Já faz quase um mês desde que o Register revelou pela primeira vez que todos os principais processadores em dispositivos atualmente estavam sujeitos a uma série de vulnerabilidades de segurança angustiantes conhecidas como Spectre e Meltdown. Agora, diante das notícias desta segunda-feira (29) de que a Intel havia informado estrangeiros sobre as vulnerabilidades antes de falar com o governo dos Estados Unidos e de que a Microsoft estava lançando sua correção mais recente da Intel devido a uns problemas hediondos, achamos que seria uma boa ideia revisitar a saga e dizer o que você pode (e não pode) fazer para proteger seus dados.
• Intel diz que lançará processadores com correção para as falhas Meltdown e Spectre ainda neste ano
• Criador do Linux chama correções da Intel para Spectre e Meltdown de “lixo completo”
A saga até agora
Em 2 de janeiro, o Register revelou que as CPUs da Intel estavam sujeitas a sérias vulnerabilidades de segurança e que as causas dessas vulnerabilidades estavam em recursos das CPUs que eram fundamentais para seu desempenho. Ficou rapidamente claro que a Intel não era a única fabricante de CPU em apuros.
Toda CPU moderna usa a mesma técnica para aumentar sua velocidade e, portanto, estava vulnerável ao Spectre. Isso significa seu iPhone, seu notebook AMD ou seu servidor na nuvem em que o Google armazena seu Gmail. A Intel está particularmente vulnerável por sua onipresença. Suas CPUs são encontradas na maioria dos principais notebooks e desktops, e ela têm 99% da fatia de mercado de servidores, de acordo com o que Vijay Rakesh, analista de segurança na Mizuho Securities, contou à CNBC. Isso significa que quase todos os servidores que armazenam seus dados na nuvem são distribuídos pela Intel.
Mas além do Spectre, a Intel também está sujeita a uma segunda vulnerabilidade que não afeta seus concorrentes, segundo eles próprios: o Meltdown. Ou seja, os processadores Intel são tanto mais vulneráveis quanto mais comuns. É uma receita para o desastre composto pelo fato de que, como aponta o Register, uma solução para as vulnerabilidades exigiria deixar os processadores mais lentos. Então, você até consegue consertar, mas estaria processando dados muito mais devagar do que antes do patch.
As coisas ficaram mais terríveis quando, em 3 de janeiro, descobrimos que o CEO da Intel, Brian Krzanich, havia vendido milhões de dólares em ações da Intel em torno do mesmo período em que ele teria descoberto sobre a vulnerabilidade. Embora muitos tenham pedido pela saída de Krzanich, o CEO negou qualquer acusação, e um porta-voz da Intel contou ao Gizmodo que a venda “não estava relacionada” às vulnerabilidades. Isso sendo verdade ou não, o episódio arranhou a imagem do CEO de uma empresa no epicentro de uma das principais histórias de segurança computacional da modernidade.
Então, a Intel foi alvo do que, provavelmente, será apenas a primeira de muitas ações judiciais. Em 4 de janeiro, ações coletivas foram feitas na Califórnia, no Oregon e em Indiana.
Mas depois da CES, onde a Intel perdeu a batalha de relações públicas com a AMD, a empresa anunciou que 90% de seus processadores afetados tinham patches de correção já no ar. Isso foi uma ótima notícia, especialmente por chegar no mesmo dia que os rumores da existência de novas vulnerabilidades.
Porém, a notícia não foi tão boa quanto a Intel ou os donos dos processadores afetados gostariam. Primeiro, os patches de fato desaceleravam os computadores. A Intel afirmou ter visto uma queda de desempenho de 25% em um dos testes de benchmark. O segundo problema foi mais inesperado: um defeito em vários dos patches que levava os processadores a reinicializar mais do que deveriam, muitas vezes de forma abrupta. Só na semana passada é que a Intel anunciou que havia encontrado uma solução para o problema, mas apenas para alguns dos processadores. mais antigos.
Os problemas mais recentes
E isso nos traz para o começo desta semana. Como aponta o The Verge, a Microsoft, enfim, começou a liberar seus patches de Meltdown e Spectre, supostamente porque eles estavam fazendo com que os computadores reiniciassem do nada; e porque a Intel, na semana passada, havia pedido que os sistemas operacionais e os fabricantes originais de equipamentos (OEMs) liberassem a correção. É ótimo que tenha levado uma semana para que a Microsoft enfim seguisse a recomendação da Intel de que “OEMs, fornecedores de serviços na nuvem, fabricantes de sistema, fornecedores de software e usuários finais parassem com a instalação de versões atuais”.
Além de um dos maiores fabricantes de sistemas operacionais enfim soltar patches, o Wall Street Journal noticiou que a Intel pode ter revelado as vulnerabilidades para fabricantes de computador estrangeiros antes de revelá-las ao governo dos EUA. O WSJ mostra que a Intel notificou parceiros, incluindo Google (os pesquisadores de segurança do Project Zero, do Google, que inicialmente ajudaram a descobrir vulnerabilidades em junho de 2017), Amazon, Microsoft e as empresas chinesas Lenovo e Alibaba, muito antes de avisar empresas menores e o governo norte-americano.
Por um lado, isso faz algum sentido. A Lenovo é a segunda maior fabricante de PCs do mundo, e Google, Amazon, Microsoft e Alibaba, juntas, comandam uma enorme porção dos servidores usados para o armazenamento e processamento em nuvem. Avisar essas empresas sobre a vulnerabilidade para que elas pudessem trabalhar em soluções antes que isso viesse a público é, aparentemente, algo bom. As empresas podem, em um cenário ideal, se precaver contra ataques e corrigir bugs significativos em seus patches.
Mas a reportagem do Register veio meses antes do anúncio planejado da Intel, o que significa que parceiros menores e agências governamentais tiveram que saber do problema a partir do noticiário, e não da Intel. “Estamos correndo”, disse Bryan Cantrill, CTO da Joyent Inc, um fornecedor menor de serviços na nuvem, em entrevista ao WSJ. “Nós certamente gostaríamos de ter sido notificados disso”, afirmou um porta-voz do Departamento de Segurança Nacional dos EUA também ao Wall Street Journal.
Isso porque, é claro, o governo chinês poderia, potencialmente, ter descoberto sobre as vulnerabilidades antes do governo norte-americano, possivelmente usando essas vulnerabilidades para seus próprios ganhos.
Embora o governo chinês tenha se recusado a comentar, um porta-voz da Alibaba contou ao WSJ que a sugestão de que a empresa houvesse compartilhado a informação das vulnerabilidades com Pequim era “especulativa e sem base”. A Lenovo, enquanto isso, insistiu que qualquer informação vinda da Intel era protegida por um acordo de não divulgação. E temos que admitir que a ideia de que a China esteja usando empresas de tecnologia gigantes para espionar os Estados Unidos pareça xenofóbica, especialmente depois de o governo dos EUA ter, repetidamente, postulado histórias desse tipo (sem prova alguma).
Exemplos recentes incluem o acordo da Huawei para vender celulares na rede da T-Mobile, que, no início deste mês, foi cancelado depois de reclamações do Congresso americano; sem falar na Segurança Nacional acusando, no ano passado, a DJI de usar as câmeras de seus drones para espionar cidadãos norte-americanos.
Se as vulnerabilidades nos chips da Intel foram ou não usadas por agentes estrangeiros para espionar cidadãos americanos meses antes de o governo dos EUA saber delas, não sabemos. Faz uma semana que a Intel anunciou seu último passo importante na reparação dos erros em seus patches e no lançamento de novas soluções. O que significa que, infelizmente, ainda estamos no começo desse problema.
Por enquanto, você deve seguir a todas as recomendações de segurança letra por letra. Não clique em links suspeitos e nem instale programas sem fontes seguras. Se você aplicar as atualizações do fabricante do seu PC ou do fornecedor do sistema operacional, esteja avisado que isso pode desacelerar seu computador ou levar a problemas de reinicialização esporádicos. Siga atualizando com cuidado e espere por essas CPUs que, um dia, serão completamente à prova de Spectre e Meltdown.
Imagem do topo: Alex Cranz/Gizmodo