Se avete sentito parlare in toni drammatici di due importanti falle informatiche annunciate in questi primi giorni del 2018, rilassatevi.
Sì, il problema è serio, ma se non siete informatici per lavoro (per esempio gestite una banca o un servizio cloud) probabilmente vi basta aggiornare il vostro Windows, Mac, Linux, Android o iOS e le vostre applicazioni (in particolare il browser) come consueto, senza panico. Forse dovrete aggiornare anche il firmware del vostro processore. Se invece siete informatici per lavoro, vi aspettano giorni difficili e mi dispiace molto per voi.
In estrema sintesi, Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli prodotti da AMD e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto “intelligenti”). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.
Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di AMD (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.
Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.
Questo consente per esempio a una pagina Web o a un’app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.
Per i sistemi aziendali che usano macchine virtuali, è stato dimostrato che un attacco eseguito su una macchina virtuale può leggere la memoria fisica della macchina ospite (host) e da lì leggere la memoria di un’altra macchina virtuale presente sullo stesso host. Per chi gestisce o usa servizi cloud, insomma, è malissimo.
Tanto per darvi un’idea di quanto sia brutta questa situazione, il CERT statunitense aveva inizialmente consigliato di cambiare tutti i processori ("Fully removing the vulnerability requires replacing vulnerable CPU hardware.") (copia su Archive.is). Poi si è ricreduto.
Non risulta al momento che ci siano attacchi attivi che sfruttano queste falle, ma è probabilmente solo questione di tempo [2017/01/05 19:00: sono arrivati]. Le dimostrazioni di efficacia di queste falle realizzate dagli esperti, invece, sono già in circolazione:
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP— Michael Schwarz (@misc0110) 4 gennaio 2018
#Meltdown in Action: Dumping memory (GIF version) #intelbug #kaiser /cc @misc0110 @lavados @StefanMangard @yuvalyarom pic.twitter.com/x46zvm60Mc— Moritz Lipp (@mlqxyz) 4 gennaio 2018
Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.
Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le prime indicazioni non rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalati tempi quasi doppi per il mining della criptovaluta Monero].
- Per il firmware, Intel ha annunciato di aver già pubblicato aggiornamenti correttivi per “la maggior parte dei processori introdotti negli ultimi cinque anni”, ma solo per Meltdown; Spectre rimane. AMD ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabili e le patch per Linux.
- Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
- Per Linux è disponibile un aggiornamento (piuttosto manuale). Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.
- Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 (almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni - Sistema - Informazioni sul telefono (o tablet) - Livello patch di sicurezza.
- Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
- Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolation come descritto qui.
- Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l’aggiornamento KB4056890 del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidance e nell’Advisory ADV180002 di Microsoft) e con l’aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
- Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la lista è in continua evoluzione; Kaspersky era già a posto da fine dicembre). Siamo insomma all’ironia che gli antivirus ostacolano la sicurezza.
- Esiste un’app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.
Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphone e tutti gli altri dispositivi connessi a Internet, quelli dell’Internet delle Cose, come sistemi di monitoraggio e controllo remoto, “smart TV”, automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.
Se volete saperne di più, in italiano potete leggere per esempio Siamogeek o Il Post; in inglese c’è una panoramica dettagliata su Gizmodo e nei siti dedicati alle vulnerabilità, ossia Meltdownattack.com e Spectreattack.com.
Se siete responsabili informatici di un’azienda, potreste trovare ispirazione in questi consigli per definire un piano d’azione. Preparate i fazzoletti.
2018/01/05 19:00
Come facilmente prevedibile, cominciano ad arrivare i primi attacchi, basati su Spectre.
#Spectre people just starting to play with proofs of concepthttps://t.co/v0ieaonHtBhttps://t.co/3WBueog66Yhttps://t.co/A1wMZcPaUQhttps://t.co/8i7NO4gSw9— Bernardo Quintero (@bquintero) January 5, 2018
Fonti aggiuntive: Bruce Schneier, The Verge, Google Project Zero, Medium, ANSA, CERT, The Register, VirusBulletin, Sophos, BleepingComputer, BBC, Repubblica.