Seleziona una pagina

Spectre e Meltdown sono i nomi delle vulnerabilità

La notizia ha fatto il giro del mondo in poco tempo: una disastrosa vulnerabilità di sicurezza presente in ogni processore di ogni marca prodotto negli ultimi 10 anni. Google, AMD, ARM, Intel… non importa la marca, sono tutti vulnerabili. La vulnerabilità è cosi grave che l’amministratore delegato di Intel ha cercato di vendere tutte le sue quote azionarie della sua azienda quando è venuto a conoscenza del problema.

 

Di cosa si tratta?

Quando il processore fa funzionare le vostre app, sfrutta “l’esecuzione speculativa“: il processore calcola anche le istruzioni “future” che dovrebbe eseguire solo a seguito di un evento (ad esempio un tasto premuto) in modo tale che se l’evento si verifica si ha un incremento delle prestazioni. Il problema è che quando una di queste esecuzioni speculative viene “scartata” rimane nel processore con i suoi dati anche quando un’altra app viene eseguita. È dunque possibile per un’altra app (malevola) in esecuzione impossessarsi dei dati (password, chiavi di cifratura o token di autenticazione) di altre app.

La cosa peggiore? Tutti i browser hanno lo stesso problema: il codice in esecuzione di un sito riesce ad accedere ai dati di un altro sito. Pensiamo se i dati del nostro home banking, della mail o di un gestionale aziendale sono messi a disposizione di siti gestiti da terze parti!

È spaventoso,, non mi aspettavo che conversazioni private venissero fuori da applicazioni che non avevano il permesso di accedere a quei dati. Daniel Gruss, Un ricercatore coinvolto

Perché è grave?

Perché consente a un’applicazione di accedere ai dati e alla memoria delle altre applicazioni in esecuzione o del sistema operativo andando a compromettere la sicurezza.

Come si risolve?

Non c’è una soluzione a questo problema, l’unica soluzione è buttare il proprio pc/processore e comprarne uno nuovo, ma solo dopo che usciranno in commercio quelli che non presentano la vulnerabilità.

Cosa si sta facendo per risolvere il problema? Alcune pezze di marginale efficacia sono state prodotte, ma non è ancora chiaro ai ricercatori e ai produttori cosa si può fare per arginare il problema perché gli esperti devono ancora trovare una soluzione. Fino a quando questo processo non sarà completato, non c’è nessuna soluzione.

Posso mitigare in qualche modo ?

Una soluzione può essere: non visitare siti “importanti e affidabili” assieme a siti “meno importanti e affidabili”. Non portate avanti attività di svago quando lavorate, tenete separate le due cose.

Utilizzate più computer e dispositivi, un computer per le attività importanti e il lavoro, un computer per i giochi e la musica, ad esempio. Non mischiate, siate proattivi e compartimentalizzate le vostre attività.

Speriamo che questa vulnerabilità apra definitivamente gli occhi ai produttori sull’importanza della sicurezza, per quanto riguarda gli utenti invece? Molto dipende anche dalle vostre scelte. Potete scegliere un sistema operativo sicuro, come QubesOS piuttosto che uno tradizionale. E lo stesso vale per gli account email e gli altri servizi, su cui magari faremo un articolo a parte.