El fabricante de chips solucionó varios problemas de chips en mayo. Ahora está lanzando otra solución, pero analistas externos dicen que la compañía no informa toda la verdad sobre sus problemas.
En mayo, cuando Intel lanzó un parche para un grupo de agujeros de seguridad encontrados por investigadores en los procesadores de la compañía, dejó en claro que todos los problemas se resolvieron así.
Sin embargo, esto no era toda la verdad, según investigadores holandeses de la Universidad Libre de Amsterdam que descubrieron vulnerabilidades y lo informaron al gigante tecnológico en septiembre de 2018. El parche de software que se suponía que solucionaría el problema del procesador corrigió solo algunos de los problemas descubiertos por los investigadores.
Y solo después de 6 meses se lanzó el segundo parche,
presentado públicamente
por la compañía a principios de noviembre , en el que todos los problemas que Intel informó en mayo se resolvieron, como dicen los investigadores en su entrevista.
Intel anunció al público que "todo está arreglado", dijo Cristiano Jufrida, profesor de informática en la Universidad Libre de Amsterdam, uno de los investigadores que informó sobre las vulnerabilidades. "Y sabíamos que ese no era el caso".
Estas vulnerabilidades, junto con otros graves agujeros de seguridad en los chips de computadora, descubiertos recientemente por la comunidad de seguridad, permitieron a los atacantes extraer contraseñas, claves de cifrado y otros datos confidenciales de procesadores de escritorio, computadoras portátiles y servidores en la nube.
Las declaraciones realizadas por los investigadores demuestran una tensión característica entre las compañías de tecnología y los expertos en seguridad que periódicamente revisan los productos de las compañías por fallas que hacen que los sistemas informáticos sean vulnerables a los ataques.
Y si bien muchos investigadores les dan tiempo a las compañías para solucionar los problemas antes de revelar estas vulnerabilidades al público en general, las compañías de tecnología pueden tomarse el tiempo para corregir los errores y tratar de callar la boca de los investigadores que buscan informar al público sobre los problemas de seguridad.
Los investigadores a menudo aceptan divulgar información de vulnerabilidad solo a las empresas y no divulgarla a nadie más hasta que la empresa pueda lanzar el parche. Los investigadores suelen negociar con las empresas sobre los detalles de un anuncio público de una solución. Sin embargo, los investigadores holandeses dicen que Intel abusó de este proceso.
Ahora afirman que Intel nuevamente ha retomado lo viejo. Dijeron que el nuevo parche, lanzado en noviembre, todavía no soluciona uno de los problemas que le dijeron a Intel en mayo.
Intel admitió que el parche de mayo no soluciona todos los problemas descubiertos por los investigadores, así como el parche de noviembre. Sin embargo, "extremadamente" reducen el riesgo de ataque, dijo Lei Rosenwold, portavoz de la compañía.
Rosenwold dijo que Intel, junto con el parche de noviembre, está publicando un cronograma de trabajo para parches, no como respuesta directa a las quejas de los investigadores, sino por transparencia.
"Por lo general, no hacemos eso, pero nos quedó claro que este es un tema difícil. Definitivamente deberíamos abordar esto de manera transparente ”, dijo. "Puede que no estemos de acuerdo con algunas observaciones de los investigadores, pero, a pesar de esto, valoramos nuestra relación con ellos".
Los investigadores holandeses han guardado silencio durante ocho meses sobre los problemas que descubrieron mientras Intel estaba trabajando en un parche lanzado en mayo. Luego, cuando Intel se dio cuenta de que el parche no solucionaba todos los problemas y pidió a los investigadores que permanecieran en silencio durante otros seis meses, también se les pidió que cambiaran el trabajo que planeaban presentar en la conferencia de seguridad informática, eliminando de él todas las referencias a vulnerabilidades no corregidas. Los investigadores dicen que eran reacios a aceptar esto, porque no querían que estas vulnerabilidades fueran conocidas por el público hasta que fueran reparadas.
"Tuvimos que editar el trabajo para ellos para que el mundo no supiera cuán vulnerable es todo", dijo Cave Razavi, otro profesor de informática en la Universidad Libre de Amsterdam, miembro del equipo de
informes de vulnerabilidad .
Un equipo de investigadores de la Universidad Libre de Amsterdam, de izquierda a derecha: Herbert Bos, Cristiano Jufrida, Sebastian Osterlund, Pietro Frigo, Alice Milburn y Cave Razavi.Según los investigadores, después de informar a la compañía sobre los errores no corregidos antes del lanzamiento del parche de noviembre, Intel pidió a los investigadores que no dijeran nada al respecto hasta que la compañía preparara el próximo parche. Sin embargo, esta vez, los investigadores se negaron a obedecer.
"Creemos que es hora de decirle al mundo que incluso ahora Intel no ha solucionado el problema", dijo Herbert Bos, un colega de los profesores de la Universidad Libre de Amsterdam.
Las primeras vulnerabilidades fueron descubiertas, incluso por el grupo universitario VUSec, que incluye a Jufrid, Bos, Razavi y cuatro de sus estudiantes de posgrado: Stefan van Scheik, Alice Milburn, Sebastian Osterlund y Pietro Frigo. Un segundo grupo de la Universidad Graz de Karl y Franz en Austria, independientemente de ellos, descubrió algunos de estos problemas y los denunció a Intel en abril.
Y todas estas vulnerabilidades surgen de un problema relacionado con el procesamiento de datos por parte de los procesadores Intel.
Para ahorrar dinero, los procesadores realizan ciertas funciones, cuya necesidad predicen de antemano, y almacenan los datos procesados. Si esta función se cancela y los datos no son necesarios, permanecen en el sistema durante algún tiempo.
La vulnerabilidad permite que un tercero extraiga datos durante el procesamiento o el almacenamiento. Cada una de las opciones descubiertas por los investigadores describe su propia forma de extraer estos datos por un atacante.
"Hay un problema real y hay muchas opciones", dijo Bos.
Cuando Intel lanzó las correcciones en mayo, describió el problema como "gravedad baja a media". Los investigadores dijeron que la compañía les pagó una recompensa de $ 120,000 por descubrir y reportar vulnerabilidades. Las recompensas por informar problemas se pagan regularmente, pero esta cantidad por encontrar un error de bajo a medio parece muy alta.
Cuando los investigadores informaron las primeras vulnerabilidades en Intel en septiembre de 2018, agregaron ejemplos de explotación exitosa de estos agujeros al mensaje: código malicioso que demuestra ejemplos de ataques exitosos para cada una de las vulnerabilidades.
Durante los siguientes ocho meses, el equipo de seguridad de Intel respondió a estos hallazgos y creó un parche con una próxima fecha de lanzamiento del 11 de mayo. Cuatro días antes del lanzamiento, cuando la compañía dio a los investigadores los detalles de esta solución, rápidamente se dieron cuenta de que el parche no solucionaba todas las vulnerabilidades encontradas.
Los ingenieros de Intel analizaron algunos de los casos de uso proporcionados por los investigadores. Pero los investigadores dicen que los especialistas de Intel tuvieron que, sin siquiera ver estos materiales, descubrir de manera independiente vulnerabilidades adicionales basadas en datos conocidos.
Los investigadores dicen que Intel ha elegido una forma ineficiente de lidiar con las vulnerabilidades de los chips. En lugar de solucionar el problema principal, que podría requerir el rediseño del procesador, la compañía arregló cada versión de los problemas individualmente.
"Estamos seguros de que aún quedan muchas vulnerabilidades", dijo Bos. "Y no van a hacer el trabajo de ingeniería correctamente hasta que su reputación esté en juego".
Cuando se trata de detectar una nueva clase de vulnerabilidades, es una práctica estándar que los ingenieros de corrección de código busquen variantes adicionales del problema, excepto aquellas que ya se han descubierto y se les ha informado.
Los investigadores holandeses afirman que ninguna de las opciones de ataque que proporcionaron en Intel difería fundamentalmente de las que la compañía arregló, por lo que tuvieron que extrapolar y encontrar todas las opciones restantes por su cuenta.
“Muchos de los ataques que se perdieron diferían de los demás en algunas líneas del código. A veces incluso con una línea de código ”, dijo Jufrid. - Las consecuencias de este evento nos entusiasman. Esto significa que hasta que no les demos todas las posibles soluciones al problema, no lo solucionarán ”.
Rosenwold, de Intel, dijo que la compañía solucionó el problema principal cambiando algunos de los chips y hará correcciones similares a sus otros chips.
A pesar de que se prohibió a los investigadores revelar detalles, comenzaron a surgir disputas sobre estas vulnerabilidades. La información al respecto se transmitió tan libremente entre sí que finalmente regresó a los propios investigadores.
"Cada vez más personas aprendían sobre esta vulnerabilidad, hasta tal punto que al final esta información nos llegó", dijo Bos. - Construyen la ilusión de que todo el proceso de divulgación de información está supuestamente bajo su control. Pero nadie lo controla, y la información se filtra ".
Todo esto significa que, si bien los investigadores guardaron silencio, otras personas que querían aprovechar las vulnerabilidades ya podrían aprender sobre ellas. “Cualquiera puede convertir esto en un arma. Y cuando no informa al público al respecto, es aún peor, porque habrá personas que podrán usar esta información contra usuarios desprotegidos ", dijo Razavi.