Spectre e Meltdown – 2 Facce della stessa medaglia in grado di sconvolgere il mondo informatico!
Il nuovo anno non è certo giunto con i migliori propositi, anzi, il dark web si arricchisce di 2 nuove armi dal potenziale difficilmente inquadrabile :
Spectre e Meltdown – 2 bugs in grado di mettere in ginocchio l’intera infrastruttura informatica a causa della difficile mitigazione.
Esattamente cosa sono Spectre e Meltdown e di cosa stiamo parlando?
Queste vulnerabilità, identificate inizialmente nei processori Intel (prodotti da 10 anni a questa parte) ma che sembrano affliggere anche CPU AMD, ARM, e sostanzialmente qualsiasi smartphone, indifferentemente Android o IOS, rappresentano un problema davvero serio in grado di compromettere in un colpo solo, sicurezza, performance e privacy di ciascun sistema e per il quale non esistono, attualmente, soluzioni definitive.
La difficoltà di gestione di questo nuovo ed allarmante pericolo, risiede nel fatto che la compromissione non è nel software, facilmente aggirabile con apposita patch, ma prende di mira la CPU di ogni sistema e, nello specifico, il modo in cui essa opera a livello hardware, nella gestione della memoria virtuale.
In sostanza stiamo parlando di un vero e proprio difetto di progettazione di intere generazioni di processori, una grossa lacuna rimasta latente fino ad oggi e pronta ad esplodere in qualsiasi momento provocando, se non trattata quanto prima, uno scenario potenzialmente devastante.
Dettagli su MELTDOWN
A differenza di SPECTRE, MELTDOWN potrebbe essere gestibile tramite realizzazione di apposite patch software al costo di un possibile decremento delle prestazioni che vanno dal 4% ad addirittura il 30%.
Tutte le principali piattaforme (Linux, Windows, macOS) risultano affette dal problema ed hanno già iniziato a predisporre un aggiornamento specifico che dovrebbe risolvere il problema ma … a quale prezzo in termini di performance? e soprattutto, quali e quanti saranno i dispositivi tutelati?
Si tratta di un bel grattacapo soprattutto per Intel, immediatamente costretta a correre velocemente ai ripari.
L’azienda ha cercato frettolosamente di difendersi affermando che “non si tratta esattamente di un bug che inibisce il corretto funzionamento del prodotto”, ma in realtà, come è semplice intuire, il fatto stesso che la cpu funzioni, non significa che non permanga un rischio concreto legato alla ormai definita insicurezza del processore stesso.
E’ doveroso, quindi, che aziende come Intel e AMD debbano procedere ad una completa ristrutturazione e ri-progettazione dei propri prodotti.
E per tutti gli utenti attuali? Il problema è proprio questo : dovranno accontentarsi di un downgrade forzato del proprio sistema.
Dettagli su SPECTRE
Discorso differente, invece, riguarda SPECTRE.
Pur presentando alcune analogie funzionali con MELTDOWN, SPECTRE porta con se una vulnerabilità ancora più grave legata alla gestione dei processi in esecuzione sul sistema e non solo a livello di Kernel, il che lascia intuire l’impossibilità di applicazione di alcuna patch o intervento software.
Nello specifico, Il problema si origina nell’esecuzione fuori ordine (out-of-order execution) delle istruzioni: l’esecuzione out-of-order prevede che il processore faccia delle proprie valutazioni anticipate sul tipo di istruzioni che andrà ad effettuare : una sorta di “scommessa” sulle istruzioni successive che molto probabilmente andrà ad eseguire (un po come funziona il sistema di caching).
Il problema nasce proprio in questa fase, ovvero, nel momento in cui la cpu esegue tali istruzioni, non viene effettuato alcun controllo di sicurezza sul tipo di codice che andrà ad eseguire, ed in caso la “predizione” delle istruzioni come spiegato precedentemente, risulti vana, la cpu non elimina alcuna traccia di quanto prodotto in seguito ad una “scommessa” sbagliata.
Da questa lacuna, si potrebbe incorrere nell’exploit in grado di inserirsi in questa “indecisione” per poter consentire la lettura e la analisi di informazioni relative a segmenti di memoria relativi ad altri processi che, normalmente, non dovrebbero essere interessati all’interrogazione.
Quali i rischi concreti?
I rischi legati ad uno scenario del genere sono tanto semplici da immaginare quanto devastanti : Dalla lettura di password o chiavi di cifratura, all’accesso alla memoria di altri processi.
A proposito di processi, quello che salta per primo in mente, è certamente il BROWSER WEB, ovvero il veicolo più idoneo da controllare e gestire.
Basti pensare alla possibile implementazione di un ipotetico script in JavaScript, in grado di accedere ai cookies di login di altri siti : considerando l’utilizzo praticamente obbligatorio dei cookies al fine di visitare correttamente un sito web, è facile immaginare quanto potrebbe essere semplice collezionare ogni sorta di dato, password e quanti altri dati sensibili possibili.
Quanto rappresentato vale solo per il lato consumer ma non abbiamo considerato il lato server e relativo a tutti gli operatori cloud, hosting e cosi’ via.
E’ il caso, quindi, di menzionare tutti gli operatori (noi compresi) di hosting, server dedicati, servizi sul cloud come Azure, Amazon e l’enorme mole di lavoro che occorre effettuare nei prossimi giorni per assicurare la massima tutela di ogni singolo sistema.
Entrano in gioco, infatti, la gestione delle VPS, Virtual Machine, server ESXI ed i rischi connessi alla tutela di ciascuna struttura affinchè non si rischi la possibilità di riuscire a leggere la memoria da una macchina host a quella ospitante, se non di accedere ad informazioni tra macchine VPS normalmente separate l’una dall’altra.
Cosa è possibile fare?
Ecco il tasto dolente : le contromisure attuali al momento della scrittura di questo articolo, sono essenzialmente “workaround” e palliativi alla ricerca del contenimento del danno più che alla piena risoluzione.
Occorrerà uno sforzo globale da parte di tutti i produttori hardware e software, partendo dall’aggiornamento del microcodice della cpu, all’aggiornamento bios della propria mainboard, del sistema operativo tramite apposite patch, senza dover trascurare gli aggiornamenti di tutto il software installato sui propri sistemi.
Sul lato server, occorrerà procedere all’applicazione quanto prima, non appena rilasciati, tutti gli appositi fix relativi ai propri sistemi di virtualizzazione, ESXI, nonchè all’aggiornamento tempestivo dei firmware relativi ai propri server dedicati.
Purtroppo, al momento, tutte queste contromisure, non si possono considerare soluzioni definitive, ma solo meri tentativi di arginare il problema.
Tutti i processori sono coinvolti ed il problema è legato alla loro stessa struttura di funzionamento.
L’unico consiglio attualmente percorribile, è quello di considerare ogni forma di aggiornamento legato all’hardware installato sul proprio sistema, con particolare occhio di riguardo nel rilascio e nell’applicazione di appositi aggiornamenti del BIOS, di ciascun driver legato alle periferiche del sistema, e del completo aggiornamento di tutti gli applicativi attualmente installati, in particolare browser e patch del sistema operativo.
L’utilizzo sempre più stretto di firewall specifici, possono aiutare a contenere i pericoli, se non altro impedire una qualche forma di propagazione via rete.
Meglio fare qualcosa che non fare nulla.
Esiste già un rischio concreto?
La buona notizia, seppur una sola, riguarda il fatto che, al momento della stesura di questo articolo, non ci sono stati tentativi di sfruttamento delle falle incriminate, a conferma che la creazione di un exploit non è di facile realizzazione ma non per questo occorre abbassare la guardia, in quanto, potrebbe essere solo una questione di tempo.
Cosa facciamo noi di Over The Cloud?
L’intero staff di Over The Cloud è già da alcuni giorni attivamente impegnato a garantire il massimo grado di sicurezza, stabilità e protezione della privacy per ciascun Cliente e sta già attuando in background, tutte le contromisure disponibili necessarie a tutelare ogni singolo sistema.
In alcuni casi, potrebbe essere necessario riavviare determinate istanze.
In tale circostanza, ciascun Cliente interessato, verrà prontamente avvisato tramite specifica comunicazione.
Assicura ai tuoi progetti una casa sicura e performante.
Scegli Over The Cloud!