El impacto en el eCommerce del reciente fallo de seguridad en los procesadores

No Comments

Recientemente han aparecido un par de fallos de seguridad muy importantes en el mundo de los procesadores que afectan a prácticamente todas las máquinas (PCs, portátiles, servidores, etc.). Estos problemas de seguridad se han denominado Meltdown y Spectre y su impacto a todos los niveles es brutal.

Ambos problemas están basados en dos características presentes en la mayoría de los procesadores: la ejecución especulativa y la ejecución fuera de orden y permiten, potencialmente, acceder a cualquier dato que esté en memoria y con ello sus aplicaciones fraudulentas son muchas y pueden poner en tela de juicio la seguridad de cualquier sistema.

Meltdown es el principal de los dos problemas por ser el problema más fácilmente explotable, y afecta en teoría únicamente a procesadores Intel, pero teniendo en cuenta la gran cuota de mercado de Intel (en torno al 90% en el mundo de los servidores), su impacto en la base de servidores es muy alto. Meltdown permite que un programa sea capaz de acceder a la memoria de otro programa que se esté ejecutando en la misma máquina, y con ello habilita una puerta de entrada a los hackers para que puedan acceder a password e información sensible que tengamos en memoria.

Spectre es un problema más complejo (y también más difícil de explotar y de solucionar) y afecta a todos los procesadores ya que tiene que ver con la arquitectura que sigue el diseño de procesadores desde hace muchos años. Spectre permite romper el aislamiento entre distintas aplicaciones.

Si queréis tener más información sobre estos problemas, os recomendamos leer a fondo los siguientes hilos de Twitter, que aclaran detalles más profundos sobre estos importantes problemas de seguridad:

¿Cómo afectan estos problemas de seguridad al eCommerce?

Centrándonos sobre todo en Meltdown por ser el problema de seguridad más fácilmente explotable, la afección al mundo del eCommerce es muy importante desde todos los ángulos, aunque principalmente encontramos estos dos problemas:

  • Desde el lado de nuestros usuarios, el problema es importante, ya que Mozilla ha anunciado que un script JavaScript sería capaz de acceder a la memoria de otras aplicaciones, por lo que si nuestros usuarios acceden a un sitio web que les sirva un script malicioso, este script podría acceder a otras zonas de memoria y robar contraseñas, datos sensibles, etc. Las casuisticas son muchas, pero por simplificarlo, imaginad un usuario comprando en vuestra tienda online y que tenga en otra pestaña del navegador un script infectado. Ese script potencialmente podría estar accediendo a los datos de la tarjeta que introduzca el usuario para realizar la compra en vuestra tienda online.
  • Desde el lado del eCommerce el problema también es importante, ya que la mayoría de los eCommerce funcionan en servidores que están virtualizados. Si no aplicamos ningún parche de seguridad y nuestro sitio está en un servidor compartido o en una nube donde las instancias están virtualizadas, podremos estar compartiendo máquina física con otros usuarios y si uno de esos usuarios utiliza un programa especialmente diseñado para atacar este problema de seguridad podría acceder a toda nuestra información sensible.

¿Tienen solución estos problemas de seguridad?

Para poder solucionar Meltdown, ya han salido parches importantes para la mayoría de los sistemas operativos, y las principales plataformas de cloud. Es decir, podemos evitar este problema actualizando e instalando estos parches en nuestros sistemas. Esto nos da un cierto respiro pero…

Por un lado aún no se ha resuelto el potencial problema que supone Spectre y por otro lado se está viendo que la aplicación de los parches para Meltdown en entornos cloud suponen grandes problemas que veremos a continuación.

El sobrecoste que supone Meltdown en nuestros servidores

Ya se ha avisado que la aplicación del parche para Meltdown en entornos cloud (los más vulnerables por la compartición de máquinas físicas entre distintos usuarios) puede suponer mermas en el rendimiento, pero en la realidad estas mermas de rendimiento están siendo muy importantes.

En nuestro caso, hemos aplicado el parche en todas nuestras máquinas nada más publicarse los parches desde AWS (nuestra infraestructura cloud) y hemos visto un incremento en el uso de CPU del 15% por solo aplicar el parche:

Además en los foros de AWS se están viendo muchas historias muy complejas. En nuestro caso el incremento en el uso de CPU no tiene un impacto directo (aunque si indirecto) en costes, ya que nuestra infraestructura además de ser elástica siempre está por debajo del 50% de uso de CPU para poder responder muy rápidamente a los altos picos de tráfico que tenemos que gestionar con varios clientes haciendo campañas a la vez (sobre todo en épocas como el Black Friday o con varios clientes lanzando agresivas campañas por tele).

Pero en casos donde las infraestructuras están algo al límite se están teniendo que contratar más servidores o ampliar el número de máquinas en funcionamiento para dar soporte a la misma carga.

Y aunque en nuestro caso el impacto ha sido en un incremento del 15% en el uso de CPU, en algunos casos este impacto ronda el 30%.

Así pues, el impacto económico de esta merma de rendimiento de los servidores cloud en el mundo del eCommerce puede ser extremadamente importante, ya que va a hacer que todos los retailers tengan que invertir entre un 15% y un 30% más en infraestructura cloud, además de los costes generados por tener a los sysadmins parcheando los sistemas, etc.

Estamos seguros de que seguiremos viendo cada vez más problemas de este tipo, ya que la digitalización de la economía hace que cada vez haya más intentos de ataques, así como más gente metida en el mundo de la seguridad. Los ecosistemas digitales son ya la base de la mayoría de empresas y economías y atacar estos sistemas cada vez resulta mucho más problemático que otro tipo de ataques, así que nuestra sensibilidad hacia los temas relacionados con la seguridad tiene que ser creciente y debemos estar cada vez más preparados para lo peor.

Cofundador y CMO de BrainSINS. Apasionado del eCommerce, conversiones, márketing online y Big Data.

Suscríbete a nuestra newsletter