Rafal Wojtczuk e Joanna Rutkowska. Il loro report «Attacking SMM Memory via Intel CPU Cache Poisoning» ha improvvisamente animato il mondo della sicurezza online, attraversando il weekend tra analisi di terrore e filosofiche trattazioni costellate di terminologia tecnica e valutazioni di difficile confutazione. Il report, infatti, solleva un rischio estremo, qualcosa che va al di là delle tradizionali analisi sul rischio delle vulnerabiità software. Non tutti, però, sembrano essere concordi sulle indicazioni espresse ed il tutto rimane a cavallo tra pratica e teoria. Tra pragmatico realismo e pure filosofia tecnologica.
Per meglio capire quanto espresso nel report di Wojtczuk/Rutkowska, occorre partire dalla definizione di SMM, System Management Mode. Trattasi di una sorta di layer intermedio tra processore e sistema operativo, una realtà di mezzo nella quale l’ambiente SO rimane in sospeso per permettere di dialogare con massimi privilegi direttamente con l’hardware Intel (architettura x86). L’allarme lanciato concerne questo specifico ambito: un attacco a livello di SMM potrebbe essere devastante ed un codice già reso pubblico potrebbe concretizzare tale rischio con effetto immediato.
Il rischio di un SMM Rootkit non sarebbe frutto di una nuova scoperta. Anzi: fin dal 2006 sarebbe noto il pericolo legato ad un attacco di questo tipo. Ciò nonostante, nel tempo non si è mai giunti ad un vero e proprio exploit, quindi il tutto è rimasto confinato nell’aura del possibile, senza tuttavia giungere a portare attacchi reali e rischi concreti. Secondo la coppia Wojtczuk/Rutkowska, però, ora tutto potrebbe cambiare perchè, agendo a livello di SMM, è possibile formulare un attacco con un livello di privilegi superiore rispetto a quanto possibile in passato.
«Questo exploit è completamente nuovo e potenzialmente devastante». Ulteriori analisi tecniche ed altre considerazioni parallele sono disponibili online, ma per chi guarda dall’esterno il mondo dei ricercatori un solo interrogativo si pone: perché rendere noti certi dettagli se poi il pericolo conseguente potrebbe essere tanto grave? La risposta è affidata agli stessi autori del report, secondo i quali Intel sarebbe al corrente del problema ormai da lungo tempo. Se dal 2006 ad oggi nessuno è ancora intervenuto, occorre una prova di forza che costringa Intel ad una assunzione diretta di responsabilità per ottenere un intervento pubblico per spiegare e risolvere il bug.
Il report vuole avere questo ruolo: una forzatura, una leva, un pungolo. Intel incassa il colpo: d’ora in poi, a differenza dei mesi passati, il tempo stringe.