Scoperte due falle nei processori: sicurezza a rischio per pc e smartphone

13 Gennaio, 2018, 05:59 | Autore: Luciano Vano
  • Bug dei processori, è tempo di class action contro Intel

Per eliminare i bug, sembra però essere necessario "riproggettare" i kernel attraverso la tecnica del Kernel Page Table Isolation (KPTI), rendendo così gli indirizzi di memoria assegnati al kernel non solo invisibili ma "separati" ai normali processi utente.

Problemi di sicurezza, ma anche di performance.

Il team Project Zero di Google ha dichiarato che il difetto potrebbe consentire di raccogliere password e altri dati sensibili dalla memoria di un sistema.

Per comprendere la gravità del problema basti sapere che per gli esperti la vulnerabilità dei congegni rappresenta la più grave degli ultimi anni. Naturalmente i produttori, in particolare Intel, la più colpita da questo problema, non sono felici di rivelare la vera estensione di questo difetto, per cui reperire le informazioni non è così semplice. Ciò potrebbe essere fatto su quasi tutti i dispositivi, inclusi telefoni, laptop e computer che alimentano i dispositivi cloud.

La scoperta delle due vulnerabilità ha matrice comune nei laboratori Google Project Zero e porta la firma del ricercatore Jann Horn.

Alcuni ricercatori hanno scoperto una grave falla sulla sicurezza nei computer e negli smartphone prodotti negli ultimi dieci anni.

Spectre colpisce processori Intel, AMD e ARM, aggirando i sistemi di sicurezza in maniera differente rispetto a Meltdown. L'azienda ha detto che sta lavorando ad una soluzione che non rallenti significativamente i computer [VIDEO], poichè questo potrebbe essere uno dei rischi di un possibile aggiornamento dei software.

La nota parla di una nuova ricerca di sicurezza che descrive metodi di analisi software che, se usati per scopi dannosi, possono raccogliere impropriamente dati sensibili da dispositivi informatici.

Ora è ufficiale: Intel ha un grosso problema di sicurezza.

Stando a quanto riferito, la lacuna riguarderebbe il sistema per la gestione della memoria virtuale integrato nel processore e ampiamente adoperato nei data center. Il processore, infatti, in buona sostanza non esegue i dovuti controlli di sicurezza sul codice che va a eseguire e non elimina ogni traccia di quanto prodotto da una scommessa sbagliata. Fanno parte della RISC-V Foundation diverse aziende tra cui AMD, Nvidia, Micron, Qualcomm e Microsoft. L'obiettivo è sviluppare un approccio a livello industriale per risolvere questo problema in modo rapido e costruttivo.

In ogni caso, Intel ha iniziato a fornire aggiornamenti software e firmware per mitigare il problema, sicuramente sufficienti per l'utente medio. La gravità del problema costringe tuttavia a tenere alta la guardia, anche perché il numero di sistemi da correggere sarà altissimo ed i tempi saranno necessariamente lunghi: l'esposizione al problema è destinata a perdurare, estendendosi ben oltre i soli dispositivi di uso personale. Di certo sappiamo solo che siamo e saremo sempre più insicuri. Amd sta lavorando ai chip dei server e dei pc, Intel anche a quelli mobile che in parte produce, Arm a quelli degli smartphone e dei tablet. La prima, battezzata "Meltdown" e riguarda Intel, mentre la seconda, "Spectre", coinvolge sia Intel che Arm e Amd e ha due varianti. Volendo essere più precisi, tali alterazioni riguarderebbero le cosiddette "esecuzioni speculative" delle consuete istruzioni del processore. Va però precisato che Apple nel suo macOS 10.13.2 dovrebbe aver inserito un sistema in grado di proteggere, almeno in parte, i Mac dal bug.

Resta ancora da capire se esista qualche malware che sfrutti Meltdown o Spectre, perché gli attacchi sono difficili da rilevare. Microsoft ha rilasciato l'update per Windows 10, mentre quello per le versioni più vecchie del sistema operativo arriverà il 9 gennaio.

Nell'architettura delle CPU e dei processori moderni, ci sono luoghi (apparentemente) inviolabili e protetti, all'interno dei quali i dati da processare e processati "transitano" in maniera non crittografata.