NIKON
PANTHEK

Meltdown e Spectre: cosa sono questi bug e come proteggersi

John Titor aveva ragione. Il personaggio mitologico di cui si parla on-line sarebbe tornato indietro nel tempo dal 2036 per recuperare un esemplare di Ibm 5100 in quanto i computer erano affetti da un bug, passato alla storia come bug dell’anno 2038 (tutta la storia è raccontata in questa pagina di Wikipedia).

Il bug esiste in tutti i processori oggi impiegati su smartphone e computer. Anzi sono due i bug e hanno nomi ben poco rassicuranti: Meltdown e Spectre per un totale di tre vulnerabilità (due sono le varianti di Meltdown). Diciamo subito le brutte notizie. Tutti i sistemi operativi (Mac OS, Windows e Linux) ne sono affetti, tanto che hanno già ricevuto le patch per correggere questo problemi. Lascia straniti che l’annuncio ufficiale sarebbe dovuto avvenire il 9 gennaio prossimo, quantomeno da Intel e Google, e invece non solo la notizia è sfuggita al controllo, ma Microsoft, Apple e Linux erano già pronti con gli appositi correttivi. Viene da chiedersi da quanto tempo questo problema era noto…

Allarme rosso, anzi rossissimo

Gli esperti di sicurezza e le società che operano nella cyber security non hanno dubbi. Meltdown e Spectre sono falle “enormi e pervasive” incorporate all’interno delle Cpu. Se sfruttate permettono a chi porta l’attacco di accedere ai dati privati dell’utente leggendo porzioni di memoria. Non basta nemmeno un classico bollettino informativo per spiegare questi due bug. Si tratta proprio di un allarme rosso, che più rosso non si può.

Ancora una volta, fa pensare la velocità con cui siano arrivati gli aggiornamenti per i sistemi operativi, mai così solerti come in questa occasione. E forse non è nemmeno sufficiente, perché addirittura l’unica soluzione possibile potrebbe essere di sostituire interamente il processore. Questo problema è tanto più critico quanto più diventa grande l’infrastruttura di riferimento. Si pensi, per esempio, ai mainframe, ai server e alle piattaforme distribuite dove si appoggiano i servizi cloud: la magnitudo della vulnerabilità è tale da fare girare la testa. Questa scoperta rende fragile qualsiasi dispositivo mosso da processore, sia esso Intel, Amd o basato su architettura Arm, quindi smartphone, tablet e wearable.

Un problema progettuale

Il problema nasce da come sono progettati e sviluppati i chip, così che la vulnerabilità è profondamente radicata all’interno dei sistemi di qualsiasi dimensione e portata. Questo errore nel microcodice del processore permette di sfruttare un bug che dà accesso al sistema operativo e a porzioni di memoria, sufficienti per curiosare negli affari privati degli utenti. L’aggiornamento di Mac, Windows e Linux servono solo a mitigare e correggere i macroproblemi.

Secondo la Carnegie Mellon University, sponsorizzata dal Us Department of Homeland Security, solo sostituendo “interamente gli apparati si elimina la vulnerabilità”. Ma questa opzione è da una parte impraticabile a livello concreto, dall’altra manderebbe in bancarotta qualsiasi società che operi nel mondo dell’informatica. Basti pensare che Intel ha perso quasi il 10% del valore delle azioni dopo la scoperta di Meltdown e Spectre, mentre Amd (che ha una quota minoritaria nel mercato Cpu ed è meno esposta al problema) ha avuto un incremento del 12%.

La vulnerabilità è stata scoperta dal team di ricercatori di Google Project Zero che hanno sperimentato come si possa accedere alla Ram per recuperare informazioni come numeri di carta di credito, password e così via. Questo è Meltdown, che si può correggere con una patch ma al prezzo di un rallentamento delle prestazioni complessive. Spectre non riguarda il sistema operativo e non può essere sistemato.

Meltdown

Il White Paper di Meltdown è disponibile qui

Per accedere ai dati privati sfrutta la tecnologia di esecuzione speculativa dei processi, con la quale il processore tenta di prevedere le necessità dell’utente caricando alcuni programmi in anticipo rispetto all’effettiva necessità così da velocizzare l’efficienza complessiva. Di fatto, la Cpu virtualizza la memoria di sistema e usa una serie di mappe per tenere traccia delle istruzioni. Sulla base di questa mappatura, provvede a organizzare i processi da trattare per massimizzare le prestazioni.

Tutti i processori moderni sfruttano questa esecuzione speculativa, in particolare Intel lo fa in modo aggressivo. Il chipset comunica i dati al sistema operativo e se l’effettiva esecuzione di funzioni da parte dell’utente non coincide con quanto preparato dal processore, si riparte da zero. I ricercatori hanno individuato che Amd, nella sua implementazione, è meno esposto a rischi, mentre i processori Arm sono particolarmente soggetti a Meltdown perché fanno un uso classico della tecnologia di previsione. Per Intel si tratta di un impatto piuttosto grande in quanto l’esecuzione speculativa si trova a partire dai processori prodotti già negli anni ’90. C’è la patch ma questo significa trattare con meno velocità le informazioni mappate in memoria. L’appesantimento dipende strettamente dal tipo di applicazione che si sta utilizzando.

Spectre

Il White Paper di Spectre è disponibile qui

Con questa vulnerabilità nessun produttore di Cpu può dormire sonni tranquilli. Il tipo di attacco è più generico e sfrutta un più ampio insieme di bug nel sistema dell’esecuzione speculativa delle istruzioni. Tutti gli esperimenti di attacco sono finiti a buon fine su Intel, Amd e Arm: non ci sono elementi mitiganti.

Spectre può recuperare informazioni dal kernel, cioè dal nucleo del sistema operativo, e dai programmi. E non c’è soluzione, perché la vulnerabilità è così radicata nell’architettura speculativa, che per correggerla significherebbe eliminare gran parte del microset di istruzioni a basso livello, rendendola di fatto inutilizzabile. Per fortuna, il problema è tutto sommato a basso rischio per gli utenti singoli mentre può rappresentare un potenziale enorme pasticcio per server e sistemi distribuiti. Basti pensare che per attivare le due vulnerabilità è sufficiente passare dal browser Web.

Non solo computer

Finora ci siamo riferiti al caso di computer con Mac, Windows e Linux. Spectre e Meltdown sono anche a bordo dei dispositivi mobili: smartphone e tablet. Gli Android, così come gli iPhone, sono soggetti al problema e anche Apple Tv e Apple Watch, in quanto animati da un processore Arm. Apple ha pubblicato una serie di aggiornamenti per correggere Meltdown, tuttavia ha definito Spectre una “vulnerabilità difficile da sfruttare” (https://support.apple.com/en-us/HT208394). In ogni caso, l’impatto delle soluzione della Mela morsicata non dovrebbe superare il 2,5% di riduzione nelle prestazioni complessive.

Come proteggersi

C’è solo un modo: installare gli aggiornamenti più recenti per il sistema operativo, attivare un firewall e avere un’applicazione di sicurezza completa. Poi bisogna attendere le mosse dei big brand. Intel mira a rendere immuni i propri sistemi: “Entro la fine della prossima settimana avremo distribuito aggiornamenti per oltre il 90% dei processori introdotti negli ultimi 5 anni“. Nel frattempo, però, il suo Ceo Brian Krzanich a fine novembre ha venduto azioni per 39 milioni di dollari e molti vedono una correlazione tra questa mossa, verosimilmente speculativa, e l’arrivo dello tsunami in corso. Microsoft ha già preparato la patch per Windows 10 e 8.1 (ancora da comprendere cosa succederà per le versioni più vecchie del sistema operativo) e si appresta a pubblicare gli aggiornamenti per i dispositivi della gamma Surface (tutte le informazioni qui).

Google sta preparando le patch iniziando dai suoi dispositivi flagship, ossia i modelli Nexus e Pixel; sugli altri smartphone gli update arriveranno seguendo il tradizionale flusso di distribuzione dei singoli brand, che questa volta potrebbe essere un po’ più veloce. Infine, il prossimo 23 gennaio Google aggiornerà anche Chrome con una serie di correzioni per evitare di sfruttare Meltdown e Spectre dal Web. Tra queste ci sarà una funzione sperimentale chiamata Site Isolation con cui ogni sito sarà aperto in un processo separato in memoria, quindi non comunica con altre aree del sistema, e rimane isolato al suo interno, evitando attacchi incrociati. Mozilla, Internet Explorer ed Edge sono già in fase avanzata di update.

Le dichiarazioni ufficiali (in inglese) delle aziende

Apple: “Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6”.

Microsoft: “The majority of Azure customers should not see a noticeable performance impact with this update. We’ve worked to optimize the CPU and disk I/O path and are not seeing noticeable performance impact after the fix has been applied”.

Amazon: “We have not observed meaningful performance impact for the overwhelming majority of EC2 workloads”.

Google: “On most of our workloads, including our cloud infrastructure, we see negligible impact on performance”.

PANTHEK
GAMEPEOPLE
DIFUZED
FIZZ
PALADONE
OTL
CROCKPOT
MYSTERY BOX
SUBSONIC