Meltdown e Spectre: cosa è successo?

Diffondi il sapere

(Qui l’annuncio sulle vulnerabilità a cura del R.E.I.)

Mettendo da parte le discussioni ansiose delle prime ore in cui si è diffusa la notizia delle vulnerabilità dell’architettura dei processori moderni (Intel, AMD, ARM), cerchiamo di fare un po’ di chiarezza. Mettetevi comodi.

Cosa è successo

Nei primi giorni del 2018 si è diffusa la notizia di una grave vulnerabilità dei processori Intel degli ultimi 10 anni che avrebbe permesso ai malintenzionati di carpire le nostre informazioni personali, le nostre password, le nostre foto, i nostri documenti riservati e tutti i nostri dati sensibili; soprattutto che, essendo un bug hardware, l’unica soluzione sarebbe stata quella di attendere la riprogettazione dei microprocessori e quindi sostituire tutti i nostri dispositivi. D’altra parte si consigliava di tenere aggiornato il proprio sistema (OS, antivirus e applicativi).

La sottile linea tra disinformare, informare e allarmare

Intel ha affermato che “non c’è un bug nei processori e tutto funziona come previsto”. Una sottolineatura comprensibile per questioni di immagine e di obblighi derivanti dai contratti di garanzia. Sebbene tecnicamente corretto, il problema risiede proprio in come il processore funziona, esponendo i dati riservati ad attacchi, tanto da impegnare la stessa Intel in una futura riprogettazione delle proprie architetture per tenere conto di queste vulnerabilità.

Trattandosi effettivamente di un bug hardware va notato che la soluzione definitiva non può che essere a tale livello. In alcuni casi è sufficiente aggiornare il microcodice (o firmware) ma non sempre questa è una strada percorribile, altre volte si può tentare di arginare il problema nell’attesa di sostituire i sistemi in uso.

Va altresì notato che il livello hardware è la base su cui poggia il software e pertanto potrebbe essere possibile risolvere il problema a quest’ultimo livello, bypassando le istruzioni incriminate oppure monitorando l’esecuzione dei processi per bloccare gli usi non consentiti. Parliamo in questo caso (1) di patch a livello di Sistema Operativo e, più raramente, a livello di applicativo (soprattutto per gli applicativi più sensibili tipo i browser di navigazione web) (2) di best practice di programmazione o di uso del software da parte degli utenti e (3) di abilità del software antivirus (sotto il cui nome storicamente ricadono anche i software anti-malware) nell’annientare le minacce.

Nel caso delle gravi vulnerabilità riscontrate in questi giorni, denominate Meltdown e Spectre, ci sono una serie di elementi che permettono, a determinate condizioni, di considerarle meno gravi di quanto apparissero all’inizio.

Primi rumor sulle vulnerabilità

Il 2 gennaio 2018 iniziano a circolare rumor sulla possibilità di una falla nell’architettura dei processori Intel, rumor supportati dalle voci riguardanti aggiornamenti apparentemente inutili al kernel Linux e dalla vendita da parte del CEO di Intel di una quota significativa delle proprie azioni (ancora adesso sotto indagine degli organi di garanzia del mercato statunitensi). A questi rumor fanno seguito indiscrezioni su possibili patch che risolverebbero il problema solo al costo di un 5-35% (fonte sito Phoronix) in perdita di performance e cui fa da contraltare la successiva dichiarazione della Intel che la penalizzazione delle prestazioni non sarà “significativa” per la maggior parte degli utenti.

Intanto cresce lo scetticismo generale sulla possibile risoluzione via software.

La falla sembra riguardare anche i processori ARM, mentre voci contrastanti sul coinvolgimento anche delle architetture AMD in un botta e risposta tra questa e Intel, spingono la prima ad una nota di precisazione.

Inoltre, cosa forse più grave, non ne sembrano immuni le piattaforme di virtualizzazione (Citrix, …) e i sistemi cloud che su di esse si basano (Google Cloud Platform, Amazon AWS, Microsoft Azure, …).

Cosa rimane di questi giorni

For our processors and products introduced in the past five years, Intel expects to issue updates for more than 90 percent within a week, and the remaining by the end of January.

Brian Krzanich
CEO Intel durante l’Intel’s CES keynote

Il team del Google Project Zero aveva scoperto la falla qualche mese prima dell’annuncio e doveva essere divulgata più o meno oggi [9 gennaio 2018, ndr] ma “la puzza di bruciato” riguardo ad alcune patch che erano cominciate a circolare ha spinto ad anticipare la divulgazione al 2 gennaio.

Meltdown e Spectre sono due falle differenti:

  • la prima riguarda solo le architetture Intel e quelle ARM dei processori Cortex: nel caso degli Intel rende accessibili i segmenti di memoria riservati mentre nel caso dei Cortex i registri di memoria protetti
  • la seconda riguarda indistintamente tutti i processori (anche se per AMD il Bounds Check Bypass è risolvibile tramite aggiornamento software e l’eventualità della variante Branch Target Injection è prossima allo zero)
CVE Number Description
CVE-2017-5715 Branch Target Injection, exploited by Spectre
CVE-2017-5753 Bounds Check Bypass, exploited by Spectre
CVE-2017-5754 Rogue Data Cache Load, exploited by Meltdown

 

Meltdown è risolvibile via software con un decremento delle prestazioni piuttosto variabile.

Spectre è molto più grave perché inganna gli applicativi in esecuzione affinché rivelino informazioni normalmente inaccessibili. Sebbene un attacco tramite Spectre sia difficile da realizzare, risulta anche più difficile risolverne la falla. In questo caso non sarà sufficiente agire a livello di microcodice e di Sistema Operativo ma sarà necessario aggiornare le singole applicazioni affinché tengano conto di questa vulnerabilità.

Meltdown e Spectre purtroppo interessano la maggior parte dei dispositivi in circolazione, prodotti anche 20 anni fa, comprendendo non solo computer desktop ma, per via delle architetture ARM comunemente usate a tale scopo, anche smartphone, tablet, smartwatch e migliaia di smart device (IoT) presenti in casa, in ufficio o in fabbrica. E i sistemi di virtualizzazione e le piattaforme cloud su cui si basano ormai molti dei servizi (business e consumer) offerti tramite la Rete.

In questo caso non si tratta di problemi di secondaria importanza né di eventualità remote e trascurabili, basti pensare alle informazioni riservate come i dati bancari e le password di accesso. In mancanza di soluzioni definitive è necessario installare gli aggiornamenti raccomandati al fine di mitigare il problema. Vedremo come evolverà la situazione.

Ultimi aggiornamenti

È di ieri [8 gennaio 2018, ndr] la notizia che Intel conta di risolvere il 90% di Meltdown entro una settimana e il restante 10% per la fine di Gennaio (ma riguarderebbe le architetture di processori prodotti negli ultimi 5 anni e non una soluzione globale come hanno lasciato intendere molte testate giornalistiche).

Intanto Microsoft ha dovuto sospendere la distribuzione del pacchetto KB4056892 su tutti i PC AMD per problemi di compatibilità in quanto su alcune vecchie CPU, dopo l’aggiornamento, Windows si bloccava senza completare il boot. Per fortuna parliamo di un aggiornamento soltanto consigliato perché riguarderebbe Meltdown che come sappiamo non colpisce tale architettura.

 

Presto approfondimenti. Per rimanere aggiornati su questo e altro, collegatevi alla nostra pagina facebook e/o iscrivetevi al gruppo.

Riferimenti

(risorse in lingua inglese)

Intel bug incoming
MASSIVE Intel Hardware Bug Might Be Incoming, up to 34% performance hit for the fix
The mysterious case of the Linux Page Table Isolation patches
The mysterious case of the Linux Page Table Isolation patches
– Intel will have Meltdown and Spectre fixes for 90 percent of recent products within a week
– Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism

 

© RIPRODUZIONE RISERVATA

 


Diffondi il sapere

4 thoughts on “Meltdown e Spectre: cosa è successo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *