Cómo Linux está tratando con Meltdown y Spectre


Torvalds y la compañía no están contentos con Intel, ya que continúan avanzando en la entrega de parches de seguridad de Linux.

Linux puede lidiar con Meltdown y Spectre, los problemas fundamentales de seguridad de los chips , pero eso no significa que los desarrolladores de Linux estén contentos con eso. Como dijo el creador de Linux, Linus Torvalds, en la lista de distribución de Linux Kernel [sic]:

Creo que alguien dentro de Intel necesita echar un vistazo duro a sus CPU , y admitir que tienen problemas en lugar de escribir elementos publicitarios de PR que digan que todo funciona según lo previsto…. y eso realmente significa que todos estos parches de mitigación deberían escribirse con “no todas las CPU son basura” en mente.¿O es que Intel básicamente dice ‘estamos comprometidos a vender su mierda para siempre y nunca arreglar nada’? Porque si ese es el caso, tal vez deberíamos comenzar a buscar más a las personas ARM64.

Él no es el único descontento con Intel. Un experto en seguridad de Linux está molesto tanto con Google como con Intel. Me dijo que Google Project Zero informó a Intel sobre los problemas de seguridad en abril. Pero ni Google ni Intel se molestaron en informar a los proveedores del sistema operativo hasta meses después. Además, la palabra comenzó a filtrarse sobre los parches para estos problemas. Esto obligó a Apple, los desarrolladores de Linux y Microsoft a luchar para ofrecer parches a los problemas fundamentales de seguridad de la CPU.

El resultado ha sido correcciones que degradan el rendimiento del sistema en muchos casos. Si bien aún no sabemos cuán gravemente se verán afectados macOS y Windows, Michael Larabel, experto en performance de Linux y fundador del sitio web Linux Phoronix , ha realizado pruebas de rendimiento en Linux 4.15-rc6 , un candidato de lanzamiento de Linux 4.15, que incluye Kernel Page Aislamiento de tabla (KPTI) para la falla de fusión de Intel.

Larbel encontró una relentización grave en Compile Bench y FS-Mark 3.3 , pruebas de E/S sintéticas; resultados de rendimiento significativos con el sistema de gestión de bases de datos PostgreSQL ; y el almacén de estructura de datos en memoria de Redis también fue más lento. Otros procesos, como la codificación de vídeo H.264, la compilación cronometrada del kernel de Linux y las tareas de conversión de video FFmpeg, funcionaron tan rápido como siempre. Como me dijo Torvalds, “No hay un solo número. Dependerá de tu hardware y de tu carga”.

Desaceleración o no, los sistemas de seguridad son lo primero. Red Hat , que tiende a ser el líder en seguridad de distribución de Linux, ya lanzó su primer trío de parches para lidiar con tres variantes de ataque de Meltdown.

En un correo electrónico, la seguridad de Red Hat escribió que la vulnerabilidad afecta a los procesadores x86 (chipsets Intel y AMD), POWER 8, POWER 9, System z y ARM. AMD afirmó que sus chips no son vulnerables. En una declaración, AMD dijo, “AMD no es susceptible a las tres variantes de [ataque]. Debido a las diferencias en la arquitectura de AMD, creemos que hay un riesgo casi nulo para los procesadores de AMD en este momento”.

Sea como fuere, los tres ataques tienen el potencial de permitir el acceso de lectura no autorizado a la memoria. Hay tres rutas de ataque únicas que podrían permitir que un atacante ejecute un ataque de canal lateral para eludir las protecciones para leer la memoria.

Las tres vulnerabilidades y exposiciones comunes (CVE) para este problema son:

  • CVE-2017-5754 es el más severo de los tres. Este exploit utiliza la carga de caché especulativa para permitir que un atacante local lea el contenido de la memoria. Este problema se corrige con parches de kernel.
  • CVE-2017-5753 es un exploit de comprobación de límites durante la bifurcación. Este problema se corrige con un parche de kernel.
  • CVE-2017-5715 es un ataque indirecto de envenenamiento por ramificación que puede provocar la pérdida de datos. Este ataque permite que un huésped virtualizado lea la memoria del sistema host. Este problema se corrige con microcódigo, junto con las actualizaciones de kernel y virtualización para el software de virtualización de invitado y host.

La buena noticia es que estos requieren que un atacante tenga acceso local al sistema de destino. La mala noticia es que todavía podrían ser explotados por un usuario común en una computadora vulnerable con código JavaScript de lo que parecía ser una página web inocua. Este código envenenado podría leer todos y cada uno de los datos en la memoria.

Red Hat advirtió: “Debido a la amenaza planteada por el encadenamiento de vulnerabilidad (la capacidad de explotar una vulnerabilidad explotando otra primero), Red Hat sugiere enfáticamente que los usuarios actualicen todos los sistemas incluso si no creen que su configuración represente una amenaza directa”.

Mientras tanto, como Mounir Hahad, jefe de investigación de amenazas de Juniper Networks, observó: “No se conoce ningún exploit aprovechando estas vulnerabilidades todavía . Pero ha habido una prueba de concepto publicada por un estudiante de doctorado de una universidad en Austria . Hay pocas dudas de que algunos actores sofisticados de amenazas intentarán aprovechar los sistemas sin parche en el futuro cercano “.

El tiene razón. Esto es especialmente cierto cuando se ejecuta Linux, o cualquier otro sistema operativo, en servidores o en la nube. No le gustará el éxito en el rendimiento, pero aún le desagradarán las infracciones de seguridad.

Vía |zdnet

Deja un comentario

Tu dirección de correo electrónico no será publicada.

log in

reset password

Back to
log in