Meltdown e Spectre, le cose da sapere e da fare (senza panico)



[ZEUS News - www.zeusnews.it - 07-01-2018]

meltdown spectre kernel vulnerability

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Falla critica nei processori Intel, la patch rallenterà tutti i Pc

Se avete sentito parlare in toni drammatici di due importanti falle informatiche annunciate in questi primi giorni del 2018, rilassatevi.

Sì, il problema è serio, ma se non siete informatici per lavoro (per esempio gestite una banca o un servizio cloud) probabilmente vi basta aggiornare il vostro Windows, Mac, Linux, Android o iOS e le vostre applicazioni (in particolare il browser) come consueto, senza panico. Forse dovrete aggiornare anche il firmware del vostro processore. Se invece siete informatici per lavoro, vi aspettano giorni difficili e mi dispiace molto per voi.

In estrema sintesi, Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli prodotti da Amd e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto "intelligenti"). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.

Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di Amd (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un'app da un'altra). Normalmente un'app non può spiare i dati usati da un'altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.

Questo consente per esempio a una pagina Web o a un'app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3211 voti)
Leggi i commenti (13)

Per i sistemi aziendali che usano macchine virtuali, è stato dimostrato che un attacco eseguito su una macchina virtuale può leggere la memoria fisica della macchina ospite (host) e da lì leggere la memoria di un'altra macchina virtuale presente sullo stesso host. Per chi gestisce o usa servizi cloud, insomma, è malissimo.

Tanto per darvi un'idea di quanto sia brutta questa situazione, il CERT statunitense aveva inizialmente consigliato di cambiare tutti i processori ("Fully removing the vulnerability requires replacing vulnerable CPU hardware.") (copia su Archive.is). Poi si è ricreduto.

Non risulta al momento che ci siano attacchi attivi che sfruttano queste falle, ma è probabilmente solo questione di tempo [2017/01/05 19:00: sono arrivati]. Le dimostrazioni di efficacia di queste falle realizzate dagli esperti, invece, sono già in circolazione:

spectre
meltdown

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le prime indicazioni non rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalati tempi quasi doppi per il mining della criptovaluta Monero].

  • Per il firmware, Intel ha annunciato di aver già pubblicato aggiornamenti correttivi per "la maggior parte dei processori introdotti negli ultimi cinque anni", ma solo per Meltdown; Spectre rimane. Amd ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabili e le patch per Linux.
  • Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
  • Per Linux è disponibile un aggiornamento (piuttosto manuale). Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.
  • Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 (almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni - Sistema - Informazioni sul telefono (o tablet) - Livello patch di sicurezza.
  • Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
  • Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolation come descritto qui

Il problema principale è Windows.

  • Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l'aggiornamento KB4056890 del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidance e nell'Advisory ADV180002 di Microsoft) e con l'aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
  • Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la lista è in continua evoluzione; Kaspersky era già a posto da fine dicembre). Siamo insomma all'ironia che gli antivirus ostacolano la sicurezza.
  • Esiste un'app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.

Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphone e tutti gli altri dispositivi connessi a Internet, quelli dell'Internet delle Cose, come sistemi di monitoraggio e controllo remoto, "smart TV", automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.

Se volete saperne di più, in italiano potete leggere per esempio Siamogeek o Il Post; in inglese c'è una panoramica dettagliata su Gizmodo e nei siti dedicati alle vulnerabilità, ossia Meltdownattack.com e Spectreattack.com.

Se siete responsabili informatici di un'azienda, potreste trovare ispirazione in questi consigli per definire un piano d'azione. Preparate i fazzoletti.

Fonti aggiuntive: Bruce Schneier, The Verge, Google Project Zero, Medium, ANSA, CERT, The Register, VirusBulletin, Sophos, BleepingComputer, BBC, Repubblica.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Bug processori, il rimedio di Microsoft è peggiore del male: la patch blocca i Pc con Amd

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
13 nuove falle nei processori Amd. Ma forse i ricercatori non la raccontano giusta

Commenti all'articolo (ultimi 5 di 81)

7 e 8.1 sono correntemente ancora supportati
12-3-2018 10:23

{Paolo Del Bene}
Ho appena trovato questa notizia: "INTEL AMD GOOGLE RESPOND GOVERNMENT MELTDOWN SPECTRE link
25-2-2018 10:07

{Paolo Del Bene}
Stavo leggendo link[/url] quando ho trovato questa notizia di un amico: The Intel Management Engine: an attack on computer users' freedom [url=http://forum.zeusnews.com/link/525020]link Saluti
24-2-2018 05:49

Cioè quando progettano i chip/firmware/driver/patch/etc. prevedono quanti riavvii dovrà fare il sistema? :o Leggi tutto
24-1-2018 13:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Immaginiamo un mondo popolato dalle auto di Google: senza pilota, senza sterzo e senza pedali. Qual è il maggior svantaggio? (vedi anche i vantaggi)
L'auto di Google è veramente brutta! Più che un auto è un'ovovia.
Ci toglierà il piacere di guidare e la nostra vita sarà un po' più triste.
Avrà un costo non sostenibile per la maggior parte degli utenti.
Ci sarà maggior traffico: con un'auto senza pilota il trasporto privato verrebbe incentivato rispetto al trasporto pubblico.
Il Gps incorporato potrebbe non essere efficiente, costringendoci a fare percorsi più lunghi o più lenti o addirittura non portandoci mai a destinazione.
Ho timori soprattutto per la privacy: le auto di Google potranno collezionare dati su come mi sposto e quando.
In caso di incidente con nessuno al volante, non è chiaro di chi sarà la responsabilità civile. E a chi tocca pagare l'assicurazione? All'utente o a Google? O allo Stato?
Sarà esposta ad attacchi hacker o terroristici: di fatto avremo minore sicurezza sulle strade.
Se il sistema prevede un urto inevitabile, potrebbe trovarsi di fronte a scelte etiche insormontabili. Uccidere un anziano o un bambino? Due uomini o un bambino? Un uomo o una donna? Uscire di strada o urtare altri veicoli o pedoni? Andare addosso a un SUV o a un'utilitaria?
Rispetto alle auto tradizionali impiegheranno troppo tempo ad arrivare a destinazione, non potendo superare i limiti di velocità o fare manovre azzardate.
I tassisti non esisteranno più: già immagino le loro legittime proteste.

Mostra i risultati (1680 voti)
Agosto 2018
Imbarazzo in Huawei, scoperta a barare nello spot dei Nova 3
iPad esplode nell'Apple Store di Amsterdam, negozio evacuato
Renzi con Tim fece lo stesso di Conte con Autostrade
La branchia artificiale stampata 3D che ci permetterà di respirare sott’acqua
Voto elettronico, due undicenni violano il sistema in appena 10 minuti
LibreOffice 6.1 è più veloce che mai e dispone di nuove icone
Connettore Lightning dell'iPhone: l'UE si prepara a far piazza pulita
Diventare hacker con meno di 2 euro. Grazie alle offerte speciali del dark web
Edge si unisce a Firefox e Chrome per eliminare le password dal web
L'app che trasforma la scrittura dell'utente in font per Windows 10
Luglio 2018
Dopo Monaco, anche la Bassa Sassonia abbandona Linux per Windows
Come attivare la nuova interfaccia Material Design nascosta in Chrome 68
Google ridisegna Chome: arrivano le schede tonde
Xiaomi Mi A2 e Mi A2 Lite, chi ha detto che un buon smartphone deve costare tanto?
Android ha i giorni contati: Fuchsia OS lo soppianterà entro cinque anni
Tutti gli Arretrati


web metrics