Intel muestra SAPM: la primera solución a los fallos de seguridad de sus procesadores

Las vulnerabilidades de los procesadores Intel no solamente han dado de qué hablar en los últimos dos años, sino que han situado a la compañía en un punto crítico en cuanto a la seguridad frente a su eterno rival. Pero puede que esto esté llegando a su fin, ya que el grupo especializado en seguridad de Intel puede que haya dado con una solución por hardware definitiva: SAPM.

Spectre, Meltdown, SPOILER … las vulnerabilidades explotan el talón de Aquiles de Intel

Intel security

Se abrió la veda y como si fuese una plaga, las vulnerabilidades fueron cayendo una tras otra como losas sobre una piedra de arcilla, compacta, pero no muy dura como para resistir el envite que le estaba cayendo.

La mayor parte del daño se asumió mediante parches en los sistemas operativos y a base de microcódigo en las UEFI, pero el gran perjudicado ha sido sin duda el usuario (en primera instancia) y las empresas (en segundo plano, pero no menos importante).

El rendimiento de las CPUs cayó, menos a nivel doméstico que a nivel de centros de datos como ya vimos, pero la pérdida estaba ahí y la competencia ha sabido aprovecharlo en base a mejores productos y más seguros.

Intel-STORM-Logo

La primera respuesta real por parte de la compañía llega casi dos años después gracias al equipo de especialistas de STORM, grupo creado por Intel para la investigación y mitigación de vulnerabilidades.

La solución llega a modo de propuesta, de momento nada efectivo hasta sucesivas comprobaciones, pero es el primer paso como solución por hardware para terminar con la gran mayoría de vulnerabilidades de Intel. Dicha propuesta recibe el nombre de SAPM o Speculative-Access Protected Memory, donde como bien indica su nombre, todo se basa en la memoria.

La idea de STORM para sus procesadores Intel es que SAPM reemplace la memoria de la CPU existente mediante un estándar de memoria más seguro, lo cual evitaría los ataques de Spectre, Meltdown, Foreshadow, MDS y SPOILER, es decir, la gran mayoría de vulnerabilidades de ejecución especulativa actuales.

SAMP no es una realidad palpable, al menos por ahora

Como hemos dicho, SAPM es, de momento, una propuesta basada en datos y ciertas pruebas realizadas por el grupo STORM, donde ellos mismos clasifican en el documento publicado de esta técnica que actualmente está en el nivel de teoría y posibles opciones de implementación.

Quiere decir que ya ha sido probada y funciona, pero se siguen necesitando una cantidad significativa de pruebas antes de que sea una opción real para la implementación en sus procesadores. La mayoría de estas vulnerabilidades atacan al back-end de los procesadores, algo por lo que AMD ha mantenido a sus procesadores lejos de la gran mayoría de ellas, ya que su arquitectura es totalmente distinta a la de Intel en este punto.

Conocedores de esta forma de ataque, STORM afirma que SAPM bloquearía esas acciones en el back-end de forma predeterminada.

Intel-vulnerabitity

La pregunta más importante para todos, dando por sentado de que efectivamente funcione, sería ¿afecta al rendimiento de la CPU? y si es así ¿por cuánto?

La respuesta la dan los propios investigadores de STORM, ya que afirman que el aunque el costo de rendimiento para cada acceso de memoria a SAPM es medianamente grande, estas operaciones sólo serán una porción muy pequeña de la ejecución total del software en el procesador, por lo que se espera que la sobrecarga de rendimiento general sea baja y potencialmente menor al impacto en el rendimiento de las mitigaciones actuales.

Es decir, los procesadores de Intel volverían a unas cotas de rendimiento mayores en las sucesivas arquitecturas que están por venir, donde por desgracia, las actuales no reflejarían esta recuperación de lo perdido.