Quali sono i rischi? Come hanno reagito le aziende? Cosa devono fare gli utenti?

Il 2018 ha esordito col botto, per chi si occupa di sicurezza informatica. Negli ultimi due giorni diversi gruppi di ricercatori hanno infatti rivelato l’esistenza di due vulnerabilità che riguardano l’hardware di gran parte dei microprocessori presenti nei computer degli ultimi 20 anni.

Le due falle permettono a un attaccante di accedere ai contenuti nella memoria di sistema di computer, smartphone, server. E quindi di leggere dati di altri programmi che dovrebbero restare segreti e protetti, incluse le password conservate in un password manager o nel browser, ma anche email, foto, messaggi di chat, documenti, scrivono i ricercatori.

Insomma, si tratta di falle, vulnerabilità a livello hardware, nella progettazione dei processori, che però possono essere sfruttate da un attore malevolo per impossessarsi di informazioni preziose contenute nei software e nelle applicazioni del computer. Falle presenti su milioni di macchine. Da molti anni. Scoperte solo negli ultimi mesi e rivelate di colpo negli ultimi due giorni, prima del previsto, dopo che alcune informazioni sono trapelate. E con rimedi variabili e non ancora del tutto definiti. Insomma, la faccenda è seria. Vediamo però cosa significa concretamente, che impatto può avere su un utente comune, e cosa si può fare.

Le due falle, Meltdown e Spectre

I ricercatori che hanno trovato queste falle le hanno chiamate Meltdown e Spectre (qui i white paper https://meltdownattack.com/ e altre info).

Quella di cui più si è parlato, e per prima, è Meltdown (il nome deriva dal fatto di «sciogliere» i confini di sicurezza dell’hardware, tecnicamente è indicata con CVE-2017-5754).

Colpisce i chip Intel - ogni processore Intel dal 1995 (tranne Intel Itanium e Intel Atom prima del 2013) - e permette di violare l’isolamento fra il sistema operativo e le applicazioni. Ma per questa, e finora soprattutto per Meltdown, esistono dei rimedi software, delle patch, degli aggiornamenti, che vediamo dopo. C’è chi teme che possano rallentare la performance delle macchine fino al 20 o 30 per cento, ma i produttori rassicurano. Per un utente comune, secondo Intel, il rallentamento non sarebbe significativo.

La seconda falla, Spectre (che, per i tecnici, ha due varianti, CVE-2017-5753 e CVE-2017-5715 e che è stata fantasiosamente chiamata «Spettro» perché difficile da risolvere e «ci perseguiterà a lungo»), colpisce processori Intel, AMD, ARM (che sono quelli testati dai ricercatori) e più in generale ogni moderno processore. Spectre rompe l’isolamento fra diverse applicazioni. Sebbene sia più difficile da sfruttare in un attacco, è anche più difficile da tamponare, gli aggiornamenti non sono così immediati. Secondo alcuni ricercatori è questa seconda falla che rischia di avere a lungo termine conseguenze più serie.

Ok, ma come avviene esattamente l’attacco?

Entrambe le vulnerabilità si basano sul modo in cui i processori eseguono alcune istruzioni, anche se con alcune distinzioni. Per ottimizzare le prestazioni usano una funzione nota come esecuzione speculativa: quando eseguono del codice e si trovano davanti alla possibilità di poter ricevere istruzioni diverse a seconda dell’input, si portano avanti cercando di predire quale percorso verrà preso, salvo poi scartarlo se non era quello da prendere.

I due attacchi si basano dunque su questo principio, anche se - semplificando - in modo più specifico per Meltdown e in modo più generale per Spectre. In pratica gli attacchi cercano di sfruttare il fatto che i processori, per essere più veloci, eseguono anche delle istruzioni che poi buttano via, dopo averle salvate momentaneamente (qui un thread tecnico su Twitter).

Gli attacchi basati su Meltdown e Spectre abusano di questa funzione per accedere alla memoria privilegiata da un processo con meno privilegi come una app malevola. Ovviamente sfruttare questo meccanismo per accedere a parti privilegiate della memoria non è banale. Leggere pezzi arbitrari di memoria, come permesso da queste falle, non si traduce automaticamente in un’arma; e soprattutto è difficile farlo su larga scala, ha scritto Martijn Grooten, direttore della pubblicazione specializzata Virus Bullettin.

Chi è a rischio?

I più esposti sono i servizi cloud, dove una stessa macchina è condivisa da più clienti. Degli hacker potrebbero affittare dello spazio su un servizio e cercare di ottenere informazioni riservate di altri “coinquilini”. Infatti i colossi del cloud, come Amazon, Google e Microsoft, si sono precipitati ad aggiornare i propri sistemi per tamponare il problema.

Anche i computer degli utenti sono vulnerabili, ma un attaccante dovrebbe prima trovare il modo di eseguire del codice sulla macchina, facendogli scaricare un software, una app. Oppure facendogli visitare un sito infetto. Ed è proprio questa modalità, la più preoccupante, a essere stata confermata da Mozilla. Meltdown e Spectre, ha fatto sapere la fondazione dietro a Firefox, potrebbero essere sfruttate attraverso alcune righe di codice (JavaScript) inserite in un sito web.

A quel punto basta che un utente col computer vulnerabile visiti quelle pagine per consentire a un attaccante di accedere a informazioni riservate che siano elaborate in quel momento dal suo pc.

Dunque che deve fare un normale utente?

Aggiornare i software, dato che i vari produttori stanno sfornando delle patch, delle correzioni al problema. A partire dai browser. Firefox ha già aggiornato, anche in queste ore; lo stesso hanno fatto Internet Explorer e Edge. Chrome aggiornerà il 23 gennaio ma nel mentre si può già abilitare una funzione specifica, detta Site Isolation.

Vari esperti consigliano anche di usare un adblocker. Microsoft ha già una «pezza» per Windows 10, altre versioni saranno aggiornate il 9 gennaio. C’è però un problema con gli antivirus, alcuni potrebbero non essere compatibili con l’aggiornamento in questione (qui una lista).

Dopo un primo momento di silenzio Apple ha infine specificato che tutti i sistemi Mac e iOS sono colpiti da Meltdown e Spectre. iOS 11.2, macOS 10.13.2, e tvOS 11.2 aggiornano Meltdown, mentre delle correzioni per Spectre arriveranno su Safari nei prossimi giorni. Le distribuzioni Linux stanno correndo ai ripari. Qui c’è un elenco di tutti gli aggiornamenti in corso.

Come si è arrivati a questa scoperta?

Meltdown è stata scoperta da un ricercatore di Google Project Zero, la squadra di analisti di sicurezza del colosso californiano; da ricercatori della società Cyberus Technology e della Graz University of Technology. Spectre è stata scoperta dallo stesso ricercatore di Google, e da altri di varie università. In pratica ricercatori diversi sono arrivati alle stesse conclusioni. Come nota qualcuno, non si può escludere che anche soggetti ostili abbiano scoperto da prima queste falle. Il problema è che non è facile accorgersi se siano state sfruttate, perché «non rimane traccia nei file di log, di registro», scrivono i ricercatori.

Ad ogni modo, le aziende interessate stavano lavorando in segreto a dei rimedi da mesi, ma ai primi aggiornamenti software alcuni osservatori hanno cominciato a capire qualcosa e la notizia si è parzialmente diffusa. Subito si è parlato però solo di Meltdown e dei processori Intel. A quel punto Google è uscita con un post in cui spiegava i dettagli sia di Meltdown che di Spectre.

E la corsa alle patch ha visto un’improvvisa accelerazione. I dati tecnici su entrambi gli attacchi si trovano qua.