El software malicioso supone una amenaza constante para la vida moderna capaz de afectar desde bases de datos y cámaras hasta el comercio electrónico, centrales eléctricas y hospitales. En sus formas más perversas, el malware puede robar información confidencial sin que nadie se entere.

La lucha contra estos ataques se basa en un supuesto importante: que un software con suficiente potencia y bien diseñado puede garantizar la seguridad de cualquier información. De hecho, muchas empresas de ciberseguridad existen bajo este enfoque.

Pero ahora, el investigador de Google Ross McIlroy y sus colegas aseguran que esta suposición es peligrosamente errónea. Su trabajo se centra en una nueva generación de ataques maliciosos que los han obligado a revisar la naturaleza de la ciberseguridad y su funcionamiento.

Los nuevos ataques, conocidos como Spectre y Meltdown, llevan estudiándose desde principios de 2018 (ver Empiezan a llegar las actualizaciones para proteger a los chips de Spectre y Meltdown). Pero no hemos empezado a ser conscientes de su gravedad real hasta ahora.

El sorprendente descubrimiento de Google es que estos ataques se aprovechan de un error básico del funcionamiento de los procesadores de información. Y debido a esto, es posible que los expertos en ciberseguridad nunca puedan proteger estos dispositivos.

El equipo de Google revela que la amenaza afecta a todos los fabricantes de chips, incluidos Intel, ARM, AMD, MIPS, IBM y Oracle. "Esta clase de errores son más profundos y masivos que cualquier otro error de seguridad conocido, pues afecta a miles de millones de CPU de producción de todas las clases de dispositivos", alerta McIlroy.

En el pasado, el malware solía aprovecharse de códigos mal diseñados y de los errores que contenían. Estos errores ayudaban a los hackers a interrumpir las operaciones o acceder a información confidencial. Por tanto, es importante corregir estos errores con parches de software antes de que puedan ser explotados.

Pero cuando el error está en la base del diseño del ordenador, la protección de los parches de software resulta bastante pobre. El problema consiste en que la naturaleza misma de la computación permite que la información se filtre a través de los mecanismos llamados canales laterales.

Un ejemplo de canal lateral son las luces parpadeantes de un módem, router o incluso un PC. Varios investigadores de seguridad han señalado que el parpadeo se correlaciona con la transferencia de datos, así que a un hacker le basta con monitorizar dichos parpadeos. De hecho, varias investigaciones han demostrado ataques similares con una sorprendente variedad de canales laterales, que incluyen el consumo de energía, los micrófonos y las cámaras de alta resolución.

Esta nueva amenaza es más perniciosa porque se produce en la interfaz entre el hardware y el software, conocida como la arquitectura de la máquina. En este nivel, un procesador trata todos los lenguajes de programación de la misma manera. Ejecuta comandos uno tras otro sin tener en cuenta qué programa los solicitó.

Los informáticos siempre han asumido que estos comandos se pueden separar para garantizar la confidencialidad. La idea es que un software avanzado debería poder ordenar los comandos y mantenerlos separados.

Pero el hallazgo clave del equipo de Google es que esta suposición es incorrecta. Ningún procesador puede distinguir un buen comando de uno malicioso. Entonces, si un comando solicita el envío de información a un área de la memoria a la que se puede acceder fácilmente más tarde, la máquina obedece.

Es fácil imaginar que esto se podría evitar con un software capaz de separar los buenos comandos de los malos. Pero el equipo de Google demuestra que este enfoque solo aumenta la complejidad del desafío al tiempo que añade un nuevo conjunto de posibles canales laterales.

Para mostrar la ubicuidad de la amenaza, el equipo de Google construyó un "dispositivo de lectura universal". Se trata del mejor espía capaz de leer toda la memoria direccionable en un procesador, desconocido para el usuario. Aunque no es para nada perfecto y tiende a cometer errores, no hay manera de evitar que funcione correctamente cuando logra hacerlo.

McIlroy y sus colegas crearon cuatro variantes de este dispositivo. El responsable detalla: "Desarrollamos pruebas de concepto en C ++, JavaScript y WebAssembly para todas las vulnerabilidades conocidas". Y descubrieron que estos dispositivos leen información filtrada de hasta 2,5 kilobytes por segundo.

La variante 4 del dispositivo de lectura universal resultó particularmente preocupante. McIlroy y su equipo aseguran que no pudieron encontrar ninguna forma de combatirla o reducir su amenaza. McIlroy afirma: "Creemos que la variante 4 no se puede mitigar de manera efectiva en el software".

Sus intentos de combatir los ataques tuvieron un impacto significativo en el rendimiento computacional. Por ejemplo, una forma de mitigación para la primera variante del dispositivo de lectura universal provocó una desaceleración de 2,8X, según midió un programa de evaluación comparativa de Java llamado Octane.

Durante el último año, Intel ha rediseñado sus chips para intentar mitigar las amenazas más graves de los ataques Spectre y Meltdown. Pero se dieron cuenta de que los nuevos diseños hacían caer el rendimiento de hasta un 14 %. Y es poco probable que estas nuevas versiones sean a prueba de fallos.

Una de las cosas que más preocupa a Google es la amenaza al comercio electrónico. No es difícil imaginar un ataque que revele las claves criptográficas utilizadas para asegurar las transacciones, lo que permitiría robos a gran escala. Así que la compañía ya ha lanzado versiones de Chrome con las primeras líneas de defensa. Los lanzamientos 64 a 67 evitan ataques en el navegador a través de JavaScript.

Pero la amenaza va mucho más allá. Muchos de los problemas se producen debido a la compleja arquitectura de dispositivos basados ​​en la propiedad intelectual, que está cuidadosamente protegida.

Esta complejidad es en sí misma parte del problema. Los diseños se basan en modelos abstractos que se han vuelto más complejos a medida que los fabricantes persiguen una computación más rápida. McIlroy y sus colegas muestran que estos modelos abstractos siempre tienen canales laterales fuera del modelo. El responsable detalla: "Hemos descubierto que un código no confiable puede construir un dispositivo de lectura universal para leer toda la memoria en el mismo espacio de direcciones mediante los canales laterales. Esto pone en riesgo los datos de la memoria, incluso los datos 'en reposo' que no están involucrados en las operaciones y que antes se consideraban seguros frente a los ataques de canal lateral".

No obstante, hay una pequeña buena noticia. Hasta ahora no hay ataques conocidos que exploten Spectre o Meltdown. Por el momento, la amenaza se limita a los laboratorios de los investigadores de ciberseguridad como McIlroy y sus colegas.

Pero eso provoca una situación incómoda para los fabricantes de chips y expertos en seguridad. No es difícil imaginar que los hackers, incluidos aquellos financiados por gobiernos, hayan empezado a crear formas de explotar esta vulnerabilidad. Como concluyen McIlroy y sus compañeros, este es un problema que "parece estar destinado a perseguirnos por mucho tiempo".

Ref: arxiv.org/abs/1902.05178: El espectro está aquí para quedarse: un análisis de los canales laterales y la ejecución especulativa