Il fatto è noto a livello planetario: alcuni ricercatori hanno rivelato una serie di problemi di sicurezza che possono consentire la sottrazione di informazioni da quasi tutti i dispositivi informatici contenenti chip di Intel, Amd e Arm.
Uno dei bug è specifico solamente per i chip Intel, un altro riguarda smartphone, pc, laptop, tablet e server che utilizzano anche altri processori.
Dopo una nota interlocutoria da parte di Intel sul fenomeno, il Ceo Brian Krzanich, ha ammesso in un’intervista alla TV americana CNBC che smartphone e pc sono impattati, ma che gli effetti variano da prodotto a prodotto.
Krzanich ha detto che i ricercatori di Google hanno rivelato a Intel i problemi di sicurezza “un po’ di tempo fa” e che la società ha già testato le correzioni che i produttori di dispositivi che utilizzano i suoi chip rilasceranno la prossima settimana. Intel e gli altri fornitori coinvolti avevano pianificato di divulgare i problemi e le relative soluzioni il 9 gennaio.
I due difetti sono stati scoperti dal team Google Project Zero, in collaborazione con alcuni ricercatori di sicurezza provenientei dal mondo accademico.
Il primo è chiamato Meltdown, riguarda solamente i chip Intel e consente agli hacker di aggirare la barriera hardware tra le applicazioni gestite dagli utenti e la memoria del computer, consentendo potenzialmente agli hacker di leggere la memoria di un computer e sottrarre dati sensibili come le password. Il secondo bug, chiamato Spectre, riguarda i chip di Intel, AMD e ARM e consente agli hacker di utilizzare un’applicazione per attingere informazioni che dovrebbero invece rimanere segrete.
Google ha dichiarato di aver informato le aziende interessate dal bug Spectre lo scorso giugno 2017 e ha segnalato il bug Meltdown a luglio 2017.
All’agenzia Reuters, Daniel Gruss, uno dei ricercatori del team di sicurezza dell’Università tecnologica di Graz che ha scoperto Meltdown, ha detto di ritenere il bug della CPU come uno dei peggiori mai trovati.
Meltdown è il nome dato a una tecnica di sfruttamento nota come CVE-2017-5754 o “rogue data cache load”. La tecnica Meltdown può consentire a un processo di leggere la memoria del kernel. Un sito spiega in dettaglio il suo funzionamento.
Gruss ha detto che Meltdown è il problema più serio nel breve termine, ma può comunque essere arginato in modo decisivo con adeguate patch software.
Questo video mostra il modo in cui agisce Meltdown.
Spectre è invece il bug a più ampio spettro, dato che si applica a quasi tutti i dispositivi informatici. Più difficile da sfruttare da parte degli hacker, ma meno facilmente “patchabile” e secondo Gruss sarà un problema a lungo termine.
Spectre è un nome che copre due diverse tecniche di sfruttamento,conosciute come CVE-2017-5753 o “bounds check bypass” e CVE-2017-5715 o “branch target injection”. Queste tecniche potenzialmente rendono gli elementi nella memoria del kernel disponibili per i processi dell’utente sfruttando un ritardo nel tempo necessario alla CPU per verificare la validità di una chiamata di accesso alla memoria. Un sito spiega in dettaglio il funzionamento.
Intel chiede tempo
Intanto una nuova nota di Intel informa che la società ha già sviluppato e intende rilasciare rapidamente aggiornamenti per tutti i tipi di sistemi informatici basati su Intel, inclusi personal computer e server, che rendono questi sistemi immuni da entrambi gli exploit Spectre e Meltdown.
«Intel e i suoi partner hanno compiuto progressi significativi nella distribuzione degli aggiornamenti sia come patch software, sia come aggiornamenti del firmware», riporta la nota.
Intel dice di aver già rilasciato aggiornamenti per la maggior parte dei prodotti per processori introdotti negli ultimi cinque anni. «Entro la fine della prossima settimana prevediamo di aver rilasciato aggiornamenti per oltre il 90% dei processori introdotti negli ultimi cinque anni. Inoltre molti fornitori di sistemi operativi, fornitori di servizi di cloud pubblico, produttori di dispositivi e altri hanno indicato di aver già aggiornato i loro prodotti e servizi».
Intel sottolinea di continuare a credere che l’impatto sulle prestazioni di questi aggiornamenti sia dipendente dal carico di lavoro e, per l’utente medio del computer, non dovrebbe essere significativo e verrà mitigato nel tempo. Mentre su alcuni carichi di lavoro discreti l’impatto sulle prestazioni degli aggiornamenti del software potrebbe inizialmente essere più elevato, l’ulteriore miglioramento degli aggiornamenti software nel tempo dovrebbe mitigare tale impatto.
Da parte sua ARM ha affermato che le patch sono già state condivise con i partner delle società, tra cui molti produttori di smartphone. “L’exploit funziona solo se un determinato tipo di codice dannoso è già in esecuzione su un dispositivo e potrebbe, nel peggiore dei casi, accedere a piccoli frammenti di dati dalla memoria privilegiata“, ha dichiarato il portavoce Phil Hughes.
I chip AMD sono anche influenzati da almeno una variante di un insieme di falle di sicurezza, ma possono essere corretti con un aggiornamento software. La società ritiene che al momento il rischio per i prodotti AMD sia prossimo allo zero e lo ha motivato con un sintetico messaggio contenente una patch di Tom Lendacky.
Cloud da mettere al sicuro
Google ha dichiarato in un post sul proprio blog che i telefoni Android con gli ultimi aggiornamenti di sicurezza sono protetti, così come i suoi telefoni Nexus e Pixel, sempre con gli ultimi aggiornamenti di sicurezza.
Gli utenti di Gmail non devono intraprendere alcuna azione aggiuntiva per proteggersi, ma gli utenti dei suoi Chromebook, del browser Chrome e di molti dei suoi servizi Google Cloud dovranno installare gli aggiornamenti.
La maggior parte dei server Amazon Web Services erano già stati aggiornati e il resto è in fase di patch.
Microsoft ha rilasciato un aggiornamento di sicurezza e la seguente dichiarazione: «Siamo a conoscenza del problema e abbiamo lavorato a stretto contatto con i produttori di chip per sviluppare e testare le soluzioni per proteggere i nostri clienti. Stiamo implementando soluzioni di mitigazione ai servizi cloud e abbiamo anche rilasciato aggiornamenti di sicurezza per proteggere i clienti Windows dalle vulnerabilità che riguardano i chip hardware di Intel, ARM e AMD. Non abbiamo ricevuto alcuna informazione che ci indichi che queste vulnerabilità siano state utilizzate per attaccare i nostri clienti».
Apple ha ammesso tramite un post sul proprio blog che anche i suoi sistemi sono vulnerabili. «Tutti i sistemi Mac e i dispositivi iOS sono interessati – dice la società – ma attualmente non ci sono exploit noti che influenzano i clienti. Poiché l’utilizzo di molti di questi problemi richiede l’installazione di un’app dannosa sul dispositivo Mac o iOS, consigliamo di scaricare il software solo da fonti attendibili come App Store».
Apple afferma anche di aver già mitigato alcune delle potenziali conseguenze negative di Meltdown con patch per iOS (11.2), macOS (10.13.2) e tvOS (11.2). La società afferma che prevede di rilasciare patch per Safari su macOS e iOS per aiutare i dispositivi a difendersi da Spectre, che è più facilmente sfruttabile e influenza i dispositivi che utilizzano chip di Intel, AMD e ARM. I dispositivi Apple Watch non sono influenzati da Meltdown in alcun modo.