intel spectre bug
Sicurezza

Spectre e Meltdown: cosa sappiamo sui bug dei processori Intel

La maggioranza di computer, notebook e server al mondo soffre di tre falle di sicurezza. Un problema che colpisce anche AMD e ARM

Un 2018 cominciato nel peggiore dei modi per Intel. Stando a una ricerca del gruppo Project Zero, un team di Google dedicato alla sicurezza informatica, tutti i processori della casa degli ultimi 10 anni soffrono di un difetto di fabbricazione molto grave, che crea almeno tre bug sfruttabili dagli hacker.

I ragazzi di Mountain View hanno chiamato le vulnerabilità Spectre (due varianti) e Meltdown. Queste sarebbero causate da un’attività dei chip non solo di Intel ma anche di AMD e ARM, un trittico che interessa la totalità dei processori presenti su computer fissi e notebook di ogni fascia di prezzo, dagli economici (anche i netbook) agli ultrabook. Ma anche i server e i data center a livello globale, compresi i servizi cloud.

Da cosa dipende

L’attività in questione è la cosiddetta speculative execution, tecnica che serve a velocizzare le operazioni che la CPU esegue durante alcuni passaggi. Invece di agire tramite un salto condizionato, cioè successivo alla richiesta di informazioni, il cervello in bit prende spunto dalla cronologia di sistema e dai dati della memoria volatile virtuale per predire certi risultati, seguendo a priori una strada invece di un’altra, così da ottimizzare la risposta del computer. Tutto ciò avviene sempre e costantemente, in maniera automatica, tanto che mentre usiamo il PC non ci accorgiamo nemmeno di quanto accade all’interno.

Perché è un problema

Quello che hanno scoperto gli analisti di Project Zero è che un soggetto esterno, anche collegato in remoto al computer, può teoricamente leggere il contenuto conservato dalla memoria virtuale a disposizione dell’esecuzione speculativa. Non sempre, ma molto spesso, tale memoria è depositaria di dati sensibili essenziali, come password e stringhe crittografiche non protette e alla mercé di chiunque. 

Di cosa si tratta

Nome: Spectre (2), Meltdown (1)

Scoperta: Google Project Zero

Chip testati: Intel Haswell Xeon CPU, AMD FX CPU, AMD PRO A8-9600 R7, AMD PRO CPU, Cortex A57 su Google Nexus 5x

Aziende coinvolte: Intel, AMD, ARM

Quali conseguenze

Intel ha riconosciuto il problema, spiegando proprio come la storia della speculative execution non la riguardi in maniera esclusiva ma interessi anche i produttori rivali, i già menzionati AMD e ARM. Anzi, nel mezzo della tempesta c’è anche qualche processore Cortex-A, montato sugli smartphone di fascia medio-alta, dove un hacker potrebbe tranquillamente ottenere i privilegi di sistema e accedere alla memoria.

Soluzione non semplice

Come detto, il problema è a livello hardware, di costruzione dell’architettura x86-64 e dunque non facilmente risolvibile, perché riguarda decine, forse centinaia di chip, e non è legato a un singolo sistema operativo (CPU Intel sono da sempre su Windows, Mac e Linux). Dal canto loro, i partner (Microsoft, Apple, gli sviluppatori Unix) hanno già rilasciato delle patch che in qualche modo correggono le falle, anche se solo parzialmente. Cioè l’esecuzione speculativa continua a lavorare come fa da sempre ma Windows (7, 8 e 10), macOS (10.13.2) e le distribuzioni di Linux dovrebbero rendere più difficile la lettura delle informazioni scambiate durante la speculative execution.

La soluzione finale è una beffa

Si tratta di correzioni utili ma non definitive visto che non agiscono sulla pecca originale. Questa può essere sanata solo dai chipmaker, Intel, AMD e ARM appunto. In che modo? Con due alternative. La prima: ricostruire l’architettura da zero; cosa possibile ma lontana (molto) nel tempo. La seconda: togliere di mezzo l’esecuzione preventiva e lasciare il solo salto condizionato, ovvero la modalità di calcolo numerico che segue passaggi logici e sequenziali, non predittivi.

Vorrà dire ritrovarsi un computer più sicuro ma anche più lento, soprattutto se si tratta di una macchina di qualche anno fa, che ha già mostrato i primi segnali di vecchiaia.

Per saperne di più:


© Riproduzione Riservata

Commenti