Spectre e Meltdown: il punto della situazione

Spectre_Meltdown

Lo scorso fine settimana il portale The Register ha rivelato l’esistenza di due gravi vulnerabilità che interessano i processori Intel, AMD ed ARM (alla base di tutti o quasi i SOC impiegati per i device Android) prodotti nell’ultimo ventennio.

Spectre e Meltdown, i cui nomi e loghi (qui sopra) sono stati scelti dagli stessi esperti di sicurezza che li hanno individuati nell’ultimo trimestre del 2017 (per ovvi motivi si è deciso di non divulgare immediatamente la notizia), sono ora uno degli argomenti più chiaccherati della Rete.

Vediamo innanzitutto di capire a quali potenziali rischi sono esposti i computer ed i device. In generale si tratta di due bug presenti a livello architetturale che non possono essere risolti con un semplice aggiornamento (al massimo mitigati). Gli exploit permettono di accedere ad aree del sistema generalmente inaccessibili (memoria del kernel e memoria di sistema) nelle quali transitano i dati non crittografati legati all’esecuzione delle varie istruzioni. Queste zone sono “isolate” per un determinato motivo, ovvero evitare che applicazioni o malware accedano per errore o volutamente ai dati in transito interferendo con i vari processi o “intercettando/modificando” le informazioni in transito.

E’ bene sottolineare che i due exploit, per essere opportunamente sfruttati, richiedono l’accesso “diretto” alla macchina ed una non trascurabile abilità. Da remoto è ancora possibile avvantaggiarsene ma il grado di difficoltà (di per sè già elevato) sale ulteriormente restrigendo il numero di soggetti a rischio alle sole corporation e grandi aziende come Google, IBM etc. – per un hacker non avrebbe senso lanciare un attacco impegnativo e dispendioso ad un computer privato o ai sistemi di una piccola o media impresa.

Meltdown: il bug dei processori Intel

Meltdown, come già detto, riguarda esclusivamente le soluzioni Intel. Il noto vendor statunitense e leader del mercato di riferimento è già in contatto da alcuni mesi con i principali produttori di microchip (AMD, ARM), Microsoft, Apple e Linux Foundation, un lavoro di squadra che ha portato al rilascio di una patch per Linux (già dallo scorso ottobre ma, per motivi di sicurezza, senza alcun riferimento preciso nel consueto changelog) e Windows (lo scorso 3 gennaio, update KB4056892).

Gli esperti affermano che l’aggiornamento neutralizza quasi completamente Meltdown irrobustendo la barriera a protezione del kernel ma appesantendo il lavoro delle CPU, il che si traduce in un calo prestazionale stimato tra il 5% ed il 30%.

Spectre: il bug che interessa un po’ tutti

Intel, ARM ed AMD sono afflitti anche dal bug Spectre (che a sua volta comprende alcune varianti) con alcune dovute precisazioni. L’azienda di Santa Clara non ha ancora trovato un modo per neutralizzare la falla. Lato consumer (non enterprise) è recentemente uscito un update per i bios (chipset Z37o) delle schede madri ASUS che cerca di mitigare Spectre ma è chiaro che i team di sicurezza hanno davanti a loro diversi mesi di lavoro. I primi test di confronto pre e post patch (fix 3 gennaio + bios update) indicano un calo prestazionale notevole (fino al 40%) per le unità NVme.

AMD, in base a quanto dichiarato dalla stessa azienda, non è afflitta da Meltdown mentre per quanto riguarda Spectre basterà un semplice aggiornamento software che non avrà, a differenza di quanto avvenuto con le soluzioni Intel, alcun impatto prestazionale sui sistemi. ARM è ugualmente impegnata a sviluppare delle patch che siano in grado di mettere una pezza sulla falla ma non sono state ancora rilascite informazioni precise.

In attesa di ulteriori sviluppi l’unica soluzione per fronteggiare i due bug resta quella di seguire costantemente il rilascio degli aggiornamenti/firmware ed applicarli non appena possibile agli OS ed all’hardware in uso.

Fonti: 1, 2