Notificar incidente

Falhas de segurança em processadores

Recentemente foram publicadas notícias que divulgam falhas em alguns processadores que estão integrados em dispositivos eletrónicos (como servidores, computadores pessoais, smartphones).

O CNCS (Centro Nacional de Cibersegurança) dá resposta a algumas das perguntas que nos têm chegado:

1. O problema reportado, que consiste numa vulnerabilidade nos processadores, é recente e está a ser aprofundado quanto às respetivas implicações.
2. A comunidade CSIRT (Computer Security Incident Response Team) tem trocado informação sobre as possíveis medidas, com o objetivo de se poder disseminar a forma de mitigar o problema.
3. Para tal, o CNCS recomenda que sejam consultados sites de referências como os dos fabricantes dos equipamentos e sistemas operativos, tendo em vista a aplicação das medidas de atualização de segurança aconselhadas.
4. Em complemento, sugere-se a consulta das recomendações do NIST e da SANS respetivamente em https://www.us-cert.gov/ncas/alerts/TA18-004Ahttps://isc.sans.edu/forums/diary/Spectre+and+Meltdown+What+You+Need+to+Know+Right+Now/23193/
5. Para consulta de informação com maior nível de detalhe recomenda-se aceder ao alerta de segurança publicado em https://www.cncs.gov.pt/recursos/alertas-de-seguranca/ 
6. O assunto é complexo e pode ser explorado por duas técnicas atacantes, que são conhecidas por Meltdown e Spectre.
7. Até ao momento, sabe-se que afeta processadores Intel desde 1995 e Arm e reside substantivamente na respetiva arquitetura e na forma como a computação foi concebida ao nível mais baixo.
8. Esta abrangência significa que praticamente todos os equipamentos poderão estar vulneráveis, embora a técnica atacante seja complexa e exija um alto grau de conhecimento para ser executada com sucesso.
9. A maioria dos fabricantes tem vindo a lançar correções. No entanto, é expectável que venham a ser produzidas novas medidas de mitigação nos próximos tempos, atenta a complexidade já acima mencionada.
10. Estas vulnerabilidades podem ser exploradas em computadores pessoais, equipamentos móveis ou em ambientes de computação em nuvem.