Dia de nervos junto das grandes tecnológicas. A publicação The Register revelou informações sobre a existência de graves falhas de segurança que afetam virtualmente todos os computadores, smartphones, tablets, servidores e outros gadgets que tenham processadores fabricados pela Intel, AMD e ARM.
Microsoft, Amazon, Apple, Google, Firefox e outras empresas já lançaram atualizações parciais ou definitivas de software que resolvem um dos problemas – chama-se Meltdown e, das falhas encontradas, acaba por ser aquela que afeta menos equipamentos, pois está segmentada a chips produzidos pela Intel.
Siga o Future Behind: Facebook | Twitter | Instagram
A falha de segurança existe na própria arquitetura de funcionamento dos processadores, isto é, na forma como todos os componentes de um processador comunicam entre si no processamento da informação. O kernel é o software central da arquitetura dos CPU e por norma a informação que lá passa não está encriptada, pois os típicos programas de computador ou smartphone não têm forma de aceder à informação que passa pelo Kernel. Ou não tinham, até agora.
O Meltdown é justamente um método que permite contornar as limitações de acesso à memória do kernel dos CPU. Resumindo, ao contornar a proteção do kernel é possível aceder a partes da informação não encriptada que é processada num determinado dispositivo. Segundo os investigadores que descobriram a falha, através do Meltdown um pirata informático pode roubar palavras-passe, fotografias, emails, mensagens instantâneas, documentos e outras informações sensíveis.
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP
— Michael Schwarz (@misc0110) 4 de janeiro de 2018
Bingo! #kpti #intelbug pic.twitter.com/Dml9g8oywk
— brainsmoke (@brainsmoke) 3 de janeiro de 2018
O caso é especialmente grave nos servidores partilhados: um cracker pode contratar um serviço de alojamento e através do Meltdown aceder às informações dos outros serviços e utilizadores que estão a partilhar o mesmo servidor.
O primeiro a descobrir a falha foi Jann Horn, um perito em segurança informática que trabalha no Google Project Zero, uma iniciativa criada justamente para encontrar as vulnerabilidades que existem em diferentes produtos tecnológicos antes dos ‘maus da fita’. A descoberta já tinha sido comunicada às tecnológicas em julho de 2017 e já havia atualizações em desenvolvimento – a Microsoft, por exemplo, já tinha incluído um update no Windows 10 que resolvia o problema, mas a atualização só foi enviada para os utilizadores do programa de testes antecipados do Windows Insider.
Leia também | No OLX tudo tem um preço. Menos as falhas de segurança
Acontece que este é um daqueles casos em que quase é pior a emenda do que o soneto: a atualização de software que resolve a falha Meltdown vai afetar a performance dos processadores, querendo isto dizer que dependendo dos dispositivos pode haver uma quebra de performance de 5 a 30%, segundo o The Register. De acordo com a imprensa especializada, esta quebra poderá não ser tão notória nos equipamentos de consumo, mas sim sobretudo junto dos equipamentos de alojamento.
Em comunicado a Intel nega esta teoria. “Ao contrário do que tem sido noticiado, quaisquer impactos na performance estão dependentes da tarefa, e, para o utilizador comum de computador, não deve ser significante e vai ser mitigado ao longo do tempo”.
Se pelo menos para o caso do Meltdown existe uma solução, ainda que possa ser agridoce, o caso para o Spectre é completamente diferente.
Uma vulnerabilidade com futuro
Com o Meltdown é possível, em linhas gerais, criar uma maior proteção para o kernel, algo que é tecnicamente conhecido como kernel page table isolation. Já o problema do Spectre é explorado de forma diferente: o software malicioso faz com que as aplicações revelem informações que de outra forma estariam inacessíveis, ao fazer o software pensar que a partilha dessa informação está a ser feita dentro do seu ambiente seguro.
Os investigadores dizem que é muito mais difícil explorar o Spectre do que a falha Meltdown, mas por outro lado também será muito mais difícil, senão mesmo impossível, de corrigir. O problema está invariavelmente associado à arquitetura dos processadores, o que em teoria só será resolvido com a substituição do processador por versões futuras cujas arquiteturas já contemplem proteções contra o Spectre.
A escala do problema é enorme: não só afeta virtualmente todos os equipamentos que contêm um chip dentro de si produzido nos últimos 20 anos, como poderá demorar vários anos até que as tecnológicas desenvolvam novas arquiteturas capazes de garantir o mesmo desempenho, mas sem as mesmas falhas. Leu bem: é uma falha que vai afetar muito provavelmente equipamentos que nem sequer foram lançados.
Leia também | Mirai: Como três jovens criaram um monstro tão grande que se tornou impossível de controlar
“Fizemos uma grande asneira. Sempre houve este desejo da indústria de ser o mais rápida e segura possível ao mesmo tempo. O Spectre mostra que não podes ter ambos”, comentou o investigador Paul Kocher, que esteve envolvido nos estudos que detalham as falhas Meltdown e Spectre, ao The New York Times.
O Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores dos EUA (CERT-US) confirma no seu boletim de segurança que a única forma de resolver o Spectre é substituindo o CPU por um que não seja vulnerável – até ao momento não há indicações de CPU modernos e potentes que sejam imunes à vulnerabilidade.
Se do lado das tecnológicas o problema já tinha sido reportado, por que razão não foi dada uma resposta antes que o problema se tornasse conhecido e uma arma ativa para criminosos? Segundo escreve o TechCrunch, havia um plano concertado para revelar o Meltdown e o Spectre.
Provavelmente na próxima semana, as tecnológicas iriam revelar que os seus programas já tinham sido atualizados, ao mesmo tempo que seriam revelados pela primeira vez os detalhes das falhas. Mas a antecipação feita por parte da publicação The Register deitou o plano concertado por Terra – as vulnerabilidades estão ativas e podem ser exploradas.
Para o Meltdown aconselha-se a atualização dos principais software que usa, seja o sistema operativo, o browser ou outra aplicação. Já no caso do Spectre será necessário esperar por novas informações para perceber em concreto como ou se poderá de alguma forma ser evitado.