Le madri di tutte le vulnerabilità sono state scoperte e rese pubbliche: i chip Intel, ARM e AMD possono infatti essere colpiti attraverso un attacco esterno consentendo la lettura di password e dati sensibili da parte di cracker intenzionati a sottrarre tali informazioni. I toni catastrofici che ne accompagneranno il racconto nei prossimi mesi sono la misura di quanto grave possa essere un attacco di questo tipo: anzitutto il problema è globale, miliardi di computer sono a rischio, anche gli smartphone sono teoricamente vulnerabili e di fatto poco o nulla è possibile fare oggi per limitare la possibilità di rimanere vittime dell’attacco.
Due le vulnerabilità scoperte: Meltdown e Spectre sono i nomi che sono stati attribuiti ai bug presso i laboratori Google Project Zero, ove la scoperta è stata inizialmente registrata e verificata. In entrambi i casi un utente privo di privilegi ha la possibilità di accedere ad informazioni sensibili teoricamente fuori portata.
Mealtdown e Spectre
La scoperta delle due vulnerabilità ha matrice comune nei laboratori Google Project Zero e porta la firma del ricercatore Jann Horn. Meltdown è inoltre firmata dalla Technical University di Graz (Austria) e dalla tedesca Cerberus Security; Spectre vede invece la scoperta co-firmata dal ricercatore Paul Kocher. Spiega Google che è stato possibile dimostrare come un malintenzionato possa accedere in lettura alle CPU sfruttando la “speculative execution” (particolare tecnica utilizzata per l’ottimizzazione delle performance sui microprocessori) e sottraendovi password, chiavi di crittografia e informazioni sensibili. Si può accedere altresì alla memoria fisica del dispositivo attaccato. Insomma: un vero e proprio passpartout che potrebbe portare un cracker fino al cuore di una macchina, sottraendovi dati di grandissima sensibilità e potendo pertanto perpetrare attacchi informatici di gravità assoluta.
«Queste vulnerabilità affliggono molte CPU, incluse quelle provenienti da AMD, ARM e Intel, e così i device ed i sistemi operativi correlati»: in parole povere, miliardi di sistemi possono potenzialmente essere compromessi poiché parimenti vulnerabili. Google ha spiegato di aver immediatamente agito per limitare il problema sulle proprie macchine, il che è già un primo passo importante. Il problema affligge tanto i sistemi privati quanto la dimensione cloud, stendendo pertanto un improvviso velo di fragilità sull’intera rete.
Quello che sembrava inizialmente essere un problema esclusivo di Intel, si è rivelato essere qualcosa di ben più ampio e pervasivo: le patch sono in fase di elaborazione, ma la pervasività del problema è quel che ha reso maggiore l’allarme che si sta diffondendo in queste ore.
Dettagli tecnici
Queste le relazioni relative alle due vulnerabilità scoperte:
Chi è vulnerabile
Quel che è noto è quanto comunicato in queste primissime ore: il problema affligge in modo trasversale tutti i sistemi, a prescindere dal sistema operativo in uso. Ogni singola CPU Intel dal 1995 in poi è potenzialmente attaccabile sulla vulnerabilità Meltdown, fatta esclusione per gli Intel Itanium e gli Intel Atom precedenti al 2013; ogni singolo sistema è invece vulnerabile a Spectre, con tanto di verifiche già compiute tanto su Intel quanto su ARM e AMD. Pur se simili, i due bug si differenziano nel modo in cui viene dato accesso alle informazioni e le preoccupazioni maggiori sembrano al momento convergere su Spectre (in quanto più difficilmente risolvibile nel breve periodo).
Cosa si sta facendo
Le ultime informazioni ufficiali sulla situazione giungono da Intel, gruppo che prima di ogni altro è stato tirato in ballo e che più di ogni altro è oggi esposto al problema. E Intel ha voluto portare avanti anzitutto tre rassicurazioni:
- entro la prossima settimana sarà possibile saperne di più circa i dettagli sulle vulnerabilità, ed in quella circostanza saranno già disponibili alcune patch (tra queste ci sarà anche quella Microsoft, il cui bollettino KB4056892 per Windows 10, con tanto di workaround consigliato soltanto ad utenti particolarmente esperti, è già stato pubblicato in attesa del correttivo finale);
- un eventuale exploit è in grado di accedere in lettura, ma è esclusa la possibilità di accedere in scrittura potendo quindi corrompere, modificare o cancellare dati sui sistemi sotto attacco;
- Intel, AMD e ARM stanno collaborando per giungere quanto meglio e quanto prima ad una soluzione comune di massima efficacia.
ARM ha inoltre spiegato come i propri sistemi Cortex-A siano immuni dal problema Meltdown, mentre AMD ha indicato come minima la possibilità che i propri chip possano subire una qualsivoglia forma di attacco nelle forme in cui al momento sono stati ipotizzati i codici in grado di sfruttare tale vulnerabilità. Nessun exploit è stato ad oggi segnalato per entrambe le situazioni, dunque in nessun modo è possibile ipotizzare la possibilità di attacchi già in corso. La gravità del problema costringe tuttavia a tenere alta la guardia, anche perché il numero di sistemi da correggere sarà altissimo ed i tempi saranno necessariamente lunghi: l’esposizione al problema è destinata a perdurare, estendendosi ben oltre i soli dispositivi di uso personale.
Un apposito sito ufficiale è stato messo a punto dalla University of Technology di Graz per diffondere quanto prima ogni informazione sul problema, così da aumentare il grado di consapevolezza da parte di tutti coloro i quali possano essere interessati alla sicurezza dei propri device o di quelli della propria azienda.