Spectre e Meltdown: un’altra fine del mondo?

Ci risiamo. Ormai siamo abituati alle notizie di spaventose ecatombi digitali che periodicamente imperversano sui media tradizionali e sulla Rete.

Dal virus Michelangelo di antica memoria (1991) che avrebbe dovuto azzerare tutti i computer del mondo il 6 marzo (ricorrenza della nascita del grande artista omonimo), tanto che gli esperti raccomandavano di non accendere il computer in quel giorno, passando per il Millennium Bug che allo scoccare della mezzanotte del 31 dicembre 1999 avrebbe portato all’apocalisse informatica, fino ai giorni nostri passando per Mirai (2016) che può “tirare giù internet”, a Krack (ottobre 2017) che avrebbe segnato la fine delle reti wireless, e via così.

Adesso abbiamo questo nuovo bug, anzi, più di uno, che affliggono le CPU, ovvero il cuore dei nostri dispositivi. Pare che le CPU di vari produttori siano vulnerabili (Intel, AMD, ARM) quindi sono a rischio PC, smartphone e tablet con sistemi Android e Apple… insomma un bel problema.

Cerchiamo di essere chiari utilizzando parole semplici; per i più interessati questi sono i paper con i dettagli tecnici su Spectre e Meltdown.

In pratica, il primo bug (in realtà le vulnerabilità sono due, ma per comodità le raggruppiamo), chiamato Spectre è presente nelle CPU Intel, AMD e ARM e sfrutta una modalità in uso nei processori implementata per velocizzare le operazioni da effettuare cercando di “predire” quale sarà la prossima operazione da svolgere e quindi “portandosi avanti” con il lavoro. Va da sé che se fosse possibile “indirizzare” a proprio vantaggio le operazioni svolte dal processore potrebbe essere possibile avere accesso ai dati anche sensibili presenti nella cache come password, certificati, ecc.

Il secondo bug, denominato Meltdown è presente solo (a quanto pare) nelle CPU Intel anche se Google ha annunciato di avere approntato delle patch per i sistemi Android. Il bug in questione, più semplice da implementare del precedente, permette di “oltrepassare i confini” che separano i dati accessibili dai processi a livello utente e da quelli a livello di sistema, permettendo di accedere al contenuto di tutta la memoria fisica del dispositivo con le conseguenze che si possono ben immaginare.

Vi sono già patch e upgrade predisposti da Microsoft e da altri produttori anche se in qualche caso sembrano portare più problemi che vantaggi. Al momento, comunque, pare che i paventati rallentamenti dei sistemi dovuti alle patch non siano così impattanti almeno sui sistemi personali. Diverso potrebbe essere su sistemi cloud o high performance.

Facciamoci alcune domande.

Siamo sicuri che questo bug non sia già stato scoperto e utilizzato da tempo? Le notizie che circolano indicano che il bug è stato comunicato a Intel ad aprile 2017. Per Meltdown almeno tre differenti gruppi di ricercatori erano al lavoro sul bug da tempo.

Cosa fare adesso?

Alla fine, tutto si riduce sempre alle solite questioni. Abbiamo messo in sicurezza i nostri sistemi? Le nostre password sono sicure? Vengono cambiate regolarmente? Abbiamo un sistema di backup funzionante e testato? I nostri collaboratori, amici, familiari sono consapevoli dei rischi insiti nell’utilizzo di computer e smartphone e della necessità di prestare attenzione a quanto si fa su Internet?
Teniamo presente che per sfruttare qualsiasi vulnerabilità è necessario accedere al sistema in qualche modo. Certo, è possibile bucare un sistema ma il modo più semplice è indurre l’utente a cliccare su un link, scaricare un file, installare una app.

L’antivirus o la patch sono solo l’ultima linea di difesa.

Essere pronti e consapevoli a prescindere dalla minaccia del giorno, è sempre la miglior difesa.

A proposito, preparatevi. La prossima apocalisse è prevista per il 18 gennaio 2018, fra pochi giorni. Esattamente 20 anni prima della fine del mondo Posix.

Ma forse, come ha detto Mikko Hypponen (F-secure) alla Black Hat Conference 2017, sono altre le cose di cui preoccuparci di qui a 20 anni oltre ai computer.

Facebook Comments

Previous articleDi Isiamed, sovranità digitale ed universi ingenui
Next article7 cyber previsioni per il 2018
Paolo "aspy" Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l'incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all'estero. Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d'Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell'hacker game che ha creato, "CAT - Cracca Al Tesoro".

LEAVE A REPLY

Please enter your comment!
Please enter your name here