Una vulnerabilitat als xips x86, els principals pertanyents a Intel planteja certs interrogants sobre els postulats en els què es basen els models de seguretat informàtica

La seguretat informàtica es basa en alguns principis bàsics, i un d’ells és que les dades que utilitza una aplicació no han d’estar disponibles per una altra sense permís. En teoria, aquesta arquitectura bàsica hauria d’impedir que una aplicació espiï a una altra i robi, per exemple, una clau bancària d’un gestor de contrasenyes. Quan aquest principi es trenca, pot ser devastador.

Des d’almenys 2014, diverses generacions de CPU d’Intel han estat vulnerables a exactament aquest tipus de problema, exposant milers de milions de xips a un atac que pot usar-se fàcilment per robar dades confidencials, incloses les claus de xifratge. Una nova recerca de Daniel Moghimi, expert en seguretat informàtica de la Universitat de Califòrnia a Sant Diego, i Google, que es presentarà aquesta setmana en la conferència de ciberseguretat Black Hat de Las Vegas, descobreix que diverses generacions dels omnipresents processadors x86 d’Intel es basen en una tècnica per tal d’augmentar el rendiment que també introdueix una vulnerabilitat denominada Downfall que desafia les normes bàsiques sobre seguretat informàtica.

Per permetre el processament paral·lel a alta velocitat, l’arquitectura x86 es basa en un petit búfer de registre per emmagatzemar dades. Diferents aplicacions comparteixen aquest búfer, i quan la CPU executa una ordre coneguda com a “gather“, pot llegir les dades proporcionades en el registre per una altra aplicació i així reexpedir-les a un atacant.

El hardware dels ordinadors hauria d’aïllar les dades utilitzades per les diferents aplicacions, però mitjançant l’ús de la vulnerabilitat Downfall, un atacant que executi una aplicació pot robar fàcilment contrasenyes, claus de xifratge i altres dades confidencials de la víctima. En teoria, una pestanya maliciosa al vostre navegador podria fer servir aquest error per robar una contrasenya bancària que es trobaria en una altra pestanya.

Quan es produeix una vulnerabilitat d’aquest tipus, bàsicament es perd el contracte programari-maquinari. Així, el programari pot accedir a la memòria física dins del hardware que es suposava que havia d’estar aïllat del programa d’usuari.

Les conseqüències que poden sorgir arran d’aquest error són certament greus. Intel probablement ha venut milers de milions de processadors que inclouen la vulnerabilitat en qüestió. El defecte pot impactar tant a ordinadors personals com a sistemes que es troben al núvol, i és probable que la vulnerabilitat pugui utilitzar-se per trencar l’aïllament que hauria d’existir entre les dades pertanyents als usuaris en un dispositiu de computació al núvol.

Encara que el número exacte depèn del proveïdor, diverses dotzenes de clients podrien compartir qualsevol màquina de computació al núvol. Un usuari amb males intencions podria fer servir Downfall per robar dades confidencials, com ara credencials administratives d’altres usuaris en un dispositiu de computació al núvol i després utilitzar-les per obtenir accessos addicionals.

La seguretat al núvol es basa en la premissa que les dades d’un usuari poden aïllar-se les unes de les altres. En un moment en què es qüestiona cada vegada més si la computació al núvol és capaç d’oferir tots els avantatges que se li atribueixen en matèria de seguretat, Downfall posa en dubte aquesta conjectura.

Un portaveu d’Intel va declarar que la vulnerabilitat es va descobrir en les condicions controlades dins d’un entorn de recerca i que l’atac seria molt complex de dur a terme fora d’aquestes. Les generacions recents de processadors Intel inclosos Alder Lake, Raptor Lake i Sapphire Rapids no es veuen afectats, va assenyalar el portaveu.

Downfall és similar a les recents vulnerabilitats importants de CPU com Meltdown i Spectre i a mesura que el hardware es torna més complex, es descobreixen més vulnerabilitats com Downfall, la qual cosa subratlla la necessitat que els dissenyadors de xips equilibrin les demandes de rendiment amb les necessitats de seguretat.

En la seva incessant cerca d’adquirir més velocitat intentnat mantenir viu l’esperit de la Llei de Moore, els dissenyadors de xips recorren cada vegada més a innovacions de disseny per esprémer al màxim el rendiment dels xips, i Downfall il·lustra com aquesta cerca de velocitat pot redundar en vulnerabilitats de seguretat.

Segons Trey Herr, director de la Iniciativa Cyber Statecraft de l’Atlantic Council, encara que el mecanisme és bastant diferent, aquesta tècnica té certs ressons de Meltdown/Spectre en el sentit que aprofita una altra solució alternativa que Intel ha utilitzat per accelerar els xips afectats. Això demostra el repte que Intel i altres empreses del sector han estat tractant d’esmorteir alhora que la Llei de Moore semblar estar a les acaballes.

Com cada vegada és més difícil afegir més transistors en un fragment de silici, els arquitectes de xips estan recorrent a trucs de disseny que optimitzen la velocitat. La funció “gather“, al nucli de Downfall, redunda en una d’aquestes millores necessàries per la velocitat. La possibilitat que aquests dissenys de millora del rendiment introdueixin noves vulnerabilitats de seguretat esdeve el princiapl objecte d’estudi en tractar aquesta funció en qüestió.

Sempre que hi ha una funció d’optimització a la CPU, existeix la possibilitat que aquestes optimitzacions introdueixin vulnerabilitats, va afirmar.

En descobrir l’error per primer cop al 2022 es va comunicar a Intel, que ràpidament va validar la vulnerabilitat. Ara que la recerca  s’ha fet pública, Intel està desplegant una solució de microcodi, l’aplicació del qual requerirà una actualització del sistema operatiu i que suposarà una penalització pel rendiment. Un portaveu d’Intel esmentava que la majoria de les càrregues de treball no veuran una penalització de rendiment degut a la correcció, però que les càrregues de treball de vectorització pesada poden veure’s afectades. (La llista completa de processadors afectats és aquí).

No obstant això, la naturalesa d’aquesta correcció il·lustra com Downfall s’aprofita del disseny arquitectònic bàsic d’un xip per robar dades. La solució no pot resoldre l’arrel del problema, que és compartir maquinari físic amb altres processos.

Un portaveu d’Intel va afirmar que l’empresa no té constància que s’estigui explotant l’error, però és sabut que detectar l’explotació de Downfall és molt difícil. I atès que la fallada existeix des del 2014, és possible que s’hagi explotat sense el nostre coneixement. Això és especialment preocupant perquè descobrir Downfall i crear exploits és bastant fàcil.

La vulnerabilitat és ideal pel furt de claus de xifratge i contrasenyes. En la recerca duta a terme, es van desenvolupar mètodes per robar trivialment claus de xifratge AES de 128 i 256 bits utilitzant Downfall.