O início do ano vieram a público notícias sobre falhas na maneira como a imensa maioria dos processadores de computador funcionam e se comunicam com o sistema operacional. Essas falhas geraram vulnerabilidades, uma chamada de Meltdown, e a outra chamada de Spectre. As vulnerabilidades comprometem grande parte dos computadores e celulares em utilização no planeta. Pelo problema estar na base de funcionamento da arquitetura computacional dos aparelhos, as vulnerabilidades são muito difíceis de solucionar, e mitigá-las pode exigir o comprometimento da performance dos aparelhos. Uma notícia ainda pior para grandes centro de computação em nuvem.
O Meltdown atingiu principalmente os processadores da fabricante Intel e também processadores avançados da ARM. Já Spectre recaiu sobre toda a indústria, com fabricantes como AMD, ARM, Apple e Intel afetadas. A fabricante Intel, que foi atingida por ambos as falhas, pode ter seus processadores de até 20 anos afetados. Desde o início do ano, as ações da Intel caíram 7,7%, enquanto as da AMD, menos afetada, subiram 8,7%.
O problema surgiu a partir de uma prática comum dos processadores modernos: eles têm a capacidade de executar ações previamente. Núcleos de um mesmo processador são utilizados para especular sobre as próximas ações do usuário antes mesmo que as instruções sejam executadas — isso garante que parte dos processos estejam com acesso à memória antes mesmo do comando ser dado, tornando os computadores mais rápidos e eficientes. Se o processador previu a ação corretamente, então a máquina já poupou tempo e carregou parte da memória necessária para realizar a tarefa; se não, o processamento é descartado sem muitas perdas para o sistema.
E é justamente nessa capacidade de especulação que mora o problema. No caso de uma das falhas, chamada de Meltdown, por exemplo, o atacante tem acesso a algumas informações que a especulação solicita antecipadamente. Essas informações são bloqueadas, mas é possível medir o tempo de requisição entre o processador e o sistema operacional, o que permite a formação de uma imagem idêntica a dados salvos diretamente no computador. Por isso a vulnerabilidade não permite que as informações pessoais dos usuários sejam corrompidas ou modificadas diretamente, mas “lidas”. O vazamento de informações poderia ser usado diretamente neste caso. Por exemplo, um código atacante poderia, de maneira simples, atuar junto a um navegador de internet e roubar senhas e outras informações do navegador.
A outra vulnerabilidade foi chamada de Spectre e seu mecanismo é um pouco diferente do anterior, atuando de maneira mais sutil. O Spectre afeta basicamente todos os processadores no mercado e acontece na interação de dois programas quando a especulação é solicitada pelo computador para agilizar o funcionamento das aplicações. Isso permite que hackers enganem e manipulem aplicativos, antes sem erros, a fornecer informações confidenciais. O ataque pode acontecer quando um processo lê as informações especuladas por outra aplicação.
As falhas no código de especulação foram descobertas independentemente por diferentes grupos. O Meltdown foi relatado por pesquisadores da Universidade Técnica de Graz, na Áustria, a empresa de segurança Cerberus, da Alemanha, e o Projeto Zero, um time de especialistas de segurança e falhas do Google. O Spectre foi descoberto pelo pesquisador Paul Kocher e pelo Projeto Zero.
A boa notícia é que se resguardar, pelo menos do Meltdown, é relativamente fácil e os sistemas operacionais e fabricantes já lançaram pacotes de atualização para o problema. Como a falha depende largamente da maneira como processadores solicitam memória entre programas e o sistema operacional, a solução é diminuir essa relação, permitindo que determinadas predições só possam ser feitas depois de algumas ações completas. Por exemplo, a correção só permitiria que o processador tivesse acesso a senhas depois que a informação fosse solicita e protegida, não antes, de maneira especulativa. Uma maneira de mitigar o problema vem com um custo: a redução da performance do processador. A especulação é usada para agilizar e otimizar processos na base da interação entre hardware e software e, se ela for reduzida, é esperado que a própria performance de um computador também seja.
Para Cassius Puodzius, pesquisador de segurança da informação na ESET, empresa especializada em segurança da informação e detecção de ameaças, é um grande desafio resolver esse tipo de problema por ele estar justamente em uma área na base da computação. “No caso do Meltdown é necessário essa troca entre segurança e performance, que foi adotado pelas companhias. No caso do Spectre, a vulnerabilidade parece muito com uma aplicação comum e por isso é bastante difícil de ser abordada”, disse.
Impacto e resposta
Até agora, sabe-se que as medidas tomadas para mitigar as falhas, pacotes de atualização lançados pelas companhias, oneram menos usuários “normais”, que utilizam computadores para tarefas corporativas simples ou uso pessoal. Até mesmo usuários de jogos ou outras aplicações que não dependem tanto do sistema operacional devem sofrer menos.
Segundo um relatório divulgado na quinta-feira pela Intel, a empresa testou a performance de processadores diferentes no Windows 10 para medir o impacto dessas soluções. O resultado apontou que usuários de processadores mais antigos, de sexta e sétima geração, lançados em agosto de 2015 e janeiro de 2017, respectivamente, devem ter performance reduzida entre 7-8%. Em processadores da oitava geração, lançados em outubro de 2017, em até 6%. “Através de uma variedade de cargas de trabalho, incluindo produtividade de escritório e criação de mídia o impacto esperado é inferior a 6%”, afirma o relatório da Intel.
A Intel ainda afirmou que testou as configurações para computadores com Windows 7 corporativo e informou que o impacto é pequeno. A empresa afirmou que discute o assunto apenas por pronunciamentos oficiais e por um white paper divulgado sobre o assunto. A Intel também informa que ainda não tem “nenhuma informação que essas falhas foram usadas para obter dados do cliente” e que vai continuar realizando testes e atualizando usuários e parceiros. Em carta aberta, o presidente da empresa, Brian Krzanich, reiterou o compromisso da Intel com a segurança dos usuários e também afirmou que, até o próximo dia 15, 90% dos processadores da empresa já terão pacotes s de atualização para correção de vulnerabilidades.
“Quem é impactado de verdade com essas atualizações são empresas que trabalham com computação em nuvem ou centros de dados”, afirma Júlio Carvalho, diretor de segurança e gerenciamento de API da CA Technologies, fornecedora global de tecnologia corporativa. “Os computadores dessas companhias estão sempre operando em capacidade máxima, ou próximo disso, e qualquer redução de 5% tem impacto direto no funcionamento da empresa”, diz. Segundo reportagem da revista Fortune, algumas empresas de computação em nuvem e data-centers já cogitam trocar chips da Intel por produtos de empresas concorrentes, que foram menos atingidas pelas vulnerabilidades.
Em comunicado, a fabricante de software Microsoft afirmou que as atualizações previstas no Windows, principalmente para corrigir uma das variantes do Spectre, devem deixar mais lentos computadores com Windows mais antigos. Segundo um texto escrito por Terry Myerson, vice-presidente de Windows e Devices da Microsoft, computadores da era de 2016 com Windows 10 e processador de última geração da Intel devem sofrer impactos menores. Já computadores mais antigos, de 2015 pra trás, com processadores de outras gerações, ou computador com Windows 7 ou 8, devem notar uma redução mais significativa de performance.
“Uma nova vulnerabilidade como esta requer que nossa indústria inteira trabalhe em conjunto para achar as melhores soluções possíveis para os consumidores”, escreveu Myerson. A Microsoft, no entanto, suspendeu a atualização de sistema operacional para alguns modelos de processadores AMD, que apresentaram o problema conhecido como “tela azul” após a atualização.
Em nota do diretor de tecnologia, Mark Papermaster, a AMD informou que está trabalhando em parceria com a Microsoft para distribuir pacotes de atualização para a maioria dos sistemas AMD e para corrigir os problemas relacionados aos antigos.
“As companhias de tecnologia vão com certeza trabalhar mais próximas para resolver esse tipo de problema a partir de agora, principalmente com a dependência de empresas que produzem software e hardware, definindo responsabilidades e ações”, disse Puodzius, da ESET.
Como se proteger
Pode parecer clichê, mas a melhor maneira de se proteger é manter o sistema operacional sempre atualizado. Microsoft, Apple e Linux já têm pacotes de atualização disponível para proteger seus usuários. Usuários de sistemas operacionais móveis, Android e iOS, também já contam com atualizações disponíveis que mitigam a chance de sofrer um ataque. A Apple também informou que disponibilizou atualizações do navegador Safari, bem como a Mozilla e o Google fizeram o mesmo com o Firefox e o Chrome, seus respectivos navegadores.
“A dica para os usuários é manter os sistemas operacionais atualizados na última versão, tanto no computador quanto no celular. No caso de empresas, o time de TI precisa estar atento para atualizar sem impactar a rotina de trabalho”, afirma Carvalho, da CA, que disse que a companhia também disponibilizou atualizações para seus softwares de segurança. A ESET informou que também atualizou seus anti-vírus para que possam entrar em consonância com atualizações de sistema.
Quanto ao futuro, ao menos o Meltdown parece uma vulnerabilidade contida, que deve ser lembrada como um ruído no futuro. Já o Spectre, segundo analistas, não aparenta ter uma solução simples e pode nos acompanhar por algum tempo. Eventuais mudanças na fabricação e funcionamento dos processadores ainda não foram oficialmente anunciadas.
Conheça o serviço de Segurança Digital da Arx Soluções em Tecnologia & Negócios |