Ricercatori di sicurezza del gruppo Google Project Zero, in collaborazione con altri esperti provenienti da varie aziende e case di sviluppo, oltre a enti di ricerca universitari, hanno reso note due falle di sicurezza presenti nella totalità – o quasi – delle CPU oggi in commercio. Chiamate Meltdown e Spectre, le due vulnerabilità non riguardano un problema fisico dei processori o un "semplice" bug riguardante software come Word, Chrome o Photoshop.
Si tratta, invece, di una vulnerabilità che intacca il cuore stesso del funzionamento dei computer e mette a rischio indistintamente tutti i dati e le informazioni processate dalla CPU. Meltdown e Spectre agiscono a livello dell'architettura dei processori, nelle modalità in cui i milioni di transistor e unità logiche lavorano e comunicano tra di loro.
Nell'architettura delle CPU e dei processori moderni, ci sono luoghi (apparentemente) inviolabili e protetti, all'interno dei quali i dati da processare e processati "transitano" in maniera non crittografata. Quello che i ricercatori statunitensi hanno scoperto è che queste zone – il kernel, nello specifico – non sono affatto inviolabili come pensato, ma i loro sistemi di sicurezza possono essere aggirati, permettendo agli hacker di accedere indisturbati ai dati degli utenti.
Che cosa sono Meltdown e Spectre
Meltdown e Spectre sono i nomi con i quali gli esperti di sicurezza informatica hanno dato alle tecniche che consentono di aggirare i sistemi di sicurezza del kernel dei processori di ultima generazione e che "mettono in mostra" tutti i dati che transitano dal processore di un PC, incluse password, informazioni personali e riservate (così come dati di nessuna rilevanza o importanza).
Meltdown colpisce i processori Intel rompendo la barriera software che impedisce (o dovrebbe impedire) ai programmi in esecuzione di accedere alle celle di memoria assegnate ai dati di altre applicazioni. Ciò, teoricamente, impedisce a un software di interferire con il funzionamento di un altro e protegge le informazioni processate (o in attesa di essere processate) da occhi indiscreti. Andando a rompere questa barriera, un hacker sarebbe teoricamente in grado di accedere a tutte le altre celle di memoria delle CPU Intel, "leggerne" il contenuto e salvarlo all'interno di altre porzioni del disco rigido.
Spectre colpisce processori Intel, AMD e ARM, aggirando i sistemi di sicurezza in maniera differente rispetto a Meltdown. Questa vulnerabilità "inganna" gli applicativi in esecuzione, portandoli a divulgare informazioni che, altrimenti, sarebbero confinate all'interno di celle di memoria "a tenuta stagna" e completamente al sicuro.
Quali sono i computer affetti dal bug dei processori?
Interessando chip e processori dei tre maggiori produttori al mondo, Meltdown e Spectre interessano la stragrande maggioranza di dispositivi informatici in circolazione. E, si badi bene, non riguarda solamente computer: la presenza di ARM (sulle cui architetture si basano le SoC di tutti i vari produttori) estende il campo di applicazione dei due bug dei processori anche a smartphone, tablet, smartwatch e migliaia di smart devices utilizzati in casa, in ufficio o in fabbrica. Insomma, di tutto un po'. I ricercatori guidati dal gruppo del Google Project Zero hanno testato, con successo, le vulnerabilità sulle CPU (tutte, o quasi) commercializzate dal 2011 sino a oggi, ma non è da escludere che interessino i processori sino al 1995. Inoltre, trattandosi di una vulnerabilità a livello di architettura, non c'è distinzione tra computer Windows, Mac o Linux. Insomma, se mai si è avuto un computer è probabile che i nostri dati siano sempre stati in pericolo.
Come difendersi dai bug dei processori e mettere al sicuro i propri dati
Data la loro natura e la loro capacità di agire a livello di architettura delle CPU, Meltdown e Spectre creano non pochi grattacapi agli esperti di sicurezza informatica sia nella creazione di possibili patch e misure "di contrasto" sia nello scoprire se qualcuno abbia mai utilizzato queste vulnerabilità per spiarci e trafugare i nostri dati. Da parte loro, gli utenti potranno fare ben poco per proteggersi: l'unica carta a loro disposizione è quella di installare tutti gli aggiornamenti rilasciati sia dai produttori di chip, sia da case sviluppatrici e operatori tecnologici vari.
Stando all'opinione di alcuni esperti di sicurezza e analisti indipendenti, sia Meltdown sia Spectre possono essere "riparate", ma ci sarà bisogno di un po' di tempo. Per Meltdown è probabile che saranno rilasciati controller per il kernel con policy più restrittive nel controllo delle celle di memoria della CPU. Per Spectre, invece, il discorso è più complesso e potrebbero essere necessari ulteriori approfondimenti per trovare una soluzione plausibile.
Nel frattempo, diverse software house hanno annunciato che patch per mitigare gli effetti delle vulnerabilità dei processori. Google, ad esempio, ha fatto sapere che a breve saranno aggiornati sia Chrome che Chrome OS con funzionalità che proteggano i dati processati "per conto" del browser; Microsoft, da par suo, ha rilasciato un aggiornamento a inizio 2018 che dovrebbe mettere i suoi utenti parzialmente al riparo dai rischi legati a Meltdown e Spectre.
4 gennaio 2018