A fabricante de processadores Intel realizou testes de desempenho nas últimas três gerações de seus chips para avaliar o impacto das atualizações que corrigem as brechas Meltdown e Spectre. A tabela mostra que os processadores retiveram cerca de 95% do desempenho; no teste mais negativo, porém, um chip da sexta geração (a atual é a oitava) ficou 1/5 mais lento do que antes da correção em um teste no Windows 10 com SSD.

A Intel também revelou que está investigando por que alguns computadores estão tendo problemas com reinicializações indevidas após a atualização do chamado "firmware".

Embora tenha tentado minimizar o impacto da Meltdown e da Spectre no desempenho de seus chips, é a primeira vez que a Intel fornece números específicos. A empresa usou as ferramentas de teste SYSMark, PCMark, 3DMark e WebXPRT. O documento com a tabela pode ser baixado diretamente no site da empresa (aqui).

Todos os números na tabela estão em porcentagem relativa ao desempenho antes da atualização; 100% significa que o desempenho não mudou, por exemplo. O desempenho em jogos (3DMark) ficou praticamente inalterado, mesmo nas peças mais antigas, mas um dos testes do SYSMark e o WebPRT ficaram abaixo dos 95% na maior parte dos cenários. Segundo a Intel, a margem de erro do teste é de 3% para mais ou para menos.

Em um único cenário, com SYSMark para análise financeira no chip da sexta geração no Windows 7 e com o uso de disco rígido comum, o desempenho observado ficou acima de antes da atualização e da margem de erro, em 106%. O mesmo teste com SSD e no Windows 10 também teve resultado positivo, mas dentro da margem de erro (103%).

A Intel não forneceu números para as gerações ainda mais antigas, como a Haswell. Os produtos da série Haswell, de quarta geração, foram lançados em 2013 e 2014. Segundo a Microsoft, chips da geração Haswell e anteriores são os mais afetados.

Imagem: O fantasma da falha Spectre que, segundo os especialistas, é uma referência ao fato de que a falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio Público)

Atualização faz computadores reiniciarem

Computadores com processadores das séries Haswell estão sofrendo com mais um problema após aplicar as atualizações: as máquinas estão reiniciando de forma indevida. O problema também parece afetar a quinta geração, conhecida como Broadwell. A Intel comunicou na quinta-feira (11) que está investigando o problema, mas disse que usuários devem continuar instalando quaisquer atualizações disponibilizadas pelos fabricantes dos computadores.

O problema das reinicializações afeta quem aplicou uma atualização de firmware. Esse tipo de atualização, embora seja criada pela Intel, é repassada pelos fabricantes de computadores e placas-mãe. Muitos sistemas, especialmente para uso doméstico, podem ficar sem essa atualização, já que nem todos os fabricantes ainda atualizam placas e produtos que lançaram há quase cinco anos.

A AMD, principal concorrente da Intel no mercado de computadores de mesa, notebooks e servidores, também sofreu com problemas ligados às atualizações que corrigem a falha Spectre no Windows. Computadores com chips antigos da AMD entraram em ciclo de reinicialização, ficando inoperantes.

A Microsoft suspendeu as atualizações para esses chips da AMD (a empresa não especificou quais) e ainda trabalha para resolver o problema. A criadora do Windows culpou a AMD pelo ocorrido, alegando que a documentação técnica fornecida tinha um erro. O erro tornou a atualização, criada a partir desse documento, incompatível com alguns processadores.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Imagens das falhas Meltdown (o escudo derretendo) e Spectre (fantasma). (Foto: Natascha Eibl/Domínio Público)

Alguns usuários de Windows podem não estar recebendo as atualizações para as falhas Meltdown e Spectre por uma razão peculiar: a incompatibilidade com o software antivírus. A Microsoft anunciou que as atualizações entram em conflito com programas antivírus que interagem com a chamada memória kernel de maneira irregular e que, por isso, todos os programas antivírus precisam sinalizar ao Windows que são compatíveis com a mudança.

Caso o antivírus não informe ao Windows que ele é compatível com as atualizações, o Windows não será atualizado e permanecerá vulnerável. Segundo a Microsoft, o problema atinge apenas uma pequena parcela de produtos, mas os nomes e versões não foram revelados.

Mesmo assim, todos os programas disponíveis no mercado terão de ser atualizados para definir um ajuste que informa ao Windows que o produto é compatível com as atualizações.  Caso o software não faça isso, o sistema permanecerá sem as atualizações e, portanto, vulnerável. Quem está com um antivírus desatualizado, por exemplo, ficará sem as atualizações -- afinal, mesmo que o produto não seja incompatível, ainda cabe a ele informar isso ao Windows, e o antivírus antigo não "sabe" como fazer isso.

SAIBA MAIS
Microsoft diz que atualizações deixaram computadores mais lentos

De acordo com a documentação da Microsoft, quem não usa antivírus (porque desativou o Windows Defender, que é embutido no Windows 10, por exemplo, ou porque usa Windows 7 e não instalou um antivírus) é obrigado a fazer esse ajuste manualmente. Caso contrário, o computador ainda ficará sem as atualizações. As instruções da Microsoft estão aqui (https://support.microsoft.com/pt-br/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software).

Atualizações foram suspensas para chips antigos da AMD

A Microsoft também anunciou que as atualizações estão suspensas para alguns modelos antigos de processadores da AMD. A suspensão ocorreu depois que usuários reclamaram que não conseguiam mais iniciar o sistema operacional após aplicar a atualização. Embora raramente aponte culpados quando uma incompatibilidade com uma atualização ocorre -- como no caso dos antivírus, que não foram listados --, a Microsoft foi categórica nesse caso: a culpa é da AMD.

Segundo a Microsoft, uma documentação técnica fornecida pela AMD para auxiliar a Microsoft a eliminar as falhas tem um erro, e é por isso que a atualização tornou o Windows incompatível com esses processadores mais antigos. A Microsoft disse que deve resolver o problema até a próxima semana.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

É verdade que a falha de segurança Meltdown não é exclusiva dos processadores Intel, mas a empresa -- a maior fabricante de processadores para computadores, notebooks e servidores -- não pode varrer para baixo do tapete os problemas já divulgados em seus chips em maio e novembro de 2017.

A primeira falha, de maio, encontra-se no Active Management Technology (AMT), uma tecnologia da Intel que auxilia a administração de computadores remotamente. Embora seja grave, o AMT é voltado ao mercado corporativo e raramente está presente em sistemas usados por consumidores. Mesmo assim, o problema atingiu desde servidores a caixas eletrônicos usados por bancos.

A segunda brecha, divulgada em novembro, é na verdade um conjunto de falhas encontradas no Intel Management Engine (Intel ME). Como a Intel revela muito pouco sobre o ME, quase tudo que se sabe sobre ele é fruto do trabalho de pesquisadores e curiosos. Hoje, sabe-se que o ME é capaz de executar um sistema operacional completo, e que, portanto, ataques contra o ME tem potencial para quebrar diversas barreiras de segurança e até comprometer informações.




Falhas Meltdown e Spectre foram as únicas que ganharam ícones e apelidos. (Foto: Natascha Eibl/Domínio Público)

Das três falhas, a Meltdown, divulgada na semana passada, é a que mais está recebendo atenção (as duas anteriores nem chegaram a receber apelidos ou ícones). De certo modo, a Meltdown é a menos grave das três. Embora já se saiba que a Meltdown não é exclusiva da Intel (alguns processadores baseados em ARM fabricados pela Apple e Qualcomm também sofrem da falha), a AMD, única concorrente nos principais mercados da Intel, não sofre desse problema.

Embora a Intel tenha um dom para escapar ilesa de quase tudo que poderia balançar sua posição no mercado, 2018 é o primeiro ano em quase uma década que a AMD começa com produtos que de fato podem concorrer em recursos, tecnologia, desempenho e consumo energético -- este último um fator especialmente para empresas, que às vezes precisam manter milhares de processadores ligados simultaneamente. Cada watt poupado conta.

Publicamente, a empresa minimiza o impacto das falhas, mas uma reportagem com fontes anônimas do jornal Oregonian desta segunda-feira (8) afirmou que a Intel formará um novo grupo interno voltado para a segurança dos seus processadores.

FALHAS SEM 'APELIDOS' AINDA SÃO GRAVES

O que realmente impressiona nas falhas Meltdown e Spectre é a forma como elas abalam um pilar básico da segurança em computadores e o preço em desempenho que alguns terão de pagar para eliminar o problema (a Intel, sempre positiva, diz que as perdas serão mínimas, mas a Microsoft afirmou que usuários de chips Haswell ou mais antigos, e que usem Windows 8 ou Windows em servidores, podem ter perdas de desempenho perceptíveis).

Em contrapartida, as duas outras vulnerabilidades, nos recursos de AMT e ME, afetavam recursos opcionais -- um "extra" -- que a Intel coloca em seus processadores. E a solução para essas falhas, quando disponível, não traz consequências negativas.

Mas esses fatores têm pouca relação com o papel que essas falhas podem ter em um ataque. Obter o controle total de uma máquina de maneira quase que imperceptível -- que é o que duas falhas anteriores permitem, se exploradas com sucesso -- tem utilidade prática para qualquer invasor.

CORREÇÃO É DESAFIO

Qualquer falha em recursos providos pelo hardware, hoje, é difícil de ser corrigida. A Meltdown e a Spectre obrigaram os desenvolvedores de software e hardware a agir, mas as falhas no AMT e no ME tiveram que ser corrigidas pela própria Intel.

Em geral, um fabricante de processadores depende de parceiros -- seja de integradores como Dell, HP e Lenovo ou fabricantes de placas-mãe, como Asus, Gigabyte e MSI -- para que as correções cheguem aos seus clientes. Pior ainda: muitos consumidores, especialmente usuários domésticos e pequenas empresas, podem não saber como aplicar essas correções -- e há o risco de essas atualizações nem serem disponibilizadas.

SAIBA MAIS
Falha em chip de placas-mãe permite burlar proteções do Windows

Esse já foi um problema comum em celulares com Android, que não recebiam as atualizações criadas pelo Google. Foi necessário que o Google modificasse a arquitetura do Android e que diversas condições fossem impostas aos parceiros para que as atualizações começassem a chegar aos aparelhos.

No caso da Intel, AMD e outras fabricantes de hardware, esse problema pode estar apenas começando. Bruce Schneier, um renomado especialista em segurança, apostou que 2018 será o ano das falhas em chips de processamento. Para Schneier, os especialistas em segurança nunca nem tentaram procurar por falhas em chips e a corrida por desempenho e recursos travada nas últimas décadas certamente deixou a segurança pelo caminho. Isso explica por que problemas que existem há vários anos estão vindo à tona agora: a falha do AMT é de 2010, as do ME também existem há vários anos e a Spectre/Meltdown está em uma otimização de desempenho que era novidade em 1995.

Distribuir atualizações pode ser ainda mais complicado para outros fabricantes, como a Qualcomm e a Nvidia, que produzem chips voltados para a internet das coisas e para o setor automotivo. Ninguém imagina que o microprocessador de uma geladeira possa ter uma falha grave ou qual pode ser o custo disso para a segurança da internet ou de uma casa conectada.

Cristiano Amon, presidente da Qualcomm, afirmou durante a CES que as falhas não são uma preocupação no mercado da empresa, já que o hardware nos celulares e dispositivos semelhantes é mais fechado e não costuma executar códigos desautorizados. Ele tem razão, mas, se falhas mais graves forem encontradas em chips, ou se as falhas puderem ser combinadas com outras brechas de software, isso pode deixar de ser verdade.

Com o cenário da segurança em software e aplicativos amadurecido, o hardware aparece como uma fronteira mais interessante para pesquisa, onde grandes descobertas como a Meltdown e a Spectre ainda são possíveis.


Siga a coluna no Twitter em @g1seguranca.

Fabricantes de software e hardware estão sabendo das falhas Spectre e Meltdown, corroem o isolamento entre programas executados em computadores e celulares, pelo menos desde junho de 2017. A Mozilla, desenvolvedora do navegador Firefox, confirmou que a falha pode ser explorada dentro de navegadores de internet para burlar o isolamento que impede um site de ler a memória de outro e modificou o Firefox em meados de novembro, quando a falha ainda não era de conhecimento público.

Em um ataque teórico, um site qualquer poderia ler o conteúdo de outra aba aberta do navegador. Se você tem o banco aberto, outro site que também estiver aberto poderia ler os dados que estão na página do banco, por exemplo. No pior dos casos, senhas e dados pessoais poderiam ficar expostos mesmo quando um site não foi aberto intencionalmente, porque um site malicioso poderia forçar o navegador a abrir a página.

SAIBA MAIS
Falhas Meltdown e Spectre não atingem apenas Intel: entenda

O Firefox 57, lançado em meados de novembro, diminuiu a precisão das funções que calculam a passagem do tempo. Isso deve impedir a exploração da falha, pois ataque depende de um cálculo exato de tempo para determinar o valor da memória lida indevidamente (se você entendeu a falha pela analogia da coluna Segurança Digital, com caixas e lixo, a mudança da Mozilla "impede o cálculo do peso da lixeira").

A correção é considerada temporária até que novos mecanismos de proteção sejam desenvolvidos.

O Chrome, do Google, ainda não recebeu uma atualização. Programada para o da 23 de janeiro, a versão 64 também vai interferir na precisão dos cálculos de tempo e é considerada temporária. O Google já alertou que as modificações devem impactar o desempenho do navegador.

Uma solução mais definitiva no Chrome é o isolamento de site estrito ("Strict Site Isolation"). O recurso só pode ser acionado na tela de configurações experimentais (chrome://flags) e o Google alerta que o consumo de memória do navegador - já notoriamente alto - pode ficar até 20% maior. O Google diz que ainda está trabalhando para resolver essa e outras questões para viabilizar o uso dessa função de segurança.

Imagem: Fantasma da falha Spectre. Símbolo foi escolhido porque especialistas acreditam que a falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio Público)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A fabricante de processadores Intel reconheceu vulnerabilidades na plataforma Intel Management Engine (Intel ME), uma espécie de "caixa preta" presente em seus processadores. A empresa disponibilizou atualizações que devem ser distribuídas por fabricantes de computadores e placas-mãe, bem como uma ferramenta para que consumidores possam identificar os sistemas afetados.

Pesquisadores de segurança alertaram recentemente que esse componente oculto na verdade roda um sistema operacional completo, executado paralelamente com o sistema realmente em uso no computador (como o Windows ou Linux). Por causa disso, falhas no Intel ME têm potencial para comprometer completamente o sistema para instalar vírus, extraviar dados ou interceptando comandos.

Embora o Intel ME seja executado pelos processadores da Intel (incluindo as linhas Core, Xeon, Celeron e Atom), o recurso em si está presente no chipset, que é parte da placa-mãe, e muitos fabricantes desligam certas funções do Intel ME. O software, porém, ainda está presente.


Diagnóstico em sistema não vulnerável. (Foto: Reprodução)



Diagnóstico em sistema vulnerável. (Foto: Reprodução)

Para verificar se o computador é vulnerável, é preciso baixar uma ferramenta no site da Intel (aqui). Após descompactar o arquivo, deve-se abrir a pasta "DiscoveryTool.GUI" para executar o programa "Intel-SA-00086-GUI". Se o sistema estiver vulnerável, é preciso consultar o fabricante do computador ou da placa-mãe para verificar se uma atualização existe. Não existe meio padronizado para atualizar esse componente, o que significa que o processo será diferente para cada computador ou fabricante.

Como a brecha atinge processadores desde a sexta geração dos Intel Core, de 2015, é possível que muitos fabricantes considerem os equipamentos "obsoletos" e não lancem as atualizações. No momento, apenas três fabricantes aparecem em uma lista da Intel: Lenovo, Dell e a própria Intel, que fabrica os sistemas NUC e Compute Stick.

As brechas foram encontradas em uma "revisão aprofundada da segurança" do Management Engine, segundo a Intel. A análise foi realizada "em resposta a problemas identificados por pesquisadores externos".

Caixa preta e 'pesquisa externa'

A Intel não divulga informações sobre o código que está em execução no Intel ME, nem quais seriam as capacidades dele. Especula-se que o Intel ME seja capaz de controlar todos os aspectos do computador, porque, embora o software nele executado não tenha comunicação direta com o sistema operacional, ele ainda tem acesso ao hardware.

Pesquisadores de segurança da Positive Technologies prometeram demonstrar ataques graves contra o Intel ME durante a conferência Black Hat em Londres, agendada para os dias 3 e 4 de dezembro.

Segundo um resumo do trabalho, já publicado no site do evento, um vírus instalado no Intel ME não poderia ser removido com a reinstalação do sistema operacional. Também não haveria meio de identificar a presença do código malicioso.

"O PCH [local onde se localiza o Intel ME] é encarregado de quase toda a comunicação entre o processador e dispositivos externos. Portanto, o Intel ME tem acesso a quase todos os dados do computador, e a habilidade de executar código de terceiros permite comprometer a plataforma completamente", afirmam os pesquisadores.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Microsoft liberou uma atualização para um componente do Office usado para editar equações do Word. O software tinha uma brecha de segurança que permitia executar comandos ao abrir um documento do Office, mesmo nas versões mais recentes da suíte de escritório distribuídas aos assinantes do Office 365  A vulnerabilidade passou despercebida por 17 anos, mas foi descoberta pela empresa de segurança Embedi.

A falha foi relatada para a Microsoft em março, mas o problema só foi corrigido na última terça-feira (14). O arquivo vulnerável, chamado de "EQNEDT32.EXE", não é mais usado nas versões recentes do Office, mas é preciso mantê-lo disponível para dar compatibilidade com documentos criados em versões antigas do software.

Segundo a Embedi, o modo protegido do Word, usado para abrir documentos baixados da internet, impede a exploração da falha. Caso o usuário autorize o Word a sair do modo protegido, porém, o problema pode ser explorado e o resultado é a contaminação do computador com um vírus.

Correção peculiar
Especialistas em segurança da 0patch analisaram a atualização distribuída pela Microsoft e especularam que, aparentemente, a Microsoft não editou o código fonte do software para corrigir o problema. Em vez disso, algum programador muito habilidoso editou o arquivo diretamente para corrigi-lo.

Fazer alterações dessa maneira exige certas "compensações" no código. Sem elas, o programa pode parar de funcionar. Para diminuir o número de mudanças necessárias, é obrigatório que qualquer modificação não ocupe mais espaço do que o trecho substituído. E é exatamente isso que o programador da Microsoft conseguiu: nenhuma das mudanças ocupa mais espaço do que o código anterior.

Quando mudanças são feitas no código fonte, o arquivo é montado por um outro software (chamado "compilador") que cuida de toda a estrutura e código de baixo nível automaticamente. Mas, nesse caso, tudo indica que a brecha não foi corrigida dessa forma, porque não há evidência de que um compilador tenha feito a remontagem do arquivo.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]