Inizia l’anno con un disastro sulla sicurezza delle macchine informatiche: una di queste vulnerabilità utilizza la parola Meltdown che in pratica significa fusione del nocciolo di una centrale nucleare. Mentre Spectre, oltre ad essere l’organizzazione che combatteva contro 007, può essere tradotta come “Spettro”.
Queste vulnerabilità sono state scoperte in effetti qualche mese fa, ma la delicatezza della questione ha suggerito di mantenere un embargo sulla notizia e di lavorare dietro le quinte per trovare i correttivi adeguati sui processori degli ultimi 10 anni.
La vulnerabilità identificata è singolare perché in effetti è il risultato di alcune funzioni che sono state implementate in questi processori che cercano di anticipare, con delle analisi statistiche, quello che i programmi in esecuzione chiederanno. Un vero e proprio pre-calcolo nella speranza che qualcuno di questi dati poi venga effettivamente richiesto, in tal caso l’elaborazione è già stata fatta e quindi il programma ottiene la risposta istantaneamente grazie a questa ottimizzazione. Questa funzione di pre-calcolo oggi viene sfruttata ampiamente da tutti i software e da i tutti sistemi operativi.
Tutti i computer hanno questa grave falla
E’ una vulnerabilità del tutto trasversale e questa funzione di ottimizzazione, si è scoperto, può essere “imbrogliata”. Per cui un programma malevolo può chiedere al sistema operativo una serie di dati che lui sta calcolando in background in una zona riservata della memoria. Una situazione di questo genere viola quella gerarchia di permessi che invece dovrebbe essere alla base dell’architettura dei computer: accesso a dati conservati in zona di memoria protetta o comunque che non dovrebbero essere non disponibili a tutti gli elementi che girano su una macchina. In questo caso invece si rompe il meccanismo di sicurezza perché i dati potrebbero essere una password, un certificato digitale, un Pin piuttosto che pezzi della memoria dove ci sono dati sensibili come immagini e audio.
Problema, almeno sulla carta, gravissimo
Si tratta di un problema piuttosto serio, almeno sulla carta questa vulnerabilità è uno delle più gravi mai scoperte perché è implementato a livello dell’hardware. Quindi non è che si può semplicemente cambiare delle righe di codice, è solo possibile modificare i software e in qualche in modo mitigare la problematica, ma è sempre l’hardware ad avere un problema.
Obbligare i programmi ad ignorare le ottimizzazioni della Cpu
Il secondo problema che abbiamo è che mascherare a livello di codice questa vulnerabilità significa di fatto rinunciare ad alcune di quelle ottimizzazioni. Obbligare i sistemi operativi e programmi a non utilizzare quelle funzioni che servono a rendere i nostri computer performanti. Un vero e proprio conflitto di interessi tra performance e sicurezza.
Attualmente non abbiamo abbastanza informazioni sulla effettiva sfruttabilità di questa problematica. Certamente esiste sulla carta, ma che si possa sfruttare nel mondo reale in modo malevolo con un tasso di successo elevato e senza eccessive complicazioni allora sì che sarebbe un vero disastro. Se invece questa problematica è difficile da sfruttare e funziona solo in circostanze particolari, ma non in tutte, con una serie di limitazioni nel suo uso pratico, allora il problema diventa se applicare le cosiddette patch da parte dei produttori di software sui nostri computer perdendo delle performance.
A fronte di una vulnerabilità non così facilmente sfruttabile varrà la la pena di perdere il 10 o il 20% di prestazioni forzandola andare più piano come se gli si tirasse un freno a mano? Attualmente non sappiamo ancora se è facile attaccare Pc e server con questa vulnerabilità perché, ovviamente, non tutto è stato svelato dai ricercatori. Non è detto che se la porta è rimasta aperta i ladri siano entrati nel sistema, è ancora un po’ troppo presto affermarlo, ma è anche vero che sfruttando questa vulnerabilità probabilmente non si lasciano molte tracce.
Secondo alcuni esperti si potrebbe arrivare addirittura fino al 45% nella riduzione delle prestazioni dei processori, ovviamente dipenderà da come verranno fatti gli aggiornamenti e dall’equilibrio che si manterrà tra sicurezza di tutta l’architettura e calo delle prestazioni.
Microsoft ha già rilasciato delle patch di sicurezza per le Cpu su Windows.