Annunciate il 3 Gennaio 2018 ma scoperte qualche mese fa, le due falle di sicurezza conosciute come Meltdown Spectre sono salite agli onori della cronaca per la loro particolare gravità e per il fatto che a differenza di altre in passato, colpiscono la parte hardware. In particolare a essere colpita la CPU (processore) e con le dovute differenze, le due problematiche coinvolgono in maniera simile sia notebook, PC, computer Apple ma anche smartphone e soluzioni per l’IoT mettendo a rischio miliardi di componenti e relative informazioni che transitano all’interno dei circuiti.

Prima però di farsi prendere dall’allarmismo è bene considerare che si tratta sì di falle di sicurezza gravi e che il loro impatto effettivo deve essere ancora calcolato ma che è attualmente più probabile incappare in virus, malware e strategie come il phishing che rimangono tutt’ora più usate per raggirare l’utente comune (mentre diverso è il discorso per le soluzioni aziendali e il cloud).

meltdown spectre

Meltdown e Spectre: quali sono i componenti a rischio

Meltdown è stata scoperta da tre gruppi di ricercatori (Università di Graz in Austria, Cyberus Security e Google Project Zero) e colpisce i processori prodotti da Intel dal 1995 (al di fuori della serie Intel Itanium e Intel Atom prima del 2013) ma anche i nuovi SoC mobile basati su architettura Cortex-A75 che però ancora non sono sul mercato, ma che arriveranno presto. Per quanto riguarda invece Spectre si ampliano le possibilità di attacco in quanto comprende, oltre a Intel, anche ARM (su cui si basano molti processori per tablet e smartphone) e AMD dalla serie Ryzen, una delle ultime rilasciate dal produttore.

Le differenze tra le due falle si possono riassumere col fatto che per Meltdown viene interrotto il meccanismo che impedisce alle applicazioni di accedere alla memoria di sistema arbitraria e questo potrebbe portare le applicazioni stesse ad accedere alla memoria di sistema. Spectre invece permette di ingannare le altre applicazioni per accedere a posizioni arbitrarie nella loro memoria.

Il nome Meltdown deriva dal fatto che il bug fonde/scioglie fondamentalmente i limiti di sicurezza che sono normalmente applicati dall’hardware mentre per Spectre deriva dall’esecuzione speculativa che è alla base del problema e dal fatto che è difficile da risolvere e quindi “perseguiterà” gli utenti per diverso tempo. Ovviamente è intuibile che se un’applicazione riesce ad accedere a spazi di memoria protetti (almeno in teoria) è possibile per quest’ultima prelevare qualsiasi tipo di informazioni e se ancora adesso non sono noti attacchi del genere è vero che potrebbero arrivare nei prossimi mesi sfruttando tutti quei sistemi che non sono stati aggiornati o che non hanno un aggiornamento (un po’ come successo per WannaCry o WannaCrypt dove le patch esistevano ma non sono state applicate in tempo).

Come definizione semplificata di quello che avviene si può dire che molti processori (come quelli riportati sopra) per migliorare le prestazioni cercano di capire quali istruzioni verranno impiegate nel breve successivo e per farlo utilizzano un modo speculativo sulla base di ipotesi considerate verosimili (ma che potrebbero o non potrebbero risultare corrette). Ed è proprio l’esecuzione speculativa a essere al centro del problema di Meltdown Spectre in quanto da la possibilità ad applicazioni o siti malevoli di intercettare informazioni di qualsiasi tipo che invece dovrebbero rimanere confinate in appositi spazi protetti superando così anche cifrature o protezioni come quelle offerte dai password manager!

Meltdown e Spectre: come proteggersi

Considerando la gravità della problematica riscontrata, sono prese contromisure il più velocemente possibile ma non tutto è ancora risolto e lo sarà nel breve periodo. Ecco cosa c’è da sapere sui sistemi di protezione e sulle patch da applicare:

  • Intel ha già mosso i primi passi rilasciando una patch per molti dei suoi processori degli ultimi cinque anni in modo da evitare la problematica di Meltdown mentre per Spectre si è ancora al lavoro per una soluzione.
  • AMD, il problema riguarda la variante uno (Bounds Check Bypass) che sarà corretta via software, la variante due (Branch Target Injection) che però, a detta della società, è veramente molto difficile da applicare sui loro prodotti per via di alcune differenze architetturali e ancora non è stata dimostrata su processori AMD; entrambe le prime due varianti sono classificate sotto Spectre. Per quanto riguarda invece la variante tre (Rogue Data Cache Load) non è possibile su prodotti AMD per via delle differenze architetturali ed è classificata sotto Meltdown.
  • ARM invece ha stilato una tabella completa di quali versioni di SoC sono soggetti alle tre diverse varianti (a cui si aggiunge anche una variante 3a per Meltdown) ma c’è da ricorcare che i processori basati su architettura ARM vengono impiegati da Apple, Qualcomm, Samsung e sono alla base di smartphone e tablet largamente diffusi e quindi potenzialmente vulnerabili. Per questo ARM rimanda direttamente ai produttori dei vari dispositivi.
  • Android con gli ultimi aggiornamenti di sicurezza protegge i dispositivi dagli attacchi con Meltdown Spectre compresi ovviamente Pixel e Nexus che hanno ricevuto già un ulteriore aggiornamento di protezione dalle dimensioni di poco meno di 50 MB.
  • Apple ha rilasciato la propria informativa per quanto riguarda queste problematiche di sicurezza (considerando che impiega processori Intel e altri basati su architettura ARM). La società di Cupertino ha rilasciato aggiornamenti per mitigare il problema di Meltdown con iOS 11.2, macOS 10.13.2 e tvOS 11.2. Apple Watch non ha problematiche legate a Meltdown mentre il browser Safari sarà aggiornato a breve per potersi difendere in maniera migliore da Spectre. In futuro saranno comunque rilasciati nuovi aggiornamenti che permetteranno di migliorare le prestazioni dopo l’applicazione delle patch.
  • Microsoft Windows 10, Windows 8.1, Windows 7 Service Pack 1 hanno le patch di sicurezza per mitigare il problema (KB4056890).
  • Microsoft Edge e Internet Explorer 11 hanno una patch per mitigare i problemi (KB4056892).
  • Google Chrome OS dalla versione 63 ha integrati una serie di contromisure per evitare problematiche e integra già di base la Site Isolation (descritta poco sotto) che consente di mitigare anche in questo caso le problematiche di furti di informazioni.
  • Mozilla Firefox ha una nuova versione 57.0.4 che consente di mitigare i problemi dovuti agli attacchi basati su Meltdown Spectre.
  • Google Chrome sarà aggiornato entro la fine del mese di Gennaio con la versione 64 e le versioni successive dovrebbero avere nuove modalità per evitare degradi prestazionali e ovviamente cercare di risolvere o mitigare il problema. Già da ora comunque si può attivare la Site Isolation che permette di evitare che un sito web trafughi informazioni da un altro utilizzando per ogni tab aperta un processo ad hoc.
  • Google Home e Google Chromecast non sono affetti da problemi riguardanti Meltdown Spectre.

Meltdown e Spectre: due video di attacchi “simulati”