Esta semana, um par de vulnerabilidades quebraram a segurança básica para praticamente todos os computadores. Isso não é um exagero. Revelações sobre Meltdown e Specter deixaram uma confusão no ar sobre essas complexas vulnerabilidades. Com a maioria dos dispositivos de computação criados nas últimas duas décadas em risco, vale a pena fazer um balanço de como os esforços de correção estão em andamento.

Parte do pandemônio sobre abordar essas vulnerabilidades decorre do envolvimento necessário de vários jogadores. Os fabricantes de processadores como a Intel, a AMD, a Qualcomm e a ARM estão trabalhando com as empresas de hardware que incorporam seus chips, bem como as empresas de software para adicionar proteções. A Intel não consegue reparar o problema sozinho, porque as empresas terceirizadas implementam seus processadores de forma diferente em toda a indústria de tecnologia. Como resultado, grupos como Microsoft, Apple, Google, Amazon e o Projeto Linux estão todos interagindo e colaborando com pesquisadores e fabricantes de processadores para evitar reparações.

A United States Computer Emergency Readiness Team e outros, inicialmente, acreditavam que a única maneira de proteger contra Meltdown e Specter seria a substituição total de hardware. As vulnerabilidades afetam os aspectos fundamentais de como os processadores mainstream gerenciam e silo dados, e substituí-los por chips que corrigem essas falhas ainda podem ser a melhor opção para ambientes de alta segurança. No entanto, a substituição de todos os processadores não vai acontecer, assim a recomendação é de “aplicar atualizações” como a solução para Meltdown e Specter.

Respostas rápidas

Meltdown, um bug que poderia permitir que um invasor lesse a memória do núcleo (o núcleo protegido de um sistema operacional), impacta os processadores Intel e Qualcomm e um tipo de chip ARM. A Intel lançou patches de firmware para seus processadores e tem trabalhado com vários fabricantes, como a Apple e a HP para distribuí-los. A Intel também se coordenou com desenvolvedores de sistemas operacionais para distribuir mitigação no nível de software. Os patches já estão disponíveis para versões recentes do Windows, Android, MacOS, iOS, Chrome OS e Linux.

O outro erro, Specter, envolve duas estratégias de ataque conhecidas até agora, e é muito mais difícil de corrigir. Ele afeta os processadores da Intel, ARM, AMD e Qualcomm. Navegadores como Chrome, Firefox e Edge / Internet Explorer possuem correções preliminares do Specter, assim como alguns sistemas operacionais. Mas a Apple, por exemplo, disse que ainda está trabalhando em seus remendos Specter e espera liberá-los dentro de alguns dias.

“Uma das partes mais confusas de tudo isso é que existem duas vulnerabilidades que afetam coisas semelhantes, por isso tem sido um desafio apenas para manter os dois separados”, diz Alex Hamerstone, um testador de penetração e especialista em conformidade da empresa de segurança de TI TrustedSec . “Mas é importante corrigir isso por causa do tipo de acesso profundo que eles dão. Quando as pessoas estão desenvolvendo tecnologia ou aplicativos, nem sequer pensam que esse tipo de acesso é uma possibilidade, então não é algo que eles estão trabalhando. simplesmente não estava na mente de ninguém “.

Os provedores de nuvem como o Microsoft Azure e Amazon Web Services estão trabalhando para aplicar patches em seus sistemas também, e estão lidando com desacelerações de desempenho correspondentes; as correções envolvem dados de roteamento para processamento de maneiras menos eficientes. O Google lançou uma mitigação chamada Reptoline na quinta-feira na tentativa de gerenciar problemas de desempenho e já implementou na Google Cloud Platform.

O usuário médio não deve ver mudanças de desempenho significativas na aplicação de patches Meltdown e Specter, exceto talvez com tarefas intensivas em processadores como a edição de vídeo. Parece que o jogo não será significativamente afetado, embora as vulnerabilidades existam em tantos chips voltando até agora que é difícil dizer com certeza.

Os consumidores estão frustrados com o risco que as vulnerabilidades apresentam e seu impacto potencial trouxe três processos de ação coletiva contra a Intel até agora, arquivados na Califórnia, Indiana e Oregon.

Futuro

Embora muitos dos fabricantes e fabricantes de software mais proeminentes tenham tomado medidas para abordar a questão, inúmeros fornecedores e desenvolvedores menores inevitavelmente se tornarão marginalizados – e alguns talvez nunca abordem diretamente as falhas em seus produtos existentes. Você deve estar especialmente atento sobre a aplicação de todas as atualizações de software que você recebe em seus dispositivos para reduzir seu risco, mas não bancar em seu roteador de quatro anos que já tenha uma atualização.

Os especialistas também observam que a pressa de empurrar remendos, quando necessário, faz com que a eficácia final dessas primeiras atualizações seja um tanto suspeita. Não houve muito tempo para testes e aperfeiçoamentos extensivos, portanto, as correções podem não oferecer proteção total ou podem criar outros erros e instabilidades que precisarão ser resolvidos. Este processo será desempenhado nas próximas semanas e meses, mas será particularmente significativo no controle industrial e nas configurações de infraestrutura crítica.

Enquanto isso, os atores que procuram explorar Meltdown e Specter estarão trabalhando no trabalho, aperfeiçoando os ataques, se ainda não o fizeram. Até agora, não há evidências de que a vulnerabilidade seja conhecida e explorada no passado, mas que não pode servir como garantia definitiva. E os hackers poderiam encontrar novas maneiras de explorar qualquer bug, especialmente o Specter, que poderia contornar os remendos que surgiram.

Pesquisadores de segurança dizem que as vulnerabilidades são difíceis de explorar na prática, o que pode limitar o uso do mundo real, mas um invasor motivado e bem financiado pode desenvolver técnicas mais eficientes.

Embora possível, explorar o Meltdown e especialmente o Specter é complicado e desafiador na prática, e alguns ataques requerem acesso físico. Para os hackers, as vulnerabilidades só serão mais difíceis de explorar à medida que mais dispositivos começam a ser corrigidos. O que significa que, neste momento, o risco para o usuário médio é bastante baixo. Além disso, existem maneiras mais fáceis – como o phishing – para um invasor tentar roubar suas senhas ou comprometer suas informações pessoais sensíveis. Mas metas de maior valor, como empresas proeminentes, instituições financeiras, sistemas industriais e infra-estrutura, e qualquer um de um Estado-nação pode ser depois terão motivos para se preocupar com Meltdown e Specter nos próximos anos.

Por: Thomas Samson, Getty Images, Wired

Fonte:  https://www.wired.com/story/meltdown-and-spectre-vulnerability-fix/