Una asociación inusual entre Google y AMD puede ofrecer un modelo sobre cómo la industria tecnológica puede abordar mejor los riesgos de seguridad del procesador antes de que se salgan de control. ¿El único problema? La configuración requiere un nivel de confianza igualmente raro, que puede ser difícil de replicar para otras empresas.
El martes, Google Cloud lanzará una auditoría detallada de la tecnología informática confidencial de AMD producida en colaboración entre el grupo de búsqueda de errores Project Zero de Google, dos equipos dentro de Google Cloud Security y el grupo de firmware de AMD. La auditoría sigue a años en los que Google Cloud pone cada vez más énfasis en sus ofertas de Informática confidencial, un conjunto de capacidades que mantienen los datos de los clientes encriptados en todo momento, incluso durante el procesamiento. Hay mucho en juego, ya que los clientes dependen cada vez más de las protecciones de privacidad y seguridad que brindan estos servicios y la infraestructura física subyacente, que se basa en procesadores especiales y seguros de AMD. Una vulnerabilidad explotable en Confidential Computing podría ser desastrosa.
Las fallas en la forma en que se diseñan e implementan los procesadores plantean riesgos masivos, convirtiendo los chips ampliamente utilizados en puntos únicos de falla en las computadoras, servidores y otros dispositivos en los que están instalados. Las vulnerabilidades en los chips de seguridad especializados tienen ramificaciones potenciales particularmente terribles porque estos procesadores están diseñados para ser inmutables y proporcionar una “raíz de confianza” en la que pueden confiar todos los demás componentes de un sistema. Si los piratas informáticos pueden explotar una falla en los chips de seguridad, pueden envenenar un sistema en esa raíz y potencialmente obtener un control indetectable. Por lo tanto, AMD y Google Cloud han desarrollado una asociación inusualmente estrecha durante más de cinco años para colaborar en la auditoría de los procesadores Epyc utilizados en la infraestructura sensible de Google Cloud e intentar tapar tantos agujeros como sea posible.
“Cuando encontramos algo y sabemos que la seguridad está mejorando, eso es lo mejor”, dice Nelly Porter, gerente de productos del grupo de Google Cloud. “No es señalar con el dedo, es un esfuerzo combinado para arreglar las cosas. Los adversarios tienen una capacidad increíble y su innovación está creciendo, por lo que no solo debemos alcanzarlos sino adelantarnos”.
Porter subraya que la asociación con AMD es inusual porque las dos compañías han podido generar suficiente confianza como para que el fabricante de chips esté dispuesto a permitir que los equipos de Google analicen el código fuente muy bien guardado. Brent Hollingsworth, director del ecosistema de software Epyc de AMD, señala que la relación también crea un espacio para ampliar los límites de los tipos de ataques que los investigadores pueden probar. Por ejemplo, en esta auditoría, los investigadores de seguridad de Google utilizaron hardware especializado para montar ataques físicos contra la tecnología AMD, un ejercicio importante y valioso en el que otros fabricantes de chips también se están enfocando cada vez más, pero que va más allá de las garantías de seguridad tradicionales que ofrecen los fabricantes de chips.