I “botti di Capodanno” per la Cybersecurity mondiale si chiamano Meltdown e Spectre.
Il 2018 si è aperto con la notizia di queste due vulnerabilità che colpiscono milioni di processori, praticamente tutti, sia su computer che su dispositivi mobili. E non è ancora chiaro quale sia il rischio reale, né quanto saranno costosi i rimedi a queste vulnerabilità. Cerchiamo di spiegare di cosa si tratta e cosa può fare ciascun utilizzatore per proteggersi.
- COSA SONO MELTDOWN E SPECTRE
- COME E QUANDO SONO STATI SCOPERTI
- QUALI SONO I RISCHI?
- COSA SUCCEDE ORA?
- AGGIORNARE O NON AGGIORNARE?
- ANCHE I BITCOIN SONO A RISCHIO
- LA STRANA VENDITA DEL CEO DI INTEL
1. COSA SONO MELTDOWN E SPECTRE
Si tratta di due differenti vulnerabilità, ma tra loro collegate perché ambedue sfruttano la medesima vulnerabilità hardware dei moderni processori realizzati negli ultimi dieci anni.
MELTDOWN è tecnicamente indicata come vulnerabilità CVE-2017-5754 (“rogue data cache load”). Colpisce esclusivamente i processori costruiti da Intel (il maggior produttore mondiale!) ed installati su milioni di Pc e Mac, mentre sembra non dare problemi ai processori AMD, che ha comunicato che le sue CPU non hanno questo problema. E’ stata chiamata Meltdown perché scioglie i confini di sicurezza che sono normalmente applicati dall’hardware. Il termine viene usato anche per indicare la fusione del nucleo di un reattore nucleare (!).
SPECTRE è in realtà due vulnerabilità: CVE-2017-5753 (“bounds check bypass”) e CVE-2017-5715 (“branch target injection”). Colpisce tutti i processori: Intel, AMD ed anche quelli realizzati con architettura ARM (ARM è un’azienda inglese che ha brevettato un’architettura per produrre processori adatti ai dispositivi mobili, che viene utilizzata nella quasi totalità dei processori per smartphone e tablet con sistemi Android e Apple). Anche i miliardi di dispositivi IoT (Internet of Things) sparsi in giro per il mondo ed ormai anche nelle nostre case, sono vulnerabili. Il nome Spectre è basato sulla causa principale, l’esecuzione speculativa e sul fatto che non è facile da risolvere, quindi ci perseguiterà per un bel po’ di tempo. Richiama – sinistramente – anche l’organizzazione criminale contro cui combatteva James Bond.
Meltdown e Spectre sfruttano entrambi una falla di un processo creato per velocizzare l’elaborazione e denominato esecuzione speculativa: in pratica la CPU cerca di “predire” il percorso che faranno i dati all’interno del processore ed elabora più dati allo stesso momento, salvo poi scartarli se non erano quelli da scegliere. Questo porta ovviamente ad un netto incremento nella velocità di esecuzione, ma – qui è la falla – lascia la porta aperta a processi malevoli. In pratica, quando si esegue un processo il sistema carica in memoria le informazioni delle applicazioni in esecuzione. Meltdown e Spectre permettono di accedere a questa memoria che dovrebbe essere inaccessibile da parte dei programmi. E quindi un applicazione malevola può riuscire a leggere (ma non a scrivere) questi dati anche senza disporre di particolari privilegi, compresa una zona di memoria protetta del kernel, che è utilizzata proprio per nascondere e gestire i dati più sensibili, quali per esempio password, certificati digitali, pin o altri. Questa area di memoria dovrebbe essere schermata ed un programma non dovrebbe avere accesso alle informazioni in essa contenute.
2. COME E QUANDO SONO STATI SCOPERTI
La scoperta risale ad alcuni mesi fa (si ritiene a giugno 2017) ed è stata fatta da Jann Horn del Google’s Project Zero (GPZ), un gruppo di lavoro che si occupa di ricercare vulnerabilità, in contemporanea con ricercatori austriaci della Graz University of Technology (Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz), ricercatori della società Cyberus Technology (Werner Haas e Thomas Prescher) ed altri di University of Pennsylvania and University of Maryland (Paul Kocher e Daniel Genkin) e della University of Adelaide (Yuval Yarom).
Gli scopritori hanno creato un sito con tutte le informazioni a riguardo: https://meltdownattack.com/. Qui invece i white paper su Meltdown (https://meltdownattack.com/meltdown.pdf) e su Spectre (https://spectreattack.com/spectre.pdf )
Per ragioni di sicurezza la notizia era stata tenuta riservata, in modo da consentire agli addetti ai lavori di intervenire con i necessari rimedi, prima che malintenzionati potessero usare le vulnerabilità. In questi giorni sono state improvvisamente rivelate, prima del previsto, dopo che alcune indiscrezioni erano trapelate. Ma i rimedi, in parte, non sono ancora del tutto pronti e rilasciati. E soprattutto non è chiaro se queste vulnerabilità, presenti da oltre dieci anni, sono già state sfruttate da qualcuno. Si ritiene che non siano state mai utilizzate, ma nessuno è in grado di saperlo con certezza. Gli stessi scopritori, alla domanda: “Posso sapere se qualcuno ha usato Meltdown o Spectre contro di me?” rispondono: “Probabilmente no. Lo sfruttamento non lascia alcuna traccia nei file di log tradizionali”.
Teniamo presente che per sfruttare qualsiasi vulnerabilità – anche queste – è necessario accedere al sistema in qualche modo. Un attaccante dovrebbe prima trovare il modo di eseguire del codice sulla macchina ed il modo più semplice è indurre l’utente a cliccare su un link, scaricare un file, installare una app. Quindi si ritorna sempre al “Fattore Umano” che rappresenta l’anello debole della catena della sicurezza.
Meldown colpisce tutti i processori Intel (non altri), è facile creare un exploit per sfruttarlo, ma può essere risolto usando una patch che i produttori di sistemi operativi stanno rilasciando in questi giorni ma che, inibendo dei processi, rallenta il sistema, anche se non è ancora chiaro quanto sia questo rallentamento.
Spectre è una vulnerabilità teoricamente molto più grave anche se le conseguenze potrebbero essere meno serie. Questo perché realizzare un exploit per sfruttarla non è così semplice. Il problema serio è che Spectre è presente in tutti i processore prodotti e deriva da un difetto di progettazione: per rendere il processore il più veloce possibile si è trascurata la sicurezza.
La soluzione ottimale e definitiva sarebbe a livello hardware: sostituire TUTTI i processori, ma questo significa riprogettare la totalità dei processori, una “rivoluzione” che, secondo gli esperti potrebbe richiedere anche un decennio.
Quindi è necessario intervenire – e in fretta – con soluzioni software che servano esclusivamente a mitigare il problema, cioè che isolino la porzione di memoria rendendola di fatto inaccessibile ai programmi.
Queste patch di sicurezza hanno delle controindicazioni importanti: in pratica per motivi di sicurezza si andrebbe a rinunciare a quelle ottimizzazioni create per velocizzare l’elaborazione. Quindi ciò potrebbe comportare delle penalizzazioni sulla velocità dei processori.
Come ha spiegato molto bene Andrea Zapparoli Manzoni (Clusit, Associazione Italiana per la Sicurezza Informatica) “sarebbe come se le case automobilistiche richiamassero le auto e per problemi di sicurezza facessero un aggiornamento che spegne il turbo!” Inimmaginabile, ma nel mondo – poco e male regolamentato – dell’informatica potrebbe succedere proprio qualcosa del genere: qualcuno ha stimato che questi rallentamenti possono andare dal 5% al 30%, a seconda dell’operazione fatta (non tutti i processi ne saranno ugualmente penalizzati, i più colpiti saranno ovviamente quelli che fanno un uso intensivo della CPU) e del tipo di processore.
Si tratta quindi di un difficile trade off tra costi e benefici: conviene depotenziare i processori per evitare rischi reali, oppure queste vulnerabilità non sono così facilmente sfruttabili per giustificare protezioni tanto penalizzanti? Ad oggi non abbiamo la risposta.
Ma il problema maggiore rimarrà quello dei miliardi di dispositivi IoT, di basso valore, realizzati da produttori minori, che saranno lasciati al loro destino e non riceveranno mai una patch di sicurezza. La possibilità di attaccare e compromettere questi dispositivi è oggi quindi molto più reale e preoccupante di quanto non fosse ieri.
5. AGGIORNARE O NON AGGIORNARE?
Gli aggiornamenti di sicurezza per Meltdown sono in parte già stati rilasciati in questi giorni e si tratta di pacchetti di aggiornamenti cumulativi dei sistemi operativi, che vengono fatti spesso in modo automatico. Diventa difficile (oltre che sconsigliabile!) non farli. Sarà necessario che anche gli antivirus vengano aggiornati, perché altrimenti, per come sono realizzate queste patch di sicurezza, gli antivirus la riterranno un virus e la bloccheranno! Per questo i produttori dei sistemi operativi e quelli degli antivirus stanno lavorando in collaborazione per far uscire in contemporanea le patch di sicurezza e gli aggiornamenti degli antivirus.
Microsoft ha appena rilasciato (3 gennaio) la patch KB4056892 per Windows 10 1709 e Windows Server 1709 (https://support.microsoft.com/it-it/help/4056892/windows-10-update-kb4056892) La stessa patch è prevista anche per Windows 8.1 e Windows 7, ma non immediatamente. Microsoft spiega qui come la si può applicare manualmente: https://support.microsoft.com/it-it/help/4056898/windows-81-update-kb4056898
Apple ha rilasciato il giorno 5 gennaio 2018 un comunicato (https://support.apple.com/en-us/HT208394) dove dichiara che già a dicembre, con gli aggiornamenti 11.2 di iOS, 10.13.2 di macOS (l’aggiornamento in arrivo di macOS 10.13.3 sarà più efficace) e 11.2 di tvOS, aveva “mitigato” (parla infatti di “mitigations”) la pericolosità di Meltdown. Nei prossimi giorni rilasceranno mitigazioni per Safari per aumentare le difese contro Spectre. Per quanto riguarda Apple Watch: watchOS è immune a Meltdown ma non a Spectre, falla – quest’ultima – che comunque Apple definisce “estremamente difficile da sfruttare”.
Android: con le Security patch di gennaio Google ha già applicato la soluzione e gli smartphone che le ricevono sono a posto. Purtroppo meno del 5% degli smartphone Android verrà aggiornato con le ultime patch di sicurezza, agli altri non arriveranno mai.
Proprio in questi ultimi giorni Google, con un post sul proprio Security Blog, Google Zero Team fa sapere di avere già implementato una tecnica con la quale metterebbe i sistemi al sicuro da Meltdown e Spectre.
Le due soluzioni apportate da Google si chiamano Kernel Page Table Isolation (usata per mitigare l’effetto di Meltdown) e Reptoline (utilizzata contro l’azione di Spectre). I test fatti da Google avrebbero riportato un impatto praticamente nullo sulle performance dei sistemi: https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
6. ANCHE I BITCOIN SONO A RISCHIO
Se, come sembra, Spectre e Meltdown, possono essere utilizzati per sottrarre dati contenuti nei computer, potrebbero anche essere sfruttati dai malintenzionati per rubare bitcoin e altre criptovalute. Lo possono fare sottraendo la chiave privata che con il sistema crittografico a doppia chiave protegge a prova di hacker i file dove sono depositate le monete virtuali. In questo caso il sistema più sicuro e che sembra a prova di qualsiasi vulnerabilità, è rappresentato dagli hardware wallet. Il wallet è un software che si scarica direttamente sul computer, mentre l’hardware wallet è un dispositivo esterno, simile a una chiavetta Usb, da utilizzare solo nel momento dell’acquisto o della vendita di valuta.
7. LA STRANA VENDITA DEL CEO DI INTEL
Intel, nell’occhio del ciclone, dopo un iniziale silenzio ha provato a tranquillizzare tutti con un comunicato stampa: “Entro la fine della prossima settimana ci aspettiamo di distribuire update per oltre il 90% dei processori introdotti negli ultimi 5 anni. Inoltre, molti fornitori di sistemi operativi, di servizi di cloud pubblico, produttori di dispositivi e altri hanno detto di aver già aggiornato i loro prodotti e servizi”.
In questa complessa vicenda, con ancora molti aspetti da chiarire, si inserisce anche la clamorosa notizia, che arriva dalla SEC (la Consob statunitense): l’amministratore delegato di Intel, Brian Krzanich, ha venduto il 29 novembre, tutte le azioni in suo possesso (oltre 39 milioni di dollari) ad eccezione del limite minimo di 250mila titoli che è tenuto a mantenere in portafoglio. E lo ha fatto prima che il bug, scoperto nel giugno scorso, diventasse una notizia di pubblico dominio. Cosa pensare? E intanto per Intel si minacciano pesanti class action…
© Copyright 2018 Giorgio Sbaraglia
All rights reserved.