Per gli esperti di informatica ed i professionisti del mondo IT il 2018 sarà ricordato come l’anno di Meltdown e Spectre… possiamo già specularci sopra, anche perché se dovessero emergere bug più gravi saremmo davvero nei guai.
Cosa sono Meltdown e Spectre? Perché hanno avuto tutta così tanta rilevanza in questi primi giorni dell’anno?
Diciamo subito che sono due vulnerabilità causate da un malfunzionamento delle CPU. Il malfunzionamento in questione può essere sfruttato da applicativi malevoli in due modi differenti dando vita ai due attacchi Meltdown e Spectreper. La peculiarità, ed estrema gravità, sta nel fatto che è un bug a livello hardware, ovvero la problematica risconta è all’interno delle CPU Intel, ARM e AMD prodotte negli ultimi 10 anni (circa). Chiaramente un problema di questo tipo non è risolvibile, la parte di circuiti che non funziona come dovrebbe purtroppo rimarrà tale per sempre. Quello che si sta cercando di fare è aggirare i problemi a livello software. Il tutto avrà una ripercussione, seppur minima sulle prestazioni dei nostri dispositivi.
Cosa ha causato il problema
Iniziamo spiegando come dovrebbero funzionare le cose. I sistemi operativi sono pensati per allocare un determinato spazio in memoria per ogni applicazione in esecuzione. Un vincolo imprescindibile è che le applicazioni non possono per nessuna ragione leggere e scrivere negli spazi di memoria che non le competono. Questo avviene in ogni sistema operativo, “moderno” o “antico”. Il problema emerso in questi giorni e portato alla luce dai ricercatori Google permette di aggirare questo vincolo! Gettando il mondo IT nel caos più totale.
Il problema è scaturito dall’implementazione che le moderne CPU hanno di una funzionalità largamente utilizzata per migliorarne le prestazioni, ovvero la Speculative Execution. L’esecuzione speculativa spiegata in maniera poverissima è una tecnica pensata per far eseguire alla CPU calcoli che saranno necessari nell’immediato futuro basando la previsione di cosa servirà, su delle speculazioni appunto. Nel momento in cui queste previsioni dovessero rivelarsi sbagliate la CPU dovrebbe provvedere alla cancellazione di tutti i dati elaborati, tuttavia questo non avviene a causa dei un difetto emerso in questi giorni ed imputabile alla fase di progettazione dei microprocessori incriminati.
La vulnerabilità esposta
Il video qui di seguito ai più sembrerà insignificante, tuttavia mostra come sfruttando Meltdown sia possibile leggere interamente la memoria ram della macchina su cui viene eseguito l’applicativo.
Le conseguenze
Le conseguenze del decadimento delle barriere create per arginare i processi in esecuzione permette ad un applicativo malevolo di accedere in lettura ad aree di memoria dedicate ad altri processi. Queste aree di memoria potrebbero ovviamente contenere informazioni sensibili.
Fino a qui la gravità della situazione sembrerebbe essere dovuta principalmente al fatto che il bug risiede nell’hardware e non nel software. Ebbene sappiate che non è tutto, è stato evidenziato come anche i sistemi di virtualizzazione sono vulnerabili al bug. E questo si trasforma in una disastro per quanto concerne la sicurezza dei sistemi cloud e shared in generale.
Se su un sistema di cui ho il controllo diretto fino al livello hardware mi basta stare attento a non installare porcherie varie, su un servizio di server virtuali o cloud questo non è assolutamente sufficiente, perché ad installare porcherie potrebbe essere il mio “vicino” di server e nel peggiore dei casi potrebbe essere un’azione intenzionale.
Essendo questi servizi piuttosto accessibili (non hanno prezzi proibitivi e chiunque può acquistarli senza dover fornire nessun dato particolare) è chiaro che potrebbero portare a risvolti tragici.
Chi si deve preoccupare?
In pratica tutti, i possessori di CPU Intel, AMD (solo per Spectre) e Arm (tutti i dispositivi mobile). In maniera particolare i gestori di servizi di hosting e piattaforme cloud che permettono l’esecuzione di codice da parte dei clienti.
Le soluzioni
Dal momento in cui i ricercatori di Google hanno scoperto la falla tutte le più grosse aziende del mondo IT si sono messe all’opera per fornire patch a livello di sistema operativo, e browser. Attualmente sono disponibili aggiornamenti per quanto riguarda il kernel Linux, Windows 10 ed MacOS. A breve anche le versioni più vecchie di Windows verranno aggiornate. Anche Chrome e Firefox hanno già pubblicato delle patch che impediscono lo sfruttamento dei bug attraverso il Javascript.
Le situazioni più delicate rimangono i servizi cloud, gli hosting ed i server virtuali per cui le patch devono essere applicate dai provider dei servizi.
Tuttavia a causa della enorme quantità di hardware soggetto alla problematica sono scaturite già le prime polemiche riguardo la qualità delle patch proposte con problemi vari manifestati da diversi utenti.
Capitolo a parte sono gli smartphone che essendo spesso dimenticati e non aggiornati dai produttori saranno tra i dispositivi più colpiti nel momento in cui le vulnerabilità dovessero essere sfruttate. Google ha rilasciato subito una patch di sicurezza per Android, uguale ha fatto Apple con iOS. Non resta che sperare di ricevere l’aggiornamento il prima possibile.
Ricordiamo che le soluzioni proposte, o che verranno proposte in futuro impatteranno sulle prestazioni dei nostri processori. Insomma saremo più sicuri ma sicuramente più lenti.