Que no cunda el pánico.

Empezamos el año 2018 con un Gran problema de seguridad: Una “falla” en el diseño de los procesadores Intel (llamada ahora Meltdown) abre un gran hueco en la seguridad de los equipos. Para colmo de males, además de estar presente en casi todos los modelos de Intel fabricados desde hace al menos 10 años (hay fuentes que aseguran que el problema viene de más atrás, algo así como 20 años), No tiene solución actualizando el firmware (también llamado microcódigo). Es un hecho que todos los modelos producidos actualmente tienen el problema, de modo que tampoco es solución cambiar el MP.

Lo primero que hay que entender es que el problema por ser del microprocesador, afecta a todos los sistemas operativos por igual. Lo segundo es que puede ser contenido creando un parche para el kernel (todos los SO tienen un kernel aunque no sea Linux), Lo tercero es que la aplicación de este parche conlleva una pérdida de rendimiento con tasas muy variables, del 50% al 5%. Y cuarto y último sabemos que la merma en el rendimiento es mayor en tanto el procesador sea más antiguo. ¡Tu PC puede ser nueva, pero el MP puede haberse lanzado al mercado hace muchos años!

Si la situación en estos primeros días ya se veía fea, en las últimas horas ha empeorado con el anuncio de una segunda vulnerabilidad (llamada Spectre), que además de que no parece posible arreglarla actualizando el firmware, tampoco es posible detenerla creando un parche para el kernel. Además según Intel este fallo afecta a casi todos los procesadores, incluyendo a los de AMD (que lo niega) y a los ARM (Cortex-A).

A mí me queda claro que Intel ya tenía conocimiento de esto desde hace algún tiempo, ya que apenas ha pasado un día del anuncio y ya lanzó un comunicado involucrando a los procesadores de su competencia. Esto por supuesto es una medida defensiva financiera, para evitar que sus acciones y ventas caigan en picado. Arrojar al de junto parte de la mierda que te está cayendo encima es una táctica tan vieja como los negocios.

Lo anterior quiere decir para muchos de los usuarios de una distribución, que la aplicación del parche supondrá un verdadero desastre, especialmente para los usuarios que usan un escritorio que consuma muchos recursos. ¡Gnome y sus variadas interpretaciones principalmente! Ya que verán disminuidas la fluidez y el comportamiento general de la PC.

Los creadores del kernel ya han lanzado el primer parche llamado KAISER y solamente es cuestión de tiempo para que llegue a todas las distribuciones. Es de suponer que este primer parche será algo así como matar moscas a cañonazos. Capará todos los resquicios que se pueden ver en este momento, de ahí que el rendimiento se vaya a ver tan afectado.

Lo anterior es lo que se espera de una comunidad seria como es la de la Linux: crear una solución rápida. Ahora nos toca a nosotros decidir qué es lo que vamos a hacer, hay solamente dos opciones: Actualizar o no el kernel una vez que aparezca la versión que “corrige” el problema. Los usuarios de otros sistemas operativos (W$ por ejemplo) no son tan afortunados, se verán forzados a actualizar quiéralo o no. Otro usuarios ni siquiera tendrán que preocuparse por la actualización ya que está nunca llegará, por ejemplo para los usuarios de Android.

Algo muy importante que aparentemente ya ha quedado claro es que las vulnerabilidades solamente pueden ser explotadas a nivel local; es decir con software que está instalado y siendo ejecutado en nuestro equipo. De esta forma sabemos que no seremos afectados usando cualquiera de los muchos sistemas y plataformas de la web a los que estamos ya tan habituados a usar día a día. Sin embargo sí que seremos vulnerables a código JavaScript (y muy probablemente Java) que se ejecute en el navegador.

Analicemos entonces nuestras opciones. Si te decides a aplicar el parche ganarás en seguridad (solamente para el primer tipo de fallo) y perderás potencia en tu PC. Si por el contrario tomas el camino de no actualizar, conservaras tu PC con su rendimiento intacto y estarás más expuesto a riesgos y ataques.

Dado que la segunda vulnerabilidad no tiene remedio (al menos de momento); hay una lista de acciones que podemos tomar para protegernos a nosotros mismos.

  1. Solamente instala paquetes desde los repositorios. Lo que está ahí ha sido verificado y además muchos paquetes ya cumplen con la verificación de binarios que impulsa Debian. Si no instalas software fuera los repos no tienes porqué ser afectado.
  2. Si usas Wine para algo, lo mejor es que lo dejes de hacer de inmediato, especialmente si tienes alguna aplicación o juego cuya procedencia no sea segura o provenga de alguna descarga obscura de tipo warez.
  3. Borra de tu navegador todas las contraseñas guardadas ya que esto parece ser el objetivo principal del hipotético software dañino que intente explotar las vulnerabilidades.
  4. Usa de manera regular el navegador en modo incógnito o privado.
  5. Configura el navegador para que cada vez que se cierre destruya todas las cookies, borre los inicios de sesión, formularios e incluso el historial de navegación.
  6. Nunca tengas abierta más de una sesión de un servicio en la Internet, por ejemplo si estás usando Twitter no abras una sesión de FB o de Google. Cierra primero la de Twitter y después abre la siguiente. De esta forma si resultas afectado por un sitio contaminado, el daño quedará circunscrito a un solo sitio.
  7. Instala alguna extensión que borre de forma automática las cookies cuando abandones un sitio, así si el siguiente sitio resulta un atacante, tendrá mucho menos donde medrar.
  8. Si visitas muchos sitios web diferentes cada día instala una extensión como NoScript que impide que se ejecute cualquier código (el que sea) en el navegador. Puedes ir “entrenando” al complemento para que permita ejecutar determinado código en ciertos sitios de confianza. Esto puede ser una lata, pero los tiempos no están para menos.
  9. Mantente alerta a las noticias, es posible que en un futuro se encuentren mejores soluciones que las que se están implementando en este momento.
  10. Mantén actualizado tu navegador, resulta mucho más probable que en el futuro sean los navegadores quienes comiencen a crear parches para impedir la carga y/o ejecución de código que explote las vulnerabilidades.
  11. Puede ser que también aparezcan complementos y extensiones para el navegador que ayuden a mantener a raya a este tipo de código, como ya está sucediendo con las extensiones que bloquean el minado de criptodivisas. Mantente informado.

¿Yo que voy a hacer? Ya me he decidido y no aplicaré ningún parche, de hecho permaneceré durante un muy buen tiempo en la LTS actual y dejaré que el tiempo nos traiga mejores soluciones. No actualizar parece contraintuitivo, pero en última instancia así es el ejercicio de la libertad. ¡De cualquier modo no existe la seguridad absoluta! Además parece bastante probable que la experiencia de usar la Internet vaya a degradarse en alguna medida ya que los proveedores de todo tipo de servicios están aplicando el parche en sus servidores, y en consecuencia responderán con mayor lentitud a nuestras solicitudes. Con esa baja de calidad ya tendremos que lidiar a la fuerza, no deseo hacerla peor ralentizando mi PC.

Sin embargo me aplicaré mi propia receta y además seré aún mas prudente en los sitios que visito. ¡Nada de darle clic a hipervínculos en los sitios, a menos que su destino sea de confianza! ¡Nada de instalar paquetes fuera de los repos y me abstendré de otras acciones poco seguras!

¿Tú qué vas a hacer?

4 pensamientos en “Que no cunda el pánico.

    • Hola Iván:

      Pero la realidad es que el parche de momento solamente resuelve la mitad del problema. Para Spectre no hay nada aún. Peor lo más probable es que no haya solución.

      Además y de momento no se tiene conocimiento que el exploid haya sido utilizado en el mundo real. De momento todo es meramente académico.

      Con la edad uno aprende que en circunstancias como esta lo mejor es procasitinar. De cualquier modo una protección suficiente de momento es impedir que se ejecute código en el navegador. Esto “arruinará” al principio tu experiencia en la web, pero no la totalidad de lo que hagas con tu equipo.

      Saludos

      Me gusta

  1. pues yo, Gato, no voy a hacer nada: bueno, voy a hacer lo que hago hasta ahora: ser (‘muy normalmente’) prudente en mi navegación, nunca instalar cosas fuera de repositorios oficiales, y no querer oir hablar de Wine, y engendros similares. Seguiré el ritmo que marque Debian en sus actualizaciones de la rama Stable (eso si, frenaré durante unos meses mi natural tendencia a pasar a Testing en cuanto madure Stretch). La verdad es que no me considero importante como para ser objetivo de hackeo, o similar, ni tengo muy claro qué peligros puede correr un usuario normal cuyo PC es una herramienta de ocupar el ocio, y no un ‘soporte vital’.
    Y quiero creer que todo esto no es más que un viral episodio de conspiranoia manejado sabe dios por quien.
    Pero tus reflexiones… espléndidas.

    Me gusta

    • Hay casos como este en que lo más prudente es esperar. No se puede “capar” a la máquina más compleja jamás creada por el hombre así nada más en 15 días de trabajo.

      Ya vimos que el parche en el kernel 4.4 fue atroz. Las dulces palabras de Linus para con Intel. Incluso vimos a M$ retirando parches para W$. Y lo mejor de todo a la propia Intel “sugiriendo” por lo bajo que mejor no se instalarán los parches.

      Ya vendrá el tiempo en que sea razonable agregar soluciones. Entre tanto como dicen en mi pueblo: Mejor no me ayudes compadre.

      Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s