Vulnerabilità hardware (CPU): Meltdown e Spectre

Diffondi il sapere

Meltdown and Spectre exploit critical vulnerabilities in modern processors. These hardware bugs allow programs to steal data which is currently processed on the computer. […] This might include your passwords stored in a password manager or browser, your personal photos, emails, instant messages and even business-critical documents. Meltdown and Spectre work on personal computers, mobile devices, and in the cloud. Depending on the cloud provider’s infrastructure, it might be possible to steal data from other customers.

– dal sito FAQ creato ad hoc e raggiungibile via
meltdownattack.com oppure spectreattack.com

 

Meltdown e Spectre sfruttano vulnerabilità critiche nei processori moderni. Questi bug hardware consentono ai programmi di rubare dati che sono in elaborazione sul computer. […] Ciò potrebbe includere le password memorizzate in un gestore di password o nel browser, le foto personali, le e-mail, i messaggi diretti e i documenti aziendali critici. Meltdown e Spectre sono presenti su personal computer, dispositivi mobili e nel cloud. A seconda dell’infrastruttura del provider cloud, potrebbe essere possibile rubare dati da altri clienti.

 

La falla riscontrata, differenze tra Meltdown e Spectre

Meltdown offre la possibilità di violare l’isolamento tra l’applicazione e il sistema operativo permettendo al software malevolo di accedere alla memoria e di conseguenza a tutte le informazioni in essa contenute, anche quelle sensibili.

Spectre, invece, permette un’azione orizzontale, offrendo la possibilità di violare l’isolamento tra applicazioni differenti e permettendo al software malevolo di ingannare l’applicazione anche se priva di errori.

Le falle sono state scoperte e segnalate dai team del Google Project Zero (Jann Horn), del Cyberus Technology (Werner Haas, Thomas Prescher), del Graz University of Technology (Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz) e da Paul Kocher, ricercatore indipendente, in collaborazione con Daniel Genkin (University of Pennsylvania e Maryland), Mike Hamburg (Rambus), Moritz Lipp (Graz University of Technology) e Yuval Yarom (University of Adelaide e Data61)

Purtroppo, a differenza dei tradizionali malware, i software malevoli che sfruttano Meltdown o Spectre sono difficili da individuare da parte degli antivirus rispetto alle applicazioni regolari.

 

Soluzioni

Dopo le dichiarazioni della prima ora, adesso sembrerebbe possibile risolvere tutto tramite delle patch software. Naturalmente non è possibile tecnicamente risolvere via software una falla hardware ma sembra possibile aggirare l’ostacolo rinunciando ad alcuni dei vantaggi architetturali che contengono tali falle, a patto di perdere in performance.

In considerazione della diversità tra Meltdown e Spectre, se il primo è risolvibile a livello di sistema operativo con una patch definitiva, il secondo richiederà degli aggiornamenti più mirati man mano che si paleseranno gli exploit.

Da un punto di vista pratico si tratta per gli utenti di mantenere aggiornati i propri sistemi con le ultime patch rilasciate in questi giorni. Se però si può dire sia stata fermata la “fusione” dei nostri “reattori” (con una perdita di potenza variabile da sistema a sistema), per il momento resta incerto il destino della “entità ectoplasmatica” nell’attesa che i nostri ingegneri riescano a mettere a punto un adeguato “zaino protonico”. È di oggi [05-01-2018, ndr] il rilascio dell’aggiornamento di Firefox (57.0.4) che mitiga gli attacchi di Spectre.

 

Approfondimenti

È in preparazione un articolo di approfondimento, nell’attesa che si diradi un po’ la comprensibile nebbia di queste ore, fatta di qualche indiscrezione e dichiarazioni a volte contraddittorie o vaghe, per fare il punto della situazione. Per rimanere aggiornati su questo e altro, collegatevi alla nostra pagina facebook e/o iscrivetevi al gruppo.

 

Riferimenti

(risorse in lingua inglese)

Meltdown and Spectre Attack (risorsa ufficiale, medesimo contenuto)
– Meltdown, Spectre: The password theft bugs at the heart of Intel CPUs
Woo-yay, Meltdown CPU fixes are here. Now, Spectre flaws will haunt tech industry for years

 

© RIPRODUZIONE RISERVATA


Diffondi il sapere

2 thoughts on “Vulnerabilità hardware (CPU): Meltdown e Spectre

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *