Meltdown e Spectre: le vulnerabilità che minacciano PC, smartphone e non solo. Cosa sono e come difendersi.

Abbiamo già visto nella giornata di ieri che i processori Intel "dell'ultimo decennio" sono afflitti da un grave bug di sicurezza. A quanto pare il problema è molto più esteso di come si pensasse inizialmente, e rischia di coinvolgere non solo PC e server, ma anche smartphone ed altri dispositivi basati sui chip di Intel, AMD ed ARM. Se avete insomma un device "smart", ci sono buone probabilità che possa esserne afflitto.

Meltdown e Spectre sono i nomi delle due vulnerabilità in oggetto, scoperte, tra gli altri, dai ricercatori di Google Project Zero, un team addetto proprio alla ricerca di potenziali pericoli di questo tipo.

Un attacco che sfrutti un exploit di Meltdown consente ad un programma di accedere alla memoria (ovvero ai dati) di altri programmi e/o del sistema operativo stesso. Spectre ha conseguenze simili, ma metodologie diverse, ed in pratica ingannare altre applicazioni, anche (e soprattutto) quelle prive di errori, per poter comunque accedere ai loro dati.

Tali attacchi possono essere condotti da una semplice pagina web malevola, come confermato indipendentemente anche da Mozilla (ma ribadiamo che la radice del problema non sta nel browser). Questo significa che, a seconda dell'applicazione coinvolta, qualsiasi dato è a rischio: password, dati di navigazione, email, foto, video, chat. Tutto ciò a cui le applicazioni installate hanno accesso, è potenzialmente minacciato.

Spectre è più difficile da sfruttare di Meltdown, ma è anche più difficile da mitigare, visto che è questo il bug che coinvolge la maggior parte dei moderni processori, mentre Meltdown dovrebbe essere ristretto ai soli chip Intel.

In realtà è in corso un po' un rimpallo di responsabilità tra le varie aziende. Intel rifiuta di riconoscere che sia un suo difetto esclusivo, e chiama in causa anche ARM ed AMD. Quest'ultima si proclama invece innocente, cosa sulla quale sia Project Zero che Microsoft dissentono, confermando il coinvolgimento sia di AMD che di ARM.

ARM ha invece riconosciuto il problema, anche se ne ha sminuito la gravità in relazione ai suoi chip.

In un dettagliato post l'azienda ha anche elencato quali sono i processori minacciati e da quali varianti. Possiamo quindi con ragionevole certezza affermare che il problema è generale, e che "nessuno è al sicuro", anche se in realtà quest'ultima parte non è vera, nel senso che le varie aziende si sono già mosse per mitigare i possibili rischi.

Tutti i dispositivi Chrome OS minacciati, con il rispettivo stato delle patch, li potete trovare elencati in questa pagina ufficiale, davvero molto completa.

Anche le GPU NVIDIA sono colpite. In un post ufficiale l'azienda ha dettagliato i modelli interessati ed il numero di versione delle rispettive patch che correggono la falla, che in buona parte sono già state rilasciate.

Google afferma che gli smartphone Android con gli ultimi aggiornamenti di sicurezza sono protetti. Allo stesso modo le Google Apps, Google App Engine ed altri device come Google Home e Chromecast sono già sicuri. Google aggiunge però che abilitare l'isolamento dei siti sarebbe buona pratica, e che il prossimo rilascio di Chrome 64 mitigherà ulteriormente le cose.

Microsoft ha già rilasciato in data 3 gennaio un aggiornamento di sicurezza per correggere il problema sui sistemi Windows, e la stessa cosa vale per i server Azure. Sembra però esserci qualche possibile problema con i software antivirus, tanto che se l'aggiornamento non dovesse ancora essere arrivato, la colpa potrebbe essere proprio di detto software. Sono previsti anche aggiornamenti separati per Edge ed Internet Explorer, sempre al fine di mitigare possibili attacchi.

Apple ha confermato che tutti i suoi device sono potenzialmente minacciati, sia i MacBook che iPhone ed iPad. Apple ha anche chiarito che iOS 11.2, macOS 10.13.2, e tvOS 11.2 mitigano già il problema, raccomandando ai suoi utenti di installare sempre software da fonti fidate.

AMD, dopo aver inizialmente parlato di "rischio quasi zero" per i suoi processori, ha comunque provveduto a rilasciare aggiornamenti per Spectre (Meltdown sembra davvero non riguardarla). In compenso le GPU AMD dovrebbero essere del tutto immuni, perché “non usano la speculative execution e quindi non sono suscettibili a queste minacce”.

Intel afferma che entro metà gennaio 2018 il 90% dei processori degli ultimi 5 anni saranno immuni ad entrambi gli exploit, grazie ad un prossimo aggiornamento. Tutti i processori Intel dovrebbero essere potenzialmente minacciati, anche quelli più recenti.

Ubuntu promette un fix entro il 9 gennaio.

La risposta alla domanda "come proteggersi" è insomma una sola: aggiornare il proprio sistema operativo all'ultima versione. Considerando poi che il web è un facile veicolo di minacce, come evidenziato in precedenze, vi raccomandiamo maggiore attenzione alle pagine internet che visitate; un consiglio che del resto è valido in ogni occasione.

Trattandosi comunque di un problema hardware così generalizzato, le patch via software possono prevenire gli exploit in questione, ma non vanno ad arginare del tutto la falla, che può essere rimossa davvero solo con una sostituzione dell'hardware stesso. Per questo motivo, in particolar modo a livello cloud, ci "porteremo dietro" Meltdown e (soprattutto) Spectre per anni.

Quando Meltdown e Spectre sono divenuti noti al grande pubblico (anche se al momento non li conoscevamo come tali), uno dei problemi sembrava essere il calo di performance che il fix per queste vulnerabilità avrebbe causato. Mentre il reale impatto delle patch è ancora tutto da valutare, anche perché stanno iniziando a diffondersi solo in questi giorni, non è affatto da escludere che successivi affinamenti di dette patch possano migliorare le cose

Intel afferma che l'impatto sia molto dipendente dal carico e dal tipo di lavoro, ma che per l'utente medio non ci dovrebbero essere conseguenze troppo negative. L'impatto potrebbe essere più alto inizialmente, ma i successivi aggiornamenti del software dovrebbero mitigarlo. Gli fa eco Google, secondo il quale "con la maggior parte dei carichi di lavoro, inclusa la nostra infrastruttura cloud, abbiamo rilevato un impatto trascurabile sulle performance". Apple afferma invece che non ci sono impatti sui suoi dispositivi.

La seguente tabella, pubblicata da Intel, chiarisce meglio la portata dell'impatto dei fix sulle prestazioni di vari processori, in relazione anche all'hardware/software che li accompagna.

In una successiva nota, l'azienda di Santa Clara ha ammesso che i primi fix possono causare problemi di riavvio spontaneo anche sui processori più recenti. Le stime sull'impatto delle performance a livello di data center vedono inoltre cali fino al 25%. L'azienda, per sua stessa ammissione, ha insomma ancora tanto lavoro da fare.

AMD non ha chiarito la portata sulle performance dei suoi aggiornamenti, né a livello consumer, né a livello server.

Secondo i testi condotti da Phoronix sul Linux kernel 4.15 la differenza è in effetti trascurabile per alcuni task, come il gaming. In altri però, la differenza è sensibile. Parliamo ad esempio di Wine, dell'esecuzione di macchine virtuali o anche nella gestione di database come PostgreSQL. Questi ultimi due aspetti sono particolarmente importanti a livello server. Google afferma che la sua struttura cloud non abbia subito un impatto degno di nota applicando le patch dovute, ma non tutti i fornitori di servizi cloud, come JitBit o Epic Games la pensano allo stesso modo.

Microsoft ha chiarito più in dettaglio che tipo di impatto aspettarsi a seconda della versione di Windows e del processore in uso.

• Windows 10 con processore recente (PC del 2016 PC, ovvero con Skylake, Kabylake o CPU più nuova): rallentamenti minimi, che la maggior parte degli utenti nemmeno noteranno.
• Windows 10 con processore meno recente (PC del 2015, con Haswell o CPU più vecchia): rallentamenti percepibili da alcuni utenti.
• Windows 8 e Windows 7 con processore meno recente (PC del 2015, con Haswell o CPU più vecchia): la maggior parte degli utenti noteranno un calo di prestazioni.
• Windows Server con qualsiasi processore, mostrano un impatto significativo, per questo motivo Microsoft invita a bilanciare sicurezza e performance.