Linux Adictos Isaac  

Comprueba si estás afectado por Meltdown y Spectre y defiéndete!!!

Meltdown y Spectre logo con parche Linux

Meltdown y Spectre son las tendencias de los últimos días, prácticamente no se habla de otra cosa y es que no es para menos, ya que son probablemente las vulnerabilidades más importantes de la historia. Afectan gravemente a la seguridad de nuestros sistemas y si el sistema es de una empresa o tienes datos relevantes el problema es mucho más grave. No obstante siempre se piensa que solo están afectados los equipos de sobremesa, portátiles, servidores y supercomputadoras, pero los daños van más allá y afectan a muchos más dispositivos, como los basados en cores ARM y ahí se incluyen desde tablets, smartphones, algunos dispositivos IoT, industriales, domótica, hasta coches conectados.

Como bien sabes tampoco es algo único de Linux ni mucho menos, sino que afecta a diversos sistemas operativos, también Microsoft Windows y macOS están afectados por ello, sin olvidar a iOS y Android. Por tanto pocos se escapan de estas amenazas, aunque bien es cierto que ciertas arquitecturas de CPUs se libran y que si tenemos un chip de AMD probablemente las posibilidades de explotación de estas vulnerabilidades sean menores, pero eso no quiere decir que no exista riesgo alguno.

¿Cuál es la situación actual para Linux?

Bugs (bichos)

Linux básicamente mueve al mundo, a pesar de que muchos creen que es un sistema que apenas se utiliza, es todo lo contrario. Posiblemente ha fracasado en el aspecto de que fue creado para el escritorio y ese es precisamente el único sector donde es minioritario frente al todopoderoso Windows y frente a una buena porción que tiene Mac. Si nos vamos a dispositivos empotrados o embebidos, servidores, supercomputadoras, etc., Linux es dominante y es precisamente los servidores de Internet en los que se vuelve vital y sin él prácticamente se puede decir que Internet se caería…

Es por eso que en Linux se reaccionó antes que en ningún otro sistema para solventar los problemas que podrían dejar Meltdown y Spectre. Ya Linus Torvalds se pronunció al respecto con unas duras palabras hacia Intel y si hechas un vistazo a las LKML veréis que es un tema que preocupa y está a la orden del día. Y su mano derecha y número dos en el desarrollo del kernel Linux, Greg Kroah-Hartman también lo ha hecho. Para más información podéis consultar su blog personal donde encontraréis bastante información.

  • Meltdown: Básicamente Greg ha comentado que respecto a Meltdown se puede poner fin en los x86 optando por incluir CONFIG_PAGE_TABLE_ISOLATION, un aislamiento de tabla de página (PTI) que los equipos con procesadores de AMD, no afectados por ello, deberían evitar para no generar problemas con el rendimiento. Incluso habréis conocido que algunos equipos con chip AMD han dejado de arrancar porque el parche para Windows ha generado serios problemas. PTI será incluido en Linux 4.15 por defecto, pero por su importancia en cuanto a seguridad será incluido en versiones anteriores como las LTS 4.14, 4.9 y 4.4… y probablemente con el tiempo se vaya incorporando el parche en otras muchas versiones, pero paciencia porque supone una sobrecarga de trabajo para los desarrolladores. Y además se están topando con problemas derivados del parche como los de vDSO en algunas configuraciones de máquinas virtuales. En lo que respecta a ARM64, levemente afectado por Meltdown que es un problema principalemnte de Intel, los chips de muchos dispositivos móviles y otros aparatos también necesitan de un parche, aunque parece que no se fusionará con el árbol del kernel principal a corto plazo (tal vez en el Linux 4.16, aunque Greg ha comentado que tal vez nunca lleguen debido a la cantidad de requisitos previos que necesitan los parches para aprobarse) y por tanto se aconseja hacer uso de kernels específicos, es decir, Android Common Kernel en sus ramas 3.18, 4.4 y 4.9.
  • Spectre: el otro problema afecta a más arquitecturas, y es más complicado de tratar. Parece que no tendremos una solución buena a corto plazo y tendremos que coexistir con este problema durante un tiempo. En sus dos variantes necesita que el sistema sea parcheado y ya algunas comunidades de desarrollo de ciertas distros han comenzado a lanzar parches para mitigarlo, pero las soluciones aportadas son diversas y por el momento no se integrarán como parte de la rama principal del kernel hasta que se vea la mejor de las soluciones antes de que los diseñadores de CPUs aporten la mejor de las soluciones (rediseñar sus chips). Las soluciones se han estudiado y están encontrando algunos problemas por el camino, como el mayor desconocimiento sobre Spectre. Los desarrolladores necesitan un tiempo para saber cómo acatar el problema, y el propio Greg ha comentado que “esta va a ser un área de investigación en los próximos años para encontrar formas de mitigar posibles problemas que implican al hardware, que además intentarán predecirlas en el futuro antes de que sucedan“.

¿Cómo comprobar fácilmente si estoy afectado?

Buscador

Para no andar consultando tablas o listas de microprocesadores, aquí te proponemos un script que han creado para poder comprobar fácilmente si estamos afectados o no, simplemente tenemos que descargarlo y ejecutarlo y nos dirá si estamos o no en peligro por Spectre y Meltdown. Las instrucciones o pasos a seguir son sencillos:


git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

Tras ejecutar esto nos aparecerá un recuadro en rojo para indicarnos si somos vulnerables a Meltdown o a Spectre o un indicador en verde en el caso de que estemos a salvo de las variantes de estas vulnerabilidades. En mi caso, por ejemplo, al tener una APU AMD (sin ni siquiera haber actualizado el sistema), el resultado ha sido:

NOT VULNERABLE

En caso de que el resultado haya sido en rojo VULNERABLE leer siguiente aparatado…

¿Qué hacer si estoy afectado?

Microprocesador

La mejor solución, como algunos dicen, pasa por cambiar a una CPU o microprocesador que no esté afectado por el problema. Pero esto no es factible para muchos de los usuarios por falta de presupuesto u otros motivos. Además, los fabricantes como Intel siguen vendiendo microprocesadores afectados y que han sido lanzados hace poco, como Coffee Lake, puesto que las microarquitecturas suelen tener largos tiempos de desarrollo y ahora se trabaja en el diseño de futuras microarquitecturas que aparecerán en el mercado en próximos años, pero todos los chips que se están comercializando ahora y que probablemente se comercialicen en los próximos meses seguirán estando afectados a nivel de hardware.

Por eso, en el caso de padecer este mal y necesitar “solucionarlo” no nos queda otra que parchear nuestro sistema operativo (no olvides los navegadores, etc.), sea cual sea, y también actualizar todo el software del que disponemos. Si tener bien configurado el sistema de actualizaciones era ya muy importante, ahora más que nunca debes mantenerte al día de las actualizaciones, ya que con ellas vendrán los parches que solventan desde la parte del software el problema de Meltdown y Spectre, no sin una pérdida de rendimiento como ya dijimos…

La solución no es complicada para el usuario, no tenemos que hacer nada “especial”, simplemente asegurarnos de que el desarrollador de nuestra distribución ha lanzado la actualización para Meltdown y Spectre y que la tenemos instalada. Más información al respecto.

Pérdida de rendimiento: se hablaba del 30% en algunos casos, pero dependerá de la microarquitectura. En arquitecturas más antiguas la pérdida de rendimiento puede ser muy severa debido a que las ganancias de rendimiento que tienen estas arquitecturas se basan principalmente en las mejoras aportadas por la ejecución OoOE y el TLB… En arquitecturas más modernas se habla de entre el 2% y el 6% dependiendo del tipo de software en ejecución para usuarios domésticos, posiblemente en centros de datos las pérdidas sean bastante superiores (sobre 20%).

No olvides dejar tus comentarios con tus dudas o sugerencias…

El artículo Comprueba si estás afectado por Meltdown y Spectre y defiéndete!!! ha sido originalmente publicado en Linux Adictos.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.