News

Meltdown e Spectre: le vulnerabilità dei nostri computer

Non hai tempo di leggere questo articolo? Qui puoi ascoltarlo come un podcast!
Sappiamo che esistono da poco più di una settimana, e già hanno rivoluzionato il nostro modo di considerare la tecnologia, e minato le nostre sicurezze. Spectre e Meltdown sono stati scoperti da svariati gruppi di ricercatori, parallelamente, e nessuna azienda che si occupa di tecnologia ne è immune: da Microsoft, a Apple, a produttori di processori come Intel e AMD, chi gestisce i cloud (come Amazon o Google), i web browser o gli antivirus. Se non vi interessate di tecnologia potreste non averne sentito parlare, o filtrato la notizia, ma indubbiamente la questione riguarda il vostro computer, il vostro smartphone, i cloud dove tenete le vostre foto e le informazioni sensibili. Ogni processore prodotto da vent’anni a questa parte ne è interessato. Lo siamo tutti, ma quanto bisogna preoccuparsi? È il declino della tecnologia, o un bug del sistema che verrà risolto o ridimensionato?
Per cercare di rispondere a queste domande, partiamo dalle basi. Cosa sono Spectre e Meltdown, e perché fanno così paura?
Non sono “attacchi hacker”, o “virus”, quelli scoperti dai ricercatori in questi giorni, bensì due tecniche per sfruttare vulnerabilità della CPU allo scopo di ottenere informazioni sensibili presenti in memoria. I due procedimenti sono, dal punto di vista tecnico, piuttosto differenti, ma entrambi puntano ad accedere ad aree di memoria del computer alle quali non dovrebbero poter accedere. Aree di memoria contenenti password, informazioni su transazioni economiche, o altre informazioni che dovrebbero rimanere private. Meltdown si chiama così perché “scioglie” la barriera fondamentale che esiste fra i programmi applicativi e il sistema operativo, permettendo a un programma di accedere alla memoria di altri, e del sistema operativo. Questo è possibile sfruttando una delle basi del funzionamento dei processori odierni: essi non aspettano che voi gli diate un’istruzione, perché sarebbero troppo lenti ad eseguirla. Le operazioni vengono eseguite continuamente, e se i risultati non sono richiesti vengono gettati via (si dicono transienti). Questo comporta il fatto che ogni tanto i programmi facciano cose che non dovrebbero fare, per errore, come guardare aree di memoria che non dovrebbero vedere, e vengano semplicemente terminati dalla CPU, senza lasciare traccia del loro errore. Se questo errore fosse però volontario, ed è il caso di Meltdown, il programma prima di essere terminato potrebbe “scrivere” i dati che ha letto su una memoria temporanea, detta cache, e sarebbero accessibili da un altro programma, che non dovrebbe averli. Ovviamente la questione è parecchio più complessa di così, e se siete abbastanza esperti e interessati qui trovate il paper scientifico che spiega tutto ciò che si sa su questa vulnerabilità. Qui invece trovate il paper analogo per Spectre, l’altra questione problematica. Mentre Meltdown rompeva la barriera fra sistema operativo e programmi, Spectre rompe quella fra programmi differenti, in modo che l’uno possa ingannare l’altro e far sì che condivida i suoi dati. Il suo funzionamento è più complesso, e meno compreso, e sarà quindi anche più difficile trovarvi una soluzione. Per entrambi, tuttavia, si tratta di un problema di hardware (ossia dei chip contenenti il processore del computer), non di software (ossia i programmi o il sistema operativo), ma naturalmente non è possibile modificare fisicamente i chip di ogni computer del mondo, quindi le soluzioni dovranno essere necessariamente software, e ciò rende la questione assai complessa. 

1515540014 Cpu Main

Non è ancora noto di casi reali in cui queste problematiche siano state sfruttate per ottenere informazioni private, ma il rischio è alto e tutte le aziende del mondo che si occupano di tecnologia hanno in questi giorni rilasciato patch che permettono di proteggersi, almeno momentaneamente, da queste vulnerabilità. È quindi cruciale aggiornare i vostri sistemi operativi, i vostri web browser e installare i firmware updates. Questi provvedimenti probabilmente rallenteranno il vostro computer, e lamentele di questo tipo sono state già manifestati da svariati utenti, ma non è ancora chiaro quale sarà l’entità di tale rallentamento e la sua dipendenza dal carico di lavoro a cui è sottoposto il sistema. Rimane il fatto che il problema è più profondo, ed essendo dipendente da un funzionamento così basilare del processore potrebbe essere sfruttato in varianti che ancora non siamo riusciti ad esplorare, e per le quali non ci siamo quindi tutelati. Varianti che potrebbero finire nelle mani sbagliate prima di poter essere analizzate e risolte
Ma il pericolo peggiore non risiede nei nostri computer personali, secondo gli esperti la “crisi” colpirà i cloud più di tutti. I cloud sono, banalizzando estremamente, computer in cui le informazioni di singoli utenti, aziende o addirittura organizzazioni governative vengono conservate quotidianamente, più o meno a pagamento. Questi computer spesso ospitano contemporaneamente informazioni di proprietà di diverse entità, e ovviamente le une non possono accedere alle informazioni delle altre. O almeno fino ad ora. È possibile che Meltdown, ma soprattutto Spectre, permettano questo scambio di dati, con conseguenze di entità ancora poco definita. I cloud saranno anche tra le tecnologie più colpite dai rallentamenti dovuti agli aggiornamenti. Se infatti il rallentamento stimato tra il 5 ed il 30% potrebbe non risultare così importante per i singoli utenti, per i servizi di cloud questo stesso rallentamento potrebbe portare addirittura a disservizi.
La situazione è ancora estremamente in evoluzione, oggi stesso Intel ha promesso che entro la fine della settimana il 90% dei computer affetti potranno essere tutelati da queste minacce. Quindi controllate gli aggiornamenti sopracitati, e che la forza sia con voi. 

Da non perdere questa settimana su Orgoglionerd

 

🇻🇦 In che senso il Vaticano ha una propria mascotte in stile anime?
🏛️ Francesco Totti diventa Gladiatore a Lucca Comics & Games

🦇 Oltre i villain e i supereroi: intervista a Lee Bermejo
📰 Ma lo sai che abbiamo un sacco di newsletter?
 
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
 
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
 
💸E trovi un po' di offerte interessanti su Telegram!

Autore

Ti potrebbero interessare anche:

Un commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button