Home Chi siamo Rinoceronte Rubriche Notizie Puntine Calendario O.N.TheRoad

Meltdown e Spectre: le vulnerabilità dei nostri computer

Affliggono tutti i processori costruiti negli ultimi 20 anni, cosa sono?

Non hai tempo di leggere questo articolo? Qui puoi ascoltarlo come un podcast!

Sappiamo che esistono da poco più di una settimana, e già hanno rivoluzionato il nostro modo di considerare la tecnologia, e minato le nostre sicurezze. Spectre e Meltdown sono stati scoperti da svariati gruppi di ricercatori, parallelamente, e nessuna azienda che si occupa di tecnologia ne è immune: da Microsoft, a Apple, a produttori di processori come Intel e AMD, chi gestisce i cloud (come Amazon o Google), i web browser o gli antivirus. Se non vi interessate di tecnologia potreste non averne sentito parlare, o filtrato la notizia, ma indubbiamente la questione riguarda il vostro computer, il vostro smartphone, i cloud dove tenete le vostre foto e le informazioni sensibili. Ogni processore prodotto da vent’anni a questa parte ne è interessato. Lo siamo tutti, ma quanto bisogna preoccuparsi? È il declino della tecnologia, o un bug del sistema che verrà risolto o ridimensionato?

Per cercare di rispondere a queste domande, partiamo dalle basi. Cosa sono Spectre e Meltdown, e perché fanno così paura?
Non sono “attacchi hacker”, o “virus”, quelli scoperti dai ricercatori in questi giorni, bensì due tecniche per sfruttare vulnerabilità della CPU allo scopo di ottenere informazioni sensibili presenti in memoria. I due procedimenti sono, dal punto di vista tecnico, piuttosto differenti, ma entrambi puntano ad accedere ad aree di memoria del computer alle quali non dovrebbero poter accedere. Aree di memoria contenenti password, informazioni su transazioni economiche, o altre informazioni che dovrebbero rimanere private. Meltdown si chiama così perché “scioglie” la barriera fondamentale che esiste fra i programmi applicativi e il sistema operativo, permettendo a un programma di accedere alla memoria di altri, e del sistema operativo. Questo è possibile sfruttando una delle basi del funzionamento dei processori odierni: essi non aspettano che voi gli diate un’istruzione, perché sarebbero troppo lenti ad eseguirla. Le operazioni vengono eseguite continuamente, e se i risultati non sono richiesti vengono gettati via (si dicono transienti). Questo comporta il fatto che ogni tanto i programmi facciano cose che non dovrebbero fare, per errore, come guardare aree di memoria che non dovrebbero vedere, e vengano semplicemente terminati dalla CPU, senza lasciare traccia del loro errore. Se questo errore fosse però volontario, ed è il caso di Meltdown, il programma prima di essere terminato potrebbe “scrivere” i dati che ha letto su una memoria temporanea, detta cache, e sarebbero accessibili da un altro programma, che non dovrebbe averli. Ovviamente la questione è parecchio più complessa di così, e se siete abbastanza esperti e interessati qui trovate il paper scientifico che spiega tutto ciò che si sa su questa vulnerabilità. Qui invece trovate il paper analogo per Spectre, l’altra questione problematica. Mentre Meltdown rompeva la barriera fra sistema operativo e programmi, Spectre rompe quella fra programmi differenti, in modo che l’uno possa ingannare l’altro e far sì che condivida i suoi dati. Il suo funzionamento è più complesso, e meno compreso, e sarà quindi anche più difficile trovarvi una soluzione. Per entrambi, tuttavia, si tratta di un problema di hardware (ossia dei chip contenenti il processore del computer), non di software (ossia i programmi o il sistema operativo), ma naturalmente non è possibile modificare fisicamente i chip di ogni computer del mondo, quindi le soluzioni dovranno essere necessariamente software, e ciò rende la questione assai complessa. 


Non è ancora noto di casi reali in cui queste problematiche siano state sfruttate per ottenere informazioni private, ma il rischio è alto e tutte le aziende del mondo che si occupano di tecnologia hanno in questi giorni rilasciato patch che permettono di proteggersi, almeno momentaneamente, da queste vulnerabilità. È quindi cruciale aggiornare i vostri sistemi operativi, i vostri web browser e installare i firmware updates. Questi provvedimenti probabilmente rallenteranno il vostro computer, e lamentele di questo tipo sono state già manifestati da svariati utenti, ma non è ancora chiaro quale sarà l’entità di tale rallentamento e la sua dipendenza dal carico di lavoro a cui è sottoposto il sistema. Rimane il fatto che il problema è più profondo, ed essendo dipendente da un funzionamento così basilare del processore potrebbe essere sfruttato in varianti che ancora non siamo riusciti ad esplorare, e per le quali non ci siamo quindi tutelati. Varianti che potrebbero finire nelle mani sbagliate prima di poter essere analizzate e risolte

Ma il pericolo peggiore non risiede nei nostri computer personali, secondo gli esperti la “crisi” colpirà i cloud più di tutti. I cloud sono, banalizzando estremamente, computer in cui le informazioni di singoli utenti, aziende o addirittura organizzazioni governative vengono conservate quotidianamente, più o meno a pagamento. Questi computer spesso ospitano contemporaneamente informazioni di proprietà di diverse entità, e ovviamente le une non possono accedere alle informazioni delle altre. O almeno fino ad ora. È possibile che Meltdown, ma soprattutto Spectre, permettano questo scambio di dati, con conseguenze di entità ancora poco definita. I cloud saranno anche tra le tecnologie più colpite dai rallentamenti dovuti agli aggiornamenti. Se infatti il rallentamento stimato tra il 5 ed il 30% potrebbe non risultare così importante per i singoli utenti, per i servizi di cloud questo stesso rallentamento potrebbe portare addirittura a disservizi.

La situazione è ancora estremamente in evoluzione, oggi stesso Intel ha promesso che entro la fine della settimana il 90% dei computer affetti potranno essere tutelati da queste minacce. Quindi controllate gli aggiornamenti sopracitati, e che la forza sia con voi. 


Commenti (0)

Edizione 2018
Edizione 2017
di Eleonora Beccari

Razze, uomini e DNA: se la genetica ci da dei razzisti

Parliamo di razze umane, di cosa sono e se hanno un senso a livello scientifico

6 1 Rasoio di Occam
di Giada Rossi

Sviolinata alla scienza, strumenti musicali e accelerometri

Il reportage in 4 rubriche della nostra visita alla città lombarda - 3 di 4

4 Rasoio di Occam
di Eleonora Beccari

Gas serra e riscaldamento globale: un cane che si morde la coda.

Facciamo chiarezza sui meccanismi e le evidenze scientifiche alla base del riscaldamento globale. Come può una specie creare un danno [...]

1 Rasoio di Occam
di Eleonora Beccari

Socialità, amore e piacere: come funziona la nostra testa?

Dall'innamoramento, al sesso, al socializzare, analizziamo la chimica nascosta che ci impone di rapportarci con gli altri.

4 1 Rasoio di Occam
di Giada Rossi

Il surriscaldamento globale ha peggiorato gli uragani?

Analizziamo la correlazione fra fenomeni come Irma, ed il cambiamento climatico

4 Rasoio di Occam
di Giada Rossi

Blips, cosa può fare la fotocamera di un cellulare?

E se il vostro smartphone diventasse un microscopio?

2 Rasoio di Occam
di Redazione

Che impatto ambientale avrebbe il muro di Trump?

Quando una pessima idea si rivela sempre peggio

6 Rasoio di Occam
di Giada Rossi

Parliamo con Giorgio Paolucci, direttore scientifico di SESAME

Il fisico italiano ci racconta del laboratorio di luce di sincrotrone in Giordania

2 Rasoio di Occam