Nelle falle sprectre e meltdown recentemente scoperte nei processori Intel, Amd, Arm, c'è riassunto tutto il quadro della fragilità della sicurezza in campo informatico; complessità tencica, ingegnerizzazione, altissima tecnologia, ma anche cialtroneria, menfreghismo, scarsa attenzione per gli utenti, vittime più o meno inconsapevoli...
C'è un risvolto positivo in tutto questo parlare di queste falle sulla sicurezza; più se ne parla e più spero aumenti la consapevolezza che viviamo in un'era tecnologica che ha fatto passi da giganti ma che da un punto di vista della sicurezza offre la stessa resistenza di una capanna di paglia ad una tempesta tropicale; le falle Spectre e Meltdown recentemente scoperte sui processori Intel, AMD e ARM sfruttano un buco di sicurezza che è conosciuto fin dal 1992 (come da nota interna Intel) senza che nessuno sentisse la necessità di porvi rimedio per la semplice ragione che ciò avrebbe implicato la riprogettazione ex-novo dell'architettura dei processori evento nefasto come lo fu un altro storico bug, quello della virgola mobile nei processori 486 Intel negli anni 90.
Il fatto che ne siano coinvolti tutti i maggiori costruttori di processori testimonia quanto siano gravi queste vulnerabilità: Meltdown e Spectre, sono complessi e comportano una riflessione profonda, con vaste implicazioni in tutto il settore; a volere essere ottimisti l'aspetto positivo è che è possibile porvi rimedio sacrificando qualcosina sul fronte delle prestazioni.
Un vizio di forma profondo
Queste vulnerabilità sono particolarmente gravi poichè risiedono nella progettazione interna del processore, la cpu ovvero il cervello di ogni dispositivo; proprio per questo il problema prescinde dal sistema operativo utilizzato (Windows, Linux o Ios per una volta non fa differenza) e colpisce tutti indiscriminatamente dall'adololescente che gioca a Fifa su pc ai "big" come Google o Amazon, in una mortifera democrazia."L'idea di una vulnerabilità fondamentale nelle CPU è probabilmente una delle cose più spaventose che si possano immaginare, a causa della vulnerabilità che può rendere tanti sistemi", afferma Shuman Ghosemajumder, CTO di Shape Security e ex product manager a Google che si è concentrato sulla frode dei clic. "In un certo senso, è quasi sorprendente che non abbiamo mai incontrato nulla di simile prima, ma queste particolari vulnerabilità sono effettivamente presenti nelle CPU da molti anni a questa parte."
Esecuzione speculativa
L'esecuzione speculativa è un processo che i processori utilizzano ampiamente e che consiste semplificando parecchio in una sorta di pre-esecuzione; tramite calcoli statistici il processore cerca di indovinare ciò che potrebbe succedere dopo una elaborazione e si porta avanti con il lavoro eseguendo in anticipo dei calcoli che potrebbero ritornargli utili più avanti, in modo simile ad un diligente impiegato che nel week end prepara la presentazione che servirà in settimana. Fino a qui tutto bene in quanto è un processo utile e positivo; il problema nasce da come tutto questo è stato implementato....
Sia Spectre che Meltdown infatti sfruttano l'esecuzione speculativa per fare qualcosa che non dovrebbero, e entrambi influenzano i chip di Intel, AMD e ARM; Spectre è considerata la minaccia più ampia, ed è in realtà costituita da due diversi tipi di attacco.
Come possono essere sfruttate queste vulnerabilità
Tomer Weingarten, CEO di SentinelOne, una società di sicurezza informatica, spiega che Spectre coinvolge un programma (come un browser Web) che viene compromesso e viene utilizzato per vedere cosa succede con un altro programma, come ad esempio Microsoft Word. Meltdown è una vulnerabilità in cui gli utenti malintenzionati possono accedere a una parte della memoria del computer a cui non dovrebbero avere accesso. Weingarten spiega che Spectre potrebbe essere più facile da essere utilizzato da un hacker. Il livello di preoccupazione è serio e la dice lunga sulla gravità del problema, una delle peggiori vulnerabilità mai scoperte.La corsa ai ripari
Come utilizzatori la prima cosa da fare sempre è mantenere i propri dispositivi (pc, portatili , smartphone, tv) costantemente aggiornati e utilizzare il buon senso (evitando ad esempio gli attacchi di phishing via email).
Le aziende sono corse ai ripari cercando di limitare queste vulnerabilità. Microsoft illustra qui i passi che gli utilizzatori di Windows dovrebbero fare per limitare i danni; il gigante di Redmond illustra qui le difficoltà nell'aggiornamento di macchine con vecchi processori AMD .
Apple spiega in questo post ila patch rilasciata per dispositivi iOS e Mac, mentre Google riassume lo stato dei suoi servizi , in particolare Android e il browser Chrome (aggiornato il 23 gennaio); il gigante della ricerca ha anche spiegato i passaggi che hanno adottato per proteggere Google Cloud.
"Tutti si stanno muovendo abbastanza velocemente per essere in grado di provare ad applicare le patch in modo efficace", dice Ghosemajumder. Con Chrome, ad esempio potrebbe essere una buona idea attivare la funzionalità chiamata isolamento del sito.
E le prestazioni?
Questi aggiornamenti hanno TUTTI impatto sulle prestazioni poichè agiscono a livello core del processore, ma siamo lontani dal sensazionalismo giornalistico strillato; in ambito casalingo, ritengo credibile un degrado intorno al 2% e personalmente dubito che sia percettibile; diverso è il discorso in ambito industriale e a livello di server, dove l'impatto ci sarà e sarà evidente; è comunque nel nostro interesse installare le patch.
Come avverte Ghosemajumder, le macchine più vulnerabili in tutto il mondo sono sempre quelle che vengono "lasciate indietro", perché le persone (e sopratutto le aziende) non possono o non vogliono aggiornare il software, quindi questi exploit potrebbero essere utilizzati per indirizzare tali dispositivi a livello globale. Vista la gravità e le implicazioni che comporta è facile prevedere che le vulnerabilità Spectre e Meltdown diventeranno parte effettiva del toolkit standard per tutti gli hacker o aspiranti tali.
Articolo originale scritto da Armando Mancini per amitprojects.com