Side Channel Attack, la amenaza invisible
- Reportajes
Apenas había arrancado 2018 cuando varios grupos de investigadores desvelaron la existencia de Spectre y Meltdown, unas vulnerabilidades que afectaban a procesadores de Intel, AMD, IBM y ARM, presentes en una inmensa cantidad de productos de hardware, debido a un fallo en la funcionalidad de optimización del procesador conocida como ejecución especulativa.
Esa vulnerabilidad podía, y puede, ser explotada a través de ataques de canal lateral, o side-channel attack, para acceder y robar información sensible de los dispositivos afectados engañando a los programas, ya sea filtrando sus secretos o accediendo a la memoria de otra aplicación.
Este conenido fue publicado el tema de portada de la revista IT Digital Security correspondiente al mes de enero, disponible desde este enlace.
Es habitual conocer la existencia de nuevas vulnerabilidades cada semana. De hecho, empresas como Microsoft o Adobe, tienen establecido desde hace años un programa de actualización de vulnerabilidades los segundos martes de mes. Existen además numerosos programa de detección de vulnerabilidades, o Bug Bounty Programs, que animan a expertos e investigadores a detectar fallos por los que reciben recompensas. El impacto de Meltdown y Spectre no sólo se debió a su alcance: la práctica totalidad de los procesadores fabricados desde 1995 y la aplicación de parches requiere una coordinación a gran escala en toda la industria, sino que abría una nueva era y suponían un presagio del tipo de problemas de seguridad que se verán en los próximos años.
Se añade el hecho de que en algunos casos la aplicación del parche necesario afecta drásticamente al rendimiento de los ordenadores. E incluso que a veces no es posible parchear, lo que significa que la vulnerabilidad permanecerá hasta que el ordenador, el sistema afectado, sea descartado.
Hay que dejar claro que Spectre y Meltdown atacan la ejecución especulativa de diferentes maneras. Meltdown es una vulnerabilidad más al uso, de forma que el error que cometieron los diseñadores del proceso de ejecución especulativa se soluciona y listo. Spectre es peor porque es un defecto en el concepto mismo de ejecución especulativa y no se puede parchear; los chips han de ser rediseñados de tal manera que se elimine el fallo.
Y esto es precisamente lo que supondrá un cambio a futuro, que los ataques contra el hardware, en lugar de contra el software, serán más comunes. Los ciberdelincuentes saben ahora que las vulnerabilidades en los chips es un área que da sus frutos, entre otras cosas porque también es un área menos explotada.
Side-Channel Attacks
Los llamados ataques de canal lateral van a crecer. Una de las definiciones de los Side-Channel Attack dice que es “una categoría de ataques en un dispositivo de cifrado con el objetivo de revelar su clave secreta. El atacante intenta descubrir ciertos patrones en el sistema mediante el análisis de la información obtenida de la implementación física del sistema. Esta información puede ser, por ejemplo, análisis de tiempo, consumo de energía, fugas electromagnéticas o incluso sonido”.
Explica Rambus en un post que una de las primeras instancias de un ataque de canal lateral se produjo en 1965, cuando el MI5 británico intentó descifrar un cifrado utilizado por la Embajada de Egipto en Londres. Después de que sus esfuerzos se vieron frustrados por las limitaciones del poder computacional de mediados del siglo XX, un científico llamado P. Wright sugirió colocar un micrófono cerca del rotor de la máquina de cifrado utilizada por los egipcios para monitorizar los sonidos; al escuchar atentamente los clics de los rotores cuando los empleados de cifrado los restablecen cada mañana, los agentes del MI5 lograron deducir con éxito la posición central de dos o tres de los rotores de la máquina. Esta información adicional redujo significativamente el esfuerzo de cómputo necesario para romper el cifrado, permitiendo que el MI5 espiara la comunicación de la embajada durante años.
A finales de los años 90 el científico Paul Kocher observó que las matemáticas de un sistema criptográfico podían ser subvertidas “a través del movimiento de la carga eléctrica, que consume energía y produce radiación electromagnética”.
Existen diferentes tipos de canal lateral. Aunque Spectre y Meltdown han popularizado los de caché, puede decirse que todos los sistemas electrónicos físicos habitualmente filtran información sobre su proceso interno de computación a través de su consumo de energía o emanaciones electromagnéticas. “Es importante mencionar que estos ataques deben ser perpetrados localmente, es decir, requieren que el atacante haya conseguido acceder a la máquina de la víctima por algún método alternativo”, dice José de la Cruz, director técnico de Trend Micro Iberia.
Cuando se ejecuta un side-channel attack el atacante busca aprovechar vulnerabilidades inherentes a algún componente del sistema amenazado en vez de atacar alguna debilidad del software o de los protocolos que emplea, explica Jorge López, SE Fortinet Iberia, añadiendo que “para ello se vale de cualquier fuente de información que se fugue de dicho sistema (energía electromagnética, emisión de calor asociada a patrones de consumo energético…).
Dice Eusebio Nieva, director técnico de Check Point para España y Portugal, que en general este tipo de ataques, por su complejidad técnica y su naturaleza poco precisa, han buscado de forma habitual evadir las protecciones sobre datos sensibles, especialmente las protecciones criptográficas a través de mecanismos que simplifican el análisis de estos datos cifrados al eliminar el posible número de claves que se han de atacar. “El riesgo en términos de fuga de datos, robo de contraseñas, accesos indeseados, etc. se multiplica y además el problema adicional es que este tipo de ataques suelen ser prácticamente invisibles o mucho más difíciles de detectar que otros ataques, básicamente porque, de la misma forma que utilizan información indirecta para el ataque, también la detección o prevención debe hacerse a través de estos canales indirectos, bien ensuciándolos o, por el contrario, limpiándolos completamente”, añade el directivo.
Dice Eutimio Fernández, Director de Ciber-seguridad en Cisco España, que un ataque de canal lateral es un ataque de ingeniería inversa, “que se basa en utilizar las emisiones ‘de efecto lateral’ que producen los circuitos electrónicos, como frecuencias, emisiones de calor y electromagnéticas durante las operaciones de cifrado. Dado que estas emisiones son efectos laterales del propio funcionamiento del circuito, de ahí reciben su nombre”, y añade que al analizar estas emisiones los ciber-delincuentes pueden deducir cómo funciona el circuito y qué información está procesando, con el riesgo de reconstruir llaves de cifrado y así obtener acceso al dispositivo y sus datos confidenciales.
Josep Albors, Responsable de Investigación y Concienciación de ESET España, tiene claro que la utilización de vulnerabilidades de este tipo es muy apreciada por los delincuentes “puesto que permiten acceder a sistemas vulnerables saltándose algunas de las medidas de seguridad existentes y además también permiten obtener persistencia en el sistema durante largos periodos de eventos”.
Para Marc Laliberte, senior security analyst de WatchGuard Technologies, “los ataques de canal lateral suelen ser más beneficiosos para robar información de entornos de procesamiento protegidos y compartidos”. Explica el ejecutivo que los entornos de cloud compartidos se basan en funciones de seguridad para evitar que los inquilinos accedan a los datos de los demás, y que los ataques de canal lateral permiten a los delincuentes eludir las características de seguridad y leer (o por lo menos “enfermar” o afectar) datos a los que no deberían tener acceso.
Valorando el impacto de Meltdown y Spectre
Con las vulnerabilidades Meltdown y Spectre hay un antes y un después. Su impacto trajo de cabeza a la mayoría de los responsables de TI, que estuvieron -si es que no siguen, durante meses aplicando parches que a veces ni funcionaron a la primera.
Para Jorge López, SE Fortinet Iberia, el riesgo asociado a ambas vulnerabilidades, que estuvieran afectados todos los fabricantes de microprocesadores, la celeridad con la que se tuvieron que desarrollar parches para sistemas operativos y que incluso afectara a proveedores de servicios en Cloud, “puso en el punto de mira a este tipo de amenazas, otorgándolas una popularidad que antes estaba reservada a las variantes más clásicas”.
Refiriéndose a Spectre y Meltdown, Eusebio Nieva habla de “cambio de paradigma en el entorno de este tipo de ataques”. Asegura el directivo que, por una parte, este tipo de ataque no necesitaba de elementos externos para el ataque y, por otra parte, se aprovechaba de la propia arquitectura del procesador para extraer información de manera inadvertida sin necesidad de otros dispositivos adicionales, “lo cual popularizaba en gran medida la posibilidad de utilizar este tipo de técnicaW. Además, la solución al problema tiene implicaciones importantes en el rendimiento puesto que desactiva algunas de las técnicas de paralelización y aceleración de los propios procesadores y, por último, afectaban a una amplia gama de dispositivos incluyendo móviles o dispositivos de gama más baja, lo cual hacía que se expandiera la posibilidad de peligro en muchos más tipos de dispositivos ampliando el perímetro de ataque.
Asegura también Nieva que el impacto que han tenido estos dos ataques “está estrechamente ligado con el nivel de concienciación de las empresas”. Con la aparición de Meltdown y Spectre, dado que el primero afecta a portátiles, ordenadores y servidores con microchips de Intel, mientras que Spectre podría abarcar teléfonos inteligentes, tablets y ordenadores con procesadores de Intel, ARM y AMD, “ha hecho que las organizaciones extremen la precaución y protección de todos los canales de comunicación y dispositivos inalámbricos. Ya no solo necesario proteger la red de ordenadores de las empresas, sino que con este tipo de ataques cualquier dispositivo está en riesgo”.
El descubrimiento de Meltdown y Spectre supuso, en opinión de Eutimio Fernández, “un antes y un después en este tipo de ataques, ya que se trata de procesadores (Intel, AMD o ARM) tremendamente extendidos en todo tipo de sistemas, compañías y consumidores, desde teléfonos móviles a servidores. La preocupación es que un atacante pueda utilizar la información sobre la implementación de algoritmos de cifrado para descifrar las claves secretas”.
El impacto de Meltdown y Spectre fue grande “Supuso un gran impacto puesto que afecta al diseño de los procesadores que se viene realizando desde hace muchos años”, dice Josep Albors, recordando que el rediseño y los parches aplicados para mitigar estas vulnerabilidades han costado una importante cantidad de dinero, “y esto sin tener en cuenta los daños causados por las posibles amenazas que aprovechen estos agujeros de seguridad”.
Los proveedores de servicios cloud son, en opinión de Marc Laliberte, los que se han visto más impactados por Meltdown, Spectre y el diluvio de vulnerabilidades similares que los investigadores revelaron a lo largo de 2018. Explica el experto de WatchGuard que “en entornos informáticos compartidos, un hipervisor evita que diferentes inquilinos accedan a los procesos de los demás. Spectre y Meltdown permiten a los atacantes eludir las protecciones normales del hipervisor”, y añade que ya que Spectre y Meltdown aprovechan ciertos atajos que los procesos modernos añaden para aumentar la potencia de cálculo, el parcheo de estos fallos “se produce a costa de esa potencia de computación”.
Estando de acuerdo en que el impacto de Spectre y Meltdown fue grande, José de la Cruz recuerda que “a día de hoy no se conocen ataques relevantes que hayan podido aprovecharse de estas vulnerabilidades”.
Side-Channel Attack en entornos cloud
Si en un sistema privado es crítico asegurar el aislamiento total entre las diferentes aplicaciones que corren en paralelo, más aún lo es cuando estas aplicaciones ni siquiera pertenecen a una misma organización, dice Jorge López. En el caso de infraestructura pública, un mismo servidor está ejecutando aplicaciones dentro de entornos virtuales, pero al final esas aplicaciones terminan haciendo uso de ciertos recursos compartidos, como la memoria. Si el atacante es capaz de usar la información que se fuga de un sistema para abrir brecha en uno los sistemas virtuales, podría obtener acceso a la información de otras organizaciones, “aun cuando estas organizaciones hayan seguido todas las best practices de ciberseguridad” explica el ejecutivo de Fortinet, añadiendo que de alguna manera, la protección de la información corporativa deja de estar solo en manos de la propia organización “y depende de las organizaciones con las que comparte dicha infraestructura, con el agravante de que no se puede saber cuáles son esas organizaciones”.
Apunta Eusebio Nieva que hay que particularizar entre entornos, SaaS, PaaS o IaaS porque en unos más que en otros “el cliente controla mejor el peligro dado que se puede asegurar que los parches que solucionan algunos de estos problemas están implantados en tanto que en otros casos esta responsabilidad recae en el proveedor del servicio”. Y añade que teniendo en cuenta el tipo de alojamiento, público o híbrido, “todo depende del servidor donde se aloje y el mantenimiento y seguridad con la que cuenten. En este contexto, la nube hibrida permite a la organización mantener una infraestructura privada para los recursos confidenciales. A priori parece un método más seguro, pero también se puede dar el caso de que una nube pública tenga mayor protección que una privada, por supuesto dependiendo del proveedor de servicio, niveles de calidad con respecto a la seguridad…”.
En opinión de Eutimio Fernández, sí, los ataques de canal lateral son más peligrosos en un entorno de nube, “especialmente cuando se trata de entornos multi-tenant de nube pública, ya que se comparten recursos de computación y las máquinas virtuales”. Una opinión en la que coincide con Josep Albors, quien afirma que “si varias empresas comparten el mismo servidor o servidores a la hora de almacenar datos confidenciales las posibles repercusiones son mucho más graves, puesto que un atacante puede llegar a obtener datos de varias empresas con un solo ataque”.
Marc Laliberte también coincide con sus colegas. Dice el expert de WatchGuard que “los ataques de canal lateral son más críticos en los entornos de nube pública en los que varias organizaciones independientes comparten el mismo hardware”.
Recuerda José de la Cruz que “los propios proveedores cloud, fueron los primeros en reaccionar e implementar mecanismos de protección”, precisamente porque al permitir acceso a zonas de memoria restringida, las vulnerabilidades potencialmente podrían permitir a un atacante acceder a datos de todos los clientes ubicados sobre dicha infraestructura cloud.
Un futuro con más ataques de canal lateral
“La tecnificación de todos los aspectos de nuestra vida cotidiana es el caldo de cultivo perfecto para que los atacantes encuentren objetivos más allá de los sistemas tradicionales”, dice Jorge López, SE de Fortinet Iberia. Explica el experto en seguridad que cualquier elemento que emita patrones de información y que almacene datos de valor está sujeto a ser atacado; “ya no hablamos de robar la información personal de clientes de una entidad, o las contraseñas de los usuarios de un servicio público, sino de clonar tarjetas de acceso sin contacto para robar coches, hackear sistemas de ticketing o a gran escala, atacar infraestructuras públicas”.
A favor el hecho de que este tipo de ataques “son tecnológicamente muy avanzados y se circunscriben a día de hoy al ámbito de las agencias gubernamentales y el espionaje industrial”, lo que lleva a Eusebio Nieva a asegurar que aunque pueden surgir ataques más avanzados o más populares “el coste beneficio es menor que en otros ataques y el ámbito de aplicación es, hasta cierto punto, menor”. Y añade que a pesar de que son ataques muy conocidos porque afectan a muchos ámbitos, son, por otra parte, difíciles de aplicar a todo tipo de usuarios y requieren de conocimientos más profundos por parte del atacante, “lo cual no quiere decir que no veamos ataques que aprovechen estas vulnerabilidades o técnicas con propósitos más dañinos como ransomware o similar”.
Para Eutimio Fernández, Director de Ciberseguridad en Cisco España, “el aumento de estos ataques dependerá de si empresas y usuarios han actualizado el firmware e instalado los parches de los fabricantes. Aunque hay un riesgo real potencial, no es tan elevado como en otros muchos ataques de malware más tradicionales. Los procesadores futuros también incorporarán más protecciones contra estas amenazas”. Dice el ejecutivo de Cisco que tanto los principales fabricantes de procesadores como los principales proveedores de software “han estado trabajando de forma conjunta para mitigar los efectos potenciales de estos ataques”.
Dice Josep Albors, Responsable de Investigación y Concienciación de ESET España que conforme pasa el tiempo hay más gente capaz de encontrar este tipo de vulnerabilidades, y que lo importante “es poder solucionarlas en un periodo de tiempo aceptable, invertir en el desarrollo seguro y, sobre todo, apoyar a los investigadores para que cada una de las vulnerabilidades encontradas sea reportada de forma responsable y con el debido reconocimiento”.
Para Marc Laliberte, senior security analyst de WatchGuard Technologies, en los últimos años, los fabricantes de hardware para equipos informáticos nos hemos esforzado enormemente, -hemos hecho magia, por decirlo de alguna manera-, para exprimir al máximo la eficiencia de la capacidad de procesamiento posible. “Creo que a medida que los investigadores continúen entendiendo y analizando a fondo la arquitectura del procesador, veremos más ataques similares a los de Spectre”, añade.
José de la Cruz, director técnico de Trend Micro tiene claro que el malware está diversificando sus técnicas de propagación e infección. “En este sentido, cualquier método existente es bienvenido para intentar ser aprovechado por un atacante o un malware, por lo que cabe esperar que vayan apareciendo nuevos ataques que utilicen estas vulnerabilidades en alguna de las fases del ataque”, dice el directivo.
Ciertamente, todos los ataques de canal lateral tienden a ser más específicos que la distribución masiva de malware, lo que hace que sea menos probable que una persona sea víctima de un atacante aleatorio. Por otro lado, deberíamos considerar las capacidades de dichos ataques en manos de organizaciones con más recursos.
Quizás los ataques de canal lateral no sean nuestras mayores amenazas ahora, pero no podemos ignorar su riesgo futuro. En un futuro con hogares aún más inteligentes y una mayor digitalización de los automóviles, no es difícil imaginar que los ataques de los canales laterales actuales se convertirán en las técnicas de ciberataque del futuro.
