por lo que varios medios extienden la problemática a móviles inteligentes, consolas de videojuegos y otros dispositivos.
El caso es grave y le queda recorrido. Primero para mitigar las vulnerabilidades y después para determinar su impacto en rendimiento. Por supuesto, el canal también se verá afectado de una u otra manera.
