Tutti i processori sono vulnerabili, come difendersi


tutti i processori del mondo sono vulnerabili a due tipi di attacchi che permettono l’accesso alla memoria del sistema e a tutte le informazioni contenute.

Una falla nei processori Intel permette ad un malintenzionato di scrivere un programma che accede alla memoria virtuale del computer raccogliendo password e informazioni sui processi e applicazioni in esecuzione. Un problema gravissimo di sicurezza, ne abbiamo parlato ieri, con una soluzione che porta a riduzione delle performance dal 5 al 45% nel peggiore dei casi.

Purtroppo il problema è ancora più grave e più serio, perché quella che è uscita ieri tramite indiscrezioni di una testata informatica inglese, The Register, non era altro che la punta di un iceberg che rischia di mettere in ginocchio il mondo dei computer e i produttori di chip.

Intel nella serata di ieri con una nota diffusa aveva dichiarato che non era un suo problema esclusivo ma che si trattava di un problema legato a tutti i processori e per i quali si stava cercando una soluzione comune. Nota parzialmente vera, perché quello che nessuno sapeva, fino ad oggi, era che il problema non è uno solo ma che ci sono ben due falle che interessano praticamente tutti i processori presenti sul mercato in miliardi di dispositivi.

Quando si parla di tutti i chip si intende proprio tutti, da quelli dei computer a quelli degli smartphone per passare a quelli usati sulle auto e sui sistemi embedded.

I bug sono due e sono stati chiamati dagli esperti e dai ricercatori che li hanno scoperti Meltdown e Spectre, e è stato creato un sito con tutte le informazioni a riguardo: https://meltdownattack.com. Vediamo di cosa si tratta

Meltdown colpisce solo i processori Intel

Il primo, Meltdown, è quello emergo nella giornata di ieri e riguarda esclusivamente i processori Intel prodotti negli ultimi dieci anni. Per chiuderlo o si cambia processore oppure si applica una patch denominata Kaiser, una patch già usata per risolvere un altro problema emerso lo scorso anno capace di isolare una porzione di memoria rendendola inaccessibile. Questa patch causa dei rallentamenti: Intel nella nota di ieri ha stabilito che per un utente di un computer di casa il rallentamento è minimo e quasi impercettibile, ma non ha chiarito quanto impatta la patch per i clienti business che hanno processori Xeon nei server dei loro datacenter.

Le prime stime parlano di cali dal 17% al 27% per richieste SQL, in altri casi però la perdita è superiore in altri invece è solo del 5%. Un bel problema in ogni caso, perché a nessuno piace avere il processore rallentato. I processori AMD non hanno questo problema, e infatti uno degli ingegneri AMD si è affrettato a includere nella patch Kaiser per Linux, disponibile open source, un controllo che verificasse anche la marca del processore, proprio per evitare che i processori AMD venissero penalizzati da una patch che finirà su tutte le distribuzioni.

Microsoft e Apple hanno già rilasciato alcune patch, mentre a livello business sia Amazon che Microsoft hanno effettuato modifiche all’infrastruttura dei loro datacenter per proteggere le varie macchine virtuali degli utenti. Tra gli utenti Amazon AWS qualcuno ha già avvertito un calo di prestazioni in ogni caso, e dobbiamo considerare che siamo solo agli inizi: le falle sono state rese pubbliche da poche ore.

Sintetizzando Meldown colpisce tutti i processori Intel, è facile creare un exploit per sfruttarlo e può essere chiuso usando una patch che i produttori di sistemi operativi stanno rilasciando in questi giorni ma che rallenta, non si capisce ancora quanto, il sistema.

Spectre colpisce tutti: vanno ridisegnati i chip

La seconda falla, Spectre, è ben più grave anche se le conseguenze potrebbero essere meno serie. Di buono, se così si può dire, c’è il fatto che realizzare un exploit per sfruttarla non è così semplice. La questione seria è però che colpisce ogni processore sul mercato ed è proprio un difetto di progettazione che il mondo dei produttori di chip si porta dietro da più di 20 anni, fin dal 1995. Miliardi e miliardi di chip disegnati con un unico scopo: rendere il processore il più veloce possibile senza però domandarsi se il modo in cui lo si è fatto era anche quello che offriva i maggiori criteri a livello di sicurezza.

I designer di chip, da ARM a AMD arrivando al colosso Intel hanno prodotto macchine super veloci senza freni. Questo fa capire quanto è serio Spectre, anche perché non esiste una soluzione: bisogna proprio ripensare al modo in cui sono stati progettati i processori e questo secondo gli esperti potrebbe richiedere anche un decennio.

Cosa succede se un hacker sfrutta Meltdown o Spectre

Quando si esegue un programma il sistema carica in memoria le informazioni delle applicazioni in esecuzione. C’è praticamente tutto, dalle password agli altri dati fino ai file aperti. Meltdown e Spectre, per essere brevi, permettono di accedere a questa memoria che dovrebbe essere inaccessibile da parte dei programmi. Per Meltdown basterebbe un codice javascript in una qualsiasi pagina web per accedere alla memoria e inviare dati su un server remoto, tanto che la stessa Google ha già detto che farà delle modifiche a Chrome 64 per evitare che questo accada.

Gli utenti spesso si preoccupano dei loro computer e dei loro dati, come è giusto che sia, ma questa volta per capire la gravità della situazione è bene guardare tutto con una visione più ampia: milioni di server nel mondo, da quelli che gestiscono ospedali, banche, sistemi di difesa sono vulnerabili. Si può prendere ad esempio un datacenter, dove oggi le macchine sono tutte virtuali e hanno memoria condivisa: un utente con cattive intenzioni potrebbe affittare qualche ora di un server Amazon Web Service o Microsoft Azure e leggere il contenuto della memoria del server, che essendo “fisica” e condivisa per più utenti avrebbe all’interno anche dati di altre macchine virtuali, magari di una banca o di un negozio online. Chiavi di login, accessi SSH, file: in quella memoria ci sarebbe dentro di tutto.

I sistemi colpiti e le patch

La falla è stata scoperta a giugno da un ricercatore del Google Project Zero, Jann Horn e allo stesso tempo da un gruppo di ricercatori della Rambus. I dettaglio dovevano essere rivelati la prossima settimana, ma le indiscrezioni parziali di ieri hanno spinto tutti ad anticipare il “non disclosure” rendendo pubblici i due problemi.

Sulla rete inizia a comparire qualche exploit per far vedere che il problema, su Meltdown, esiste ed è facile sfruttarlo e proprio per questo motivo è scattata la corsa alla patch. Per Linux le patch sono disponibili (Kaiser) ma le varie distribuzioni devono adottarle. Microsoft ha già prodotto una patch per i datacenter e Amazon nel frattempo ha cercato di chiudere il buco modificando la distribuzione di Linux e la gestione delle sue macchine virtuali.

Per gli utenti ad oggi sono già disponibili diverse patch: Microsoft ha corretto Windows 10 con la patch KB4056892, Apple ha già chiuso il bug sull’ultimo macOS 10.13.2 (ma è solo una pezza temporanea, macOS 10.13.3 sarà più efficace) mentre per Linux la patch è pronta da integrare nelle varie distribuzioni. Windows 7 e Windows 8 al momento sono privi di patch su Windows Update, ma si può applicare a mano

Cosa succede con Spectre che non ha soluzione? Impossibile ipotizzare un ritiro di massa dei prodotti, l’unica speranza è affidarsi alle patch dei singoli software. Con una serie di modifiche infatti i singoli software possono evitare che una volta caricati in memoria le informazioni sensibili finiscano in una zona di memoria condivisa.

Google ha rilasciato una lista dei suoi prodotti che possono avere problemi: tutti i servizi cloud sono stati sistemati da Google stessa mentre app come Chrome richiedono aggiornamenti da parte degli utenti. Chrome 64 risolverà il problema, le versioni inferiori hanno una opzione che permette proprio di attivare quella che Google definisce “Site Isolation”. Le istruzioni per farlo sono sul sito di Google.

Il bug colpisce anche Android, sebbene Google abbia chiarito che è difficile da attuare sugli smartphone. In ogni caso con le Security patch di gennaio Google ha già applicato la soluzione e gli smartphone che le ricevono sono a posto. Purtroppo, come ben sappiamo, meno del 5% degli smartphone Android verrà aggiornato con le ultime patch di sicurezza.

Questa bene è male è la situazione ad oggi: la più grande falla di sicurezza nel mondo dei chip e dei processori. Difficile capire esattamente cosa succederà ora, sicuramente ci saranno azioni legali contro i produttori di processori. Da valutare anche l’impatto sulle prestazioni, sia a livello consumer che business. E’ presto per fare una stima: i problemi sono noti solo da poche ore.

fonte: http://www.dday.it