E atenção: não estamos a falar de “sistema operativo” (como Windows 7 ou 10, Ubuntu, Mint, etc.) mas de “processador”, o que afecta a totalidade das máquinas, pois podemos entender o processador como o “coração” de qualquer computador, samrtphone, server, sistema cloud, etc.
As falhas são graves porque põem em risco os dados pessoais de biliões de utilizadores e porque não se fala aqui dalguns vírus mais ou menos exóticos mas de “erros” de projectação, o que torna tudo mais difícil de corrigir. Os antivírus não podem detectar tão facilmente um aplicativo que se aproveite das brechas Meltdown ou Spectre e no sistema não ficam rastos, pelo que é difícil até descobrir se o nosso computador já foi atingido.
Vamos ver do que se trata e como remediar (quando possível).
problema das duas falhas em teoria é muito simples: ao executar
um programa, o sistema carrega na memória as informações dos aplicativos
em execução. E nestas informações há praticamente tudo, inclusive dados
de login e password.
memória que deveria ser inacessível. No caso do Meltdown pode ser suficiente um
código javascript posto em qualquer página internet para acessar a
esta memória e enviar os dados para um servidor remoto.
significa que em perigo não estão apenas os nossos dados pessoais, mas
todos os dados de todos os computadores: milhões de servidores no mundo,
em hospitais, bancos, sistemas de defesa… todos são vulneráveis.
Primeira falha: Meltdown
Meltdown é a falha que diz respeito apenas aos processadores Intel produzidos nos últimos dez anos (com exceção dos Intel Itanium e dos Intel Atom produzidos antes de 2013).
Solução: mudar o processador (!!!) ou aplicar uma patch chamada Kaiser, a qual, todavia, provoca abrandamentos do sistema. Segundo a Intel o abrandamento não é lá grande coisa, mas as estimativas apontam para valores entre 5% até 27% de velocidade.
Meltdown não afecta os processadores AMD, o que é uma boa notícia. A mesma AMD já distribui a patch Kaiser para os sistemas Linux com um controle que verifica a marca do processador, para evitar que os processadores AMD sejam penalizados por uma patch inútil.
A Microsoft e a Apple já lançaram alguns patches, enquanto tanto a Amazon quanto a Microsoft fizeram alterações à infraestrutura dos seus centros de dados para proteger as máquinas. Entre os usuários da Amazon AWS, alguns já experimentaram um declínio das prestações mas devemos considerar que estamos apenas no começo da história: as falhas foram tornadas públicas há poucas horas.
Spectre afecta todos os processadores do mercado, independentemente da marca de produção. É uma falha de projetação que os fabricantes arrastam há mais de 20 anos,
desde 1995.
Bilhões e bilhões de chips foram projetados com um único
propósito: tornar o processador o mais rápido possível, sem se perguntar
se a maneira como esta velocidade tinha sido obtida oferecesse os mais altos
critérios de segurança. Agora temos a resposta: não, os processadores devem ser redesenhados.
Boa notícia: explorar esta falha para acções criminosas não é nada simples. No entanto, é uma questão que afecta todos os processadores no mercado e, por enquanto, não existe solução: é necessário repensar a forma como os
processadores são projetados e isso de acordo com os especialistas
pode levar até uma década.
Do site Tecnoblog:
A Intel divulgou um comunicado afirmando que tem conhecimento do problema, mas ressaltou que as brechas não estão restritas a seus chips, citando nominalmente a AMD e a ARM. Diz ainda que “qualquer impacto no desempenho depende da carga de trabalho e, para o usuário comum, não deve ser significativo”.
A AMD admitiu que seus chips são vulneráveis, mas em uma escala menor. “A ameaça e a resposta às três variantes diferem de acordo com a fabricante do processador, e a AMD não é suscetível a todas as três variantes. Devido às diferenças na arquitetura da AMD, acreditamos que existe risco quase zero para os processadores da AMD neste momento”.
Em novo comunicado, a AMD informa que não está sujeita ao Meltdown; uma das variantes do Spectre têm risco quase zero de ser explorada nos chips da marca, devido às diferenças de arquitetura; e outra variante do Spectre poderá ser mitigada por correções de software, com “impacto insignificante na performance”.
A ARM confirma que alguns núcleos Cortex-A (A8, A9, A15, A17, A57, A72, A73 e A75), utilizados principalmente em smartphones com chips da Qualcomm, MediaTek e Samsung, são afetados, mas não os Cortex-M, focados em internet das coisas. O método “requer um malware rodando localmente e pode resultar em dados sendo acessados de uma memória privilegiada”, segundo a ARM.
Em primeiro lugar: actualizar o sistema operativo. Não que isso resolva tudo (como vimos, no caso de Spectre não há solução), mas pode limitar os riscos. A Microsoft, por exemplo, produziu uma patch para os datacenter, Amazon modificou o sistema Linux que gere as suas máquinas.
Para o Linux, as patches Kaiser estão disponíveis, é só preciso verificar se a nossa distribuição já as disponibilizou.
Microsoft corrigiu Windows 10 com a patch KB4056892.
Windows 7 e Windows 8 atualmente não são corrigidos no Windows Update, mas as patches podem ser aplicadas à mão:
Windows 7 SP1 and Windows Server 2008 R2:
4056897 January 3, 2018—KB4056897 (Security-only update)
2018-01 Security Only Quality Update for Windows Server 2008 R2 (KB4056897)
https://support.microsoft.c…
Windows 8.1 and Windows Server 2012 R2:
January 3, 2018—KB4056898 (Security-only update)
2018-01 Security Only Quality Update for Windows Server 2012 R2 (KB4056898)
https://support.microsoft.c…
Windows Server 2012:
https://support.microsoft.c…
Apple fechou temporariamente o problema no último MacOS 10.13.2 (mas será importante actualizar para MacOS 10.13.3, com uma patch mais efectiva).
Para os sistemas Android (portanto: smartphones) a Security Patch de Janeiro já trata do problema Meltdown. Mais uma vez: actualizar.
Até aqui, basicamente, as soluções para a primeira falha, a Meltdown: e no caso da Spectre? Aqui a situação é mais complicada porque não há solução, a não ser uma intervenção em cada software para que as aplicações não carreguem na memória dados sensíveis. Nada simples.
Google publicou uma lista de produtos que podem ter problemas: pode ser encontrada neste link. Os serviços cloud supostamente já foram corrigidos, enquanto as várias aplicações precisam de actualizações a serem adoptadas pelos usuários.
Ipse dixit.