En la conferencia Hot Chips en agosto, un panel de académicos dijo que resolver los problemas de seguridad actuales puede requerir un rediseño completo de los microprocesadores actuales.
La complejidad, las ineficiencias y los costos de la seguridad digital han dejado indiferente a la industria de la tecnología digital. Algunos líderes de la industria dicen que puede ser hora de una nueva arquitectura de procesador solo para poner fin al lodo actual de la tecnología de seguridad digital.
En Arm TechCon 2018 en San José, California, Arm publicó la segunda edición de su IoT Security Manifesto. Quería ver cómo la industria integrada está progresando hacia el logro de los objetivos que este documento estableció por primera vez y amplió este año. El resultado fue, como solía decir John Cleese, “no una salchicha”. Aquí están las preguntas: por qué.
Una pista estaba en un nuevo número de manifiesto en la sección sobre Meltdown and Spectre (MDS). La revelación de estos agujeros de seguridad a principios de este año ha frustrado los objetivos del manifiesto de 2017. Esto se debe a la sencilla razón de que los agujeros de seguridad están integrados en el propio hardware. Se emitieron parches, pero estos fueron derrotados fácilmente tanto por los usuarios como por los malos que atacaban el sistema. Todos los proveedores con los que he hablado han admitido que este es un problema al que se enfrentan y que los parches de software han causado una degradación del rendimiento del 10% al 15% en ciertos procesadores.
He estado entrevistando a los directores de seguridad de la información (CISO) durante unas cinco semanas. Al hacerlo, hice una pregunta simple. ¿Qué se necesita para que una red sea realmente segura? Solo su red, no Internet. Todos dijeron lo mismo: “No podemos”. Los CISO de empresas que compran e implementan tecnologías y servicios de seguridad saben que comprar todo lo posible no garantiza una Internet o intranet segura. Cada vez es más difícil justificar la inversión en más tecnología. “El estado actual de la tecnología de seguridad digital es como el lodo.
(Fuente: pixabay.com)
Como señalé en mi última columna, las preocupaciones inherentes a la seguridad de los sistemas se derivan de un código incorrecto escrito por ingenieros exhaustos y con exceso de trabajo. Existen estándares básicos de seguridad que los desarrolladores deben seguir para evitar estos problemas, y han surgido subsectores completos para ayudar a los equipos a lograr sus objetivos.Como se puede ver este video, Jim McElroy, vicepresidente de ventas y marketing de LDRA, dijo que esto es aún más importante para los sectores de tecnología automotriz e industrial. Pero eso es estrictamente desde el punto de vista del software. El problema de la seguridad digital es más profundo.
El quid del problema existía a nivel del procesador incluso antes de que se descubriera el MDS. Los procesadores multinúcleo prometían más potencia de procesamiento, pero los clientes comenzaron a quejarse de que no estaban viendo las ganancias de rendimiento anunciadas. Para resolver este problema, la industria de chips cambió del procesamiento en orden al procesamiento fuera de orden. Esto implicó poner tareas de uso frecuente en un caché y ejecutarlas cuando se esperaba que fueran necesarias. Si bien esto mejoró el rendimiento, también abrió un gran agujero de seguridad. También se describe la sección de manifiesto de la MDS.
Lo que esta sección pasó por alto fue que las tareas descargadas a menudo incluían números PIN, nombres de usuario, contraseñas, cuentas bancarias y más. Todo lo que buscaban los piratas informáticos ahora es fácilmente accesible para aquellos que saben cómo hacerlo. Los parches proporcionados por las grandes empresas (Intel, Apple, etc.) teóricamente cubrieron esos agujeros, pero la degradación del rendimiento correspondiente se hizo evidente para la comunidad de usuarios, por lo que se les indicó cómo cambiarlos caso por caso. apagado.
Llamé al soporte técnico después de notar esta desaceleración después de que Apple lanzó un parche en la primavera de 2018. Me mostraron cómo desactivar ciertas configuraciones, pero me di cuenta de que hacerlo pondría en riesgo mi sistema. En su lugar, actualicé a un sistema más rápido. Entonces, la realidad es que los clientes se enfrentan a la elección entre mantener sus datos seguros (bueno, hasta cierto punto) o usar una máquina que tarda menos de una hora en realizar una tarea.
Esta compensación es parte del pesimismo del CISO. Los CISO dicen que los sistemas digitales pueden ser (más o menos) seguros o productivos, pero no intermedios. El problema al que se enfrentan los CISO es, por tanto, fundamental. Este es un problema de la arquitectura del procesador subyacente, cualquier procesador está bien. MDS demostró que todas las arquitecturas de procesadores del mercado actual son vulnerables. La industria no puede abordar este problema dejando toda la carga y la responsabilidad de solucionarlo en el usuario. Muchos en los medios están de acuerdo.
Estaba hablando con William Wong, un veterano editor técnico de Electronic Design, sobre mi pregunta para el CISO. Los usuarios solo necesitan dar su consentimiento para el uso de la tecnología y aprender a aplicarla. Guillermo tiene razón. La mayoría de los problemas con la seguridad digital se deben a la mala higiene digital de los usuarios (malas contraseñas, por ejemplo) y la falta de inversión en aplicaciones seguras.
Desde la perspectiva de la industria, el estratega de seguridad de Intel, Matthew Rosenquist, dijo: [and] Cómo y por qué los atacantes explotan a las personas, los procesos y la tecnología para satisfacer sus motivos. Muy complicado. Dicho esto, el usuario medio puede mejorar mucho su seguridad siguiendo buenas prácticas básicas e higiene digital. ”
De hecho, los CISO son responsables de la seguridad de la intranet de su empresa y, hasta cierto punto, de la seguridad de sus productos. Se toman esa responsabilidad más en serio que la mayoría de los usuarios. Sin embargo, la comunidad de usuarios no está ignorando intencionalmente la seguridad digital. Simplemente están abrumados por eso. Como dijo Rosenquist, es “extremadamente complicado”. La desafortunada realidad es que hay grandes industrias que producen productos que saben que son peligrosamente inseguros, y su mejor respuesta es poner la carga sobre sus clientes.
Sin embargo, esta no es una opinión universal. Por ejemplo, George Slawek, director ejecutivo de Ceberus Labs en Polonia, calificó la típica respuesta del CISO como “patética e irresponsable”. Jorge continúa: Ransomware, phishing, ataques DDoS, etc. pueden ocurrir principalmente debido a una seguridad débil o inexistente. Pasar la culpa al usuario es exclusión de la policía. Cerberus es una startup que desarrolla soluciones de “criptografía ligera” para sistemas IoT.
“Parte del problema es la débil seguridad basada en credenciales (también conocidas como contraseñas)”, dice George. “Otra razón importante es que muchos dispositivos de IoT de punto final (por ejemplo, sensores) disponibles en el mercado hoy en día carecen de la capacidad (baja potencia, poca memoria, poca energía, lo que los hace vulnerables a la piratería).
Luego está la apatía por el cansancio. Como dijeron los ejecutivos de AT&T, hay muchas soluciones en el mercado, pero ninguna es completa. Hubo un pánico inicial en torno a Spectre y Meltdown, pero no hubo hacks significativos usándolos, por lo que también es un agujero de seguridad críptico… eso es lo que sabemos. El problema es que alguien podría usar (o ya usó) esta vulnerabilidad para acceder y copiar sus datos y usarlos con fines maliciosos. No hay forma de rastrear las infracciones. Es por eso que las principales empresas hacen todo lo posible para dar a los usuarios instrucciones sencillas sobre cómo desactivar las funciones de seguridad.
Esta indiferencia está muy extendida. Un representante de TSMC (aquí hay un patrón), que también solicitó el anonimato, dijo que la compañía había estudiado el costo de desarrollar un procesador seguro y el costo de proteger de manera efectiva sus servidores. Es más rentable dejarlos solos.
Una empresa que expuso en TechCon realizó un recorrido de clientes para destacar las correcciones de hardware para la funcionalidad de MDS y descubrió que a toda la base de clientes “simplemente no le importaba”. Como resultado, la empresa está redefiniendo esta funcionalidad como algo más que una aplicación de seguridad.
Arm reconoce que la respuesta no reside únicamente en el software, sino que requiere un enfoque completamente diferente que involucre tanto el hardware como el software, y así lo dice en su primer manifiesto. Pero un año después, en realidad se está moviendo en esa dirección, y puede contar con los dedos de una mano el número de empresas que exponen en TechCon.
Todo eso me devuelve a mis orígenes. En la conferencia Hot Chips en agosto, un panel de académicos dijo que un rediseño completo de los microprocesadores actuales podría ser la verdadera respuesta. El profesor Mark Hill, de la Universidad de Wisconsin-Madison, dijo que el modelo arquitectónico fundamental de los procesadores actuales tiene fallas fundamentales y que los problemas como MDS son el resultado o el fracaso del diseño de todos los chips de computadora modernos. El panel estuvo de acuerdo en que es imposible arreglar la arquitectura actual y que se necesita un nuevo enfoque desde cero.
En TechCon, encontré dos empresas que abordan este problema desde un enfoque de hardware/software. software lince y Winbond — Ambos ofrecen soluciones de software basadas en hardware, pero aún funcionan dentro de la arquitectura actual. Sin embargo, no todas las empresas asistieron a TechCon.
Axiado Corporation está a meses de revelar la respuesta, en forma de una arquitectura de procesador completamente nueva dirigida específicamente a la seguridad. En los últimos dos meses, Axiado abrió el telón y reveló dos características del producto que estarán disponibles en la primera mitad de 2019. intrusión. El segundo, anunciado a principios de noviembre, es un medio para tapar por completo los agujeros en el MDS.
Aunque esta es una arquitectura completamente nueva, no tiene que reemplazar los procesadores actualmente en el mercado. Un solo procesador en un servidor puede proteger a todos los demás procesadores en el servidor y todos los dispositivos conectados a él. Estas dos características por sí solas pueden reemplazar cientos de productos de software de seguridad en su red y limpiar completamente su pozo negro.
Esto causará estragos en la industria de la seguridad digital. Como resultado, muchas empresas y personas buscan algo más. Pero eso puede no ser algo malo en general.