Continuam as ondas de choque quanto ao chamado bug do Kernel, que parece afectar praticamente todos os processadores em todos os sistemas operativos, principalmente no caso da Intel, mas também no casos da AMD, Google, e Apple. O problema será ainda maior nos serviços cloud onde a gravidade será gigantesca nos serviços que não se protegerem. No entanto, se os principais envolvidos já declararam que estão a resolver o problema, para o CERT a única solução é a substituição do hardware, com custos catastróficos.

O CERT (ou Computer Emergency Readiness Team) é uma organização a nível mundial especializada no controle de incidentes informáticos, e tem um background incontestável nesta área. Hoje, em plena confusão e contradição gerada pela rápida divulgação de uma vulnerabilidade que tinha sido mantida secreta até agora, o CERT foi peremptório: todos são afectados, da AMD à Intel, passando por Apple, Google, Mozilla e serviços Cloud.

Embora o comunicado original anteriormente citado pareça ter sido alterado, o CERT disse numa primeira instância que resolver o problema por completo requererá a substituição do hardware. E estará correcto. Com a porção mais grave do problema localizada no próprio hardware, e na sua arquitectura pensada para execução especulativa de código, então poderá ser necessário repensar como fabricamos processadores para realmente sanar o problema.

Neste prisma, a utilização de updates de segurança apenas tapa um buraco que permanece e poderá ser explorado a qualquer momento. É interessante que se o CERT alterou a sua declaração quanto à necessidade de se substituírem por completo as CPU, a solução apresentada diz apenas que os updates de segurança mitigam o problema. Ora a definição de “mitigar” é minorar, suavizar, não resolver. O CERT é então claro: as soluções de software não resolvem o problema, reduzem apenas o risco.

Risco astronómico para a cloud

Hoje em dia vivemos num mundo conectado aos serviços na nuvem. Da Amazon à Google, passando pela Microsoft e Apple, milhões de empresas e aplicações precisam de se conectar a estes serviços, não só para se alojarem, mas também para desempenharem serviços e funcionalidades, como é o caso dos emergentes assistentes virtuais que dependem fortemente da cloud.

Se antigamente era possível encontrarmos centenas ou milhares de serviços de alojamento, hoje milhões de empresas concentram-se em muito menos alternativas. Nestas alternativas, estes milhões de empresas encontram-se a dividir espaços físicos, umas com as outras, mas em espaços de software separados. Dois sites num mesmo servidor são invisíveis e isolados, não sendo possível saltarmos de um site para o outro.

Excepto com a Spectre. Com esta vulnerabilidade, uma injecção de código poderia permitir a um atacante atravessar milhões de sites transversalmente, roubando informação vital de empresas e utilizadores, incluindo dados pessoais, passwords, códigos de encriptação, informação financeira ou médica.

Amazon, Google e Microsoft já se comprometeram com a segurança dos seus serviços, declarando que estão maioritariamente protegidos, sendo todavia possível que se verifiquem cortes de serviços enquanto são feitas as actualizações. Parece que o mundo estará seguro. Contudo, estamos perante uma bomba-relógio: até o problema do hardware estar corrigido, pode ser uma questão de tempo até se encontrar um furo no software que o protege.

DEIXE UMA RESPOSTA