{"id":732917,"date":"2023-07-16T17:13:51","date_gmt":"2023-07-16T17:13:51","guid":{"rendered":"https:\/\/magazineoffice.com\/debuta-el-plan-de-defensa-metior-contra-las-vulnerabilidades-de-canal-lateral\/"},"modified":"2023-07-16T17:13:56","modified_gmt":"2023-07-16T17:13:56","slug":"debuta-el-plan-de-defensa-metior-contra-las-vulnerabilidades-de-canal-lateral","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/debuta-el-plan-de-defensa-metior-contra-las-vulnerabilidades-de-canal-lateral\/","title":{"rendered":"Debuta el plan de defensa &#8216;METIOR&#8217; contra las vulnerabilidades de canal lateral"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Ha pasado un tiempo desde la explosi\u00f3n de reconocimiento que obtuvieron en 2019, pero prevenir ataques de canal lateral sigue siendo una parte importante de nuestra ciberseguridad.  Un enfoque ex\u00f3tico hacia el robo de informaci\u00f3n, los ataques de canal lateral estropearon los dise\u00f1os de CPU de AMD e Intel, con vulnerabilidades que demostraron ser lo suficientemente graves como para que las empresas prefirieran implementar parches que degradan el rendimiento en lugar de permitir que los clientes operen en hardware inseguro.  Ahora, un nuevo marco del MIT con el nombre de Metior tiene como objetivo mejorar la capacidad del mundo para comprender mejor los ataques de canal lateral y quiz\u00e1s mejorar la forma de defenderse de ellos.<\/p>\n<p>Metior es un marco de an\u00e1lisis creado por el Instituto de Tecnolog\u00eda de Massachusetts que tiene como objetivo simplificar los marcos de dise\u00f1o de hardware y software para mejorar las capacidades de defensa contra ataques de canal lateral conocidos (y desconocidos).  Esencialmente, Metior permite a los ingenieros evaluar cuantitativamente cu\u00e1nta informaci\u00f3n puede robar un atacante con un ataque de canal lateral determinado. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Es esencialmente una caja de arena de simulaci\u00f3n, donde los dise\u00f1adores de chips y otros ingenieros pueden encontrar qu\u00e9 combinaci\u00f3n de defensas maximiza su protecci\u00f3n contra los ataques de canal lateral, seg\u00fan su caso de uso.  Debido a que puede medir cuantitativamente cu\u00e1nta informaci\u00f3n se roba, puede calcular el impacto de su robo (seg\u00fan su sistema y programa y cualquier otra variable), lo que significa que ahora puede decidir incorporar protecciones contra los tipos de ataques m\u00e1s impactantes. .<\/p>\n<p>Al observar el problema subyacente, que los ataques de canal lateral son posibles gracias a la simple operaci\u00f3n de un sistema inform\u00e1tico y que las mitigaciones de hardware son costosas y no siempre se superponen, el MIT logr\u00f3 recopilar lo que equivale a una serie de reglas de dise\u00f1o.<\/p>\n<p>Estas reglas de dise\u00f1o est\u00e1n destinadas a maximizar la defensa a nivel de hardware contra una variedad de t\u00e9cnicas de ataque de canal lateral, al mismo tiempo que intentan emularlas para que puedan entenderse mejor.  Esta es una desviaci\u00f3n del m\u00e9todo de defensa un poco m\u00e1s desordenado adoptado por empresas cuyos productos eran vulnerables a los ataques de canal lateral (como Intel).  Para ser justos, ese enfoque, para proporcionar mitigaciones de hardware contra vectores de ataque de canal lateral espec\u00edficos, era necesario para detener la disminuci\u00f3n de la confianza causada por ser vulnerable al exploit en primer lugar.  Pero esas soluciones son como vendajes en heridas abiertas, cuestan demasiado rendimiento (como el 35 % en una vulnerabilidad particular de Spectre-v2) y la defensa de canal lateral requiere algo m\u00e1s s\u00f3lido y multifac\u00e9tico.<\/p>\n<p>Hablando con SciTechDaily, Peter Deutsch, estudiante graduado y autor principal de un art\u00edculo de acceso abierto sobre Metior, explica que <em>\u201cMetior nos ayuda a reconocer que no debemos mirar estos esquemas de seguridad de forma aislada.  Es muy tentador analizar la efectividad de un esquema de ofuscaci\u00f3n para una v\u00edctima en particular, pero esto no nos ayuda a comprender por qu\u00e9 funcionan estos ataques\u00bb. <\/em>\u00e9l dijo.<em> \u00abMirar las cosas desde un nivel superior nos da una imagen m\u00e1s hol\u00edstica de lo que realmente est\u00e1 sucediendo\u00bb.<\/em> \u00c9l concluy\u00f3.<\/p>\n<p>Los ataques de canal lateral son un tipo particularmente supersticioso: a trav\u00e9s de ellos, los atacantes ni siquiera necesitan acceder a ninguna l\u00f3gica de aplicaci\u00f3n espec\u00edfica para robar informaci\u00f3n, simplemente pueden observar c\u00f3mo funciona.  \u00bfCu\u00e1nto tiempo pasa accediendo a la memoria de las computadoras?  \u00bfQu\u00e9 tan profundo fue ese lavado de memoria?  Y recuerda que esto sucede en varios componentes dentro de tu PC: incluso las GPU son vulnerables a este tipo de ataque.<\/p>\n<p>Es casi lo mismo que poner los dedos en la mu\u00f1eca para tomar el pulso: puedes saber el latido de tu coraz\u00f3n, pero lo est\u00e1s extrapolando de otras fuentes de informaci\u00f3n;  no necesita mirar dentro de su contenedor (su coraz\u00f3n, cuerpo) o ver directamente su flujo de sangre.  Los ataques de canal lateral generalmente funcionan de la misma manera;  los atacantes pueden robar informaci\u00f3n valiosa simplemente observando el tr\u00e1fico y el flujo en momentos clave en la operaci\u00f3n de un programa determinado.<\/p>\n<p>Puede imaginar lo dif\u00edcil y costoso que es enmascarar algo como el latido del coraz\u00f3n de alguien, y eso es parte de la dificultad de protegerse de los ataques de canal lateral.  Pero, por lo general, la protecci\u00f3n contra estos ataques de robo de datos se asegura a trav\u00e9s de la ofuscaci\u00f3n: tratando de ocultar el equivalente del sistema inform\u00e1tico a un pulso (la informaci\u00f3n que pasa entre su memoria y la CPU). <\/p>\n<p>Entonces, si un ataque de canal lateral est\u00e1 buscando un patr\u00f3n de accesos a la memoria, por ejemplo, una forma de ofuscar eso ser\u00eda cambiar la forma en que el programa accede a la memoria: haciendo que obtenga otros bits de memoria innecesarios, vaciando y almacenando en cach\u00e9 a trav\u00e9s de m\u00e1s ciclos de informaci\u00f3n&#8230; lo que sea.  El objetivo es simplemente interrumpir la cadena predecible de bits que brindan a los atacantes de canal lateral la informaci\u00f3n que necesitan.<\/p>\n<p>Esto es dif\u00edcil y cuesta rendimiento, porque la seguridad se logra \u00abcodificando\u00bb activamente la informaci\u00f3n que a\u00fan se produce y se filtra simplemente ejecutando el programa en s\u00ed.  Y tambi\u00e9n cuesta d\u00f3lares de desarrollo, porque la mayor\u00eda de las t\u00e9cnicas para codificar estas se\u00f1ales inform\u00e1ticas \u00aborg\u00e1nicas\u00bb necesitan que ocurran otras operaciones superfluas para \u00abofuscar\u00bb los patrones reales que buscan los atacantes.  Cualquier cosa en computaci\u00f3n que cueste energ\u00eda y ciclos de computaci\u00f3n en \u00faltima instancia perjudica el rendimiento.<\/p>\n<p><em>\u201cCualquier tipo de desarrollo de microprocesador es extraordinariamente costoso y complicado, y los recursos de dise\u00f1o son extremadamente escasos.  Tener una forma de evaluar el valor de una funci\u00f3n de seguridad es extremadamente importante antes de que una empresa se comprometa con el desarrollo de microprocesadores.  Esto es lo que Metior les permite hacer de manera muy general\u201d,<\/em> dice Emer.<\/p>\n<p>Y de manera muy general, tambi\u00e9n es lo que todos los organismos y organizaciones del planeta quieren lograr: trabajar de manera m\u00e1s inteligente, no m\u00e1s dif\u00edcil.<\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-41<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ha pasado un tiempo desde la explosi\u00f3n de reconocimiento que obtuvieron en 2019, pero prevenir ataques de canal lateral sigue siendo una parte importante de nuestra ciberseguridad. Un enfoque ex\u00f3tico&hellip;<\/p>\n","protected":false},"author":1,"featured_media":732918,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[14087,190,9081,664,246,8414,97807,1525,23924],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/732917"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=732917"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/732917\/revisions"}],"predecessor-version":[{"id":732919,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/732917\/revisions\/732919"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/732918"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=732917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=732917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=732917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}