Meltdown e Spectre, le cose da sapere e da fare (senza panico)



[ZEUS News - www.zeusnews.it - 07-01-2018]

meltdown spectre kernel vulnerability

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Falla critica nei processori Intel, la patch rallenterà tutti i Pc

Se avete sentito parlare in toni drammatici di due importanti falle informatiche annunciate in questi primi giorni del 2018, rilassatevi.

Sì, il problema è serio, ma se non siete informatici per lavoro (per esempio gestite una banca o un servizio cloud) probabilmente vi basta aggiornare il vostro Windows, Mac, Linux, Android o iOS e le vostre applicazioni (in particolare il browser) come consueto, senza panico. Forse dovrete aggiornare anche il firmware del vostro processore. Se invece siete informatici per lavoro, vi aspettano giorni difficili e mi dispiace molto per voi.

In estrema sintesi, Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli prodotti da Amd e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto "intelligenti"). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.

Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di Amd (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un'app da un'altra). Normalmente un'app non può spiare i dati usati da un'altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.

Questo consente per esempio a una pagina Web o a un'app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3193 voti)
Leggi i commenti (13)

Per i sistemi aziendali che usano macchine virtuali, è stato dimostrato che un attacco eseguito su una macchina virtuale può leggere la memoria fisica della macchina ospite (host) e da lì leggere la memoria di un'altra macchina virtuale presente sullo stesso host. Per chi gestisce o usa servizi cloud, insomma, è malissimo.

Tanto per darvi un'idea di quanto sia brutta questa situazione, il CERT statunitense aveva inizialmente consigliato di cambiare tutti i processori ("Fully removing the vulnerability requires replacing vulnerable CPU hardware.") (copia su Archive.is). Poi si è ricreduto.

Non risulta al momento che ci siano attacchi attivi che sfruttano queste falle, ma è probabilmente solo questione di tempo [2017/01/05 19:00: sono arrivati]. Le dimostrazioni di efficacia di queste falle realizzate dagli esperti, invece, sono già in circolazione:

spectre
meltdown

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le prime indicazioni non rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalati tempi quasi doppi per il mining della criptovaluta Monero].

  • Per il firmware, Intel ha annunciato di aver già pubblicato aggiornamenti correttivi per "la maggior parte dei processori introdotti negli ultimi cinque anni", ma solo per Meltdown; Spectre rimane. Amd ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabili e le patch per Linux.
  • Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
  • Per Linux è disponibile un aggiornamento (piuttosto manuale). Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.
  • Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 (almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni - Sistema - Informazioni sul telefono (o tablet) - Livello patch di sicurezza.
  • Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
  • Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolation come descritto qui

Il problema principale è Windows.

  • Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l'aggiornamento KB4056890 del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidance e nell'Advisory ADV180002 di Microsoft) e con l'aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
  • Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la lista è in continua evoluzione; Kaspersky era già a posto da fine dicembre). Siamo insomma all'ironia che gli antivirus ostacolano la sicurezza.
  • Esiste un'app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.

Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphone e tutti gli altri dispositivi connessi a Internet, quelli dell'Internet delle Cose, come sistemi di monitoraggio e controllo remoto, "smart TV", automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.

Se volete saperne di più, in italiano potete leggere per esempio Siamogeek o Il Post; in inglese c'è una panoramica dettagliata su Gizmodo e nei siti dedicati alle vulnerabilità, ossia Meltdownattack.com e Spectreattack.com.

Se siete responsabili informatici di un'azienda, potreste trovare ispirazione in questi consigli per definire un piano d'azione. Preparate i fazzoletti.

Fonti aggiuntive: Bruce Schneier, The Verge, Google Project Zero, Medium, ANSA, CERT, The Register, VirusBulletin, Sophos, BleepingComputer, BBC, Repubblica.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Bug processori, il rimedio di Microsoft è peggiore del male: la patch blocca i Pc con Amd

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
13 nuove falle nei processori Amd. Ma forse i ricercatori non la raccontano giusta

Commenti all'articolo (ultimi 5 di 81)

7 e 8.1 sono correntemente ancora supportati
12-3-2018 10:23

{Paolo Del Bene}
Ho appena trovato questa notizia: "INTEL AMD GOOGLE RESPOND GOVERNMENT MELTDOWN SPECTRE link
25-2-2018 10:07

{Paolo Del Bene}
Stavo leggendo link[/url] quando ho trovato questa notizia di un amico: The Intel Management Engine: an attack on computer users' freedom [url=http://forum.zeusnews.com/link/525020]link Saluti
24-2-2018 05:49

Cioè quando progettano i chip/firmware/driver/patch/etc. prevedono quanti riavvii dovrà fare il sistema? :o Leggi tutto
24-1-2018 13:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Annunci come quello di NVIDIA sull'appliance GRID per il Cloud gaming suggeriscono che il fenomeno stia acquisendo rilevanza, ma storie di insuccesso come OnLive sembrano indicare mancanza di trazione tra gli utenti. Hai qualche esperienza in merito?
Sì, e sono stato soddisfatto
Sì, ma sono rimasto deluso
No, ma penso che possa avere successo
No, e fallirà perché ci sono alternative più interessanti per videogiocare

Mostra i risultati (129 voti)
Maggio 2018
Chrome, addio al lucchetto che indica i siti sicuri
Hacker distratti rivelano per sbaglio due falle finora sconosciute
Quasi 30 persone uccise dalle auto ''intelligenti'' senza chiavi
Come attivare la modalità riservata nella nuova Gmail
Google Drive cambia faccia per allinearsi a Gmail
Your Phone, l'app che porta iPhone e smartphone Android sui Pc con Windows 10
Veicolo autonomo di Uber investe e uccide: il software ha deciso di ignorare il pedone
Telegram alle strette rivela il rischio di avere dispositivi chiusi come gli iPhone
Windows 10, tutti i problemi dell'April 2018 Update (e come risolverli)
Sì, Cambridge Analytica ha chiuso. Ma è già rinata
In carcere l'uomo che cercava di allungare la vita ai vecchi Pc
Aprile 2018
Gmail, arriva il restyling: ecco come attivare subito le novità
Assemblea Tim, tutti d'accordo su scorporo rete e riduzione personale
La versione snella di Windows 10, senza sfondi né app superflue
Giornalista accusa: lavorare da Amazon è come essere in prigione
Tutti gli Arretrati


web metrics