Sicurezza a rischio per miliardi di utenti Mobile e Desktop: microprocessori compromessi da un bug

La Sicurezza Informatica riveste un ruolo sempre più centrale nel contesto del nostro digital life ed oggi, a seguito delle scoperte condotte dagli esperti in sicurezza, siamo stati in grado di registrare un problema di proporzioni gigantesche, che verte sui bug riscontrati all’interno delle CPU di PC e smartphone di tutto il mondo, nessuno escluso. 

I prodotti realizzati negli ultimi dieci anni, stando a quanto emerso, lascerebbero la porta aperta ad un potenziale ed ancora non conclamato attacco hacker di proporzioni storiche. Un attacco che mira ai dati sensibili e che sfrutta le vulnerabilità riscontare in ambiente Destkop & Server per le soluzioni a microprocessore Intel ed AMD in prima battuta, ma anche Apple per il segmento mobile communication.

A scoprirlo, l’anno scorso, sono stati i ricercatori del Google Project Zero, i quali hanno immediatamente dato comunicazione dei rilevamenti ai costruttori ed agli sviluppatori dei sistemi operativi Microsoft, Apple e Linux. Al momento Intel minimizza sui potenziali effetti collaterali, mentre risulta chiaro il coinvolgimento degli altri maggiori protagonisti della scena tecnologica.Intel stessa, nei riguardi della sicurezza delle CPU si è espressa senza riserve in merito alla possibilità di offrire una solida piattaforma frutto di una serie di nuove implementazioni volute dalla combinazione di soluzioni hardware e software di sicurezza integrate.

Al momento, comunque, sono essenzialmente due le falle rilevate dagli addetti ai lavori, i quali riferiscono di “Meltdown” per Intel CPU e “Spectre” per AMD e le proposte ARM. Il problema, in entrambi i casi, risiede nella cosiddetta “esecuzione speculativa”, una funzionalità attraverso cui i microprocessori velocizzano le operazioni di calcolo prevedendo i dati in ingresso. 

L’applicazione di una patch, stando a quanto emerso, significherebbe per gli utenti una sostanziale diminuzione delle performance stimata in un indice compreso tra il 5% ed il 30% a seconda le applicazioni in esecuzione. Paolo Prinetto, Presidente del Cini, ha riferito che: 

Questo baco (errore) è nella progettazione hardware di una funzionalità presente praticamente in tutti i processori dal 1995. Una funzionalità tecnicamente molto complessa, ma molto importante per aumentare le prestazioni dei processori stessi. Il baco fa sì che, in alcune condizioni, sia possibile, per un utente (processo) ‘normale’, quindi senza particolari privilegi, accedere in modo fraudolento a informazioni che dovrebbero invece essere accessibili solo a utenti ‘privilegiati’. Queste informazioni – continua Prinetto – possono includere, a titolo di esempio, password, chiavi segrete, dati sensibili, autorizzazioni ad accedere ad altri servizi, e così via. Per quanto sappiamo al momento sembra che il baco sia non risolvibile se non modificando il progetto delle prossime versioni di processori e che lo stesso baco non sia presente nei processori prodotti dalla Amd e compatibili con quelli Intel. L’unico modo per ‘metterci una pezza’ (fare una patch) consiste nell’agire a livello software: di fatto occorre modificare tutti i sistemi operativi esistenti che usano processori Intel, in modo tale da non sfruttare più le facility messe a disposizione dall’hardware (bacato) per massimizzare le prestazioni

Al momento, quindi, si è avviata una prima trance di aggiornamenti che vede in prima posizione Microsoft ed il suo Centro Sicurezza Windows 10, mentre sono ancora in corso i lavori per l’adeguamento ai vecchi OS della compagnia che si aggiorneranno a partire dalla data del prossimo 9 Gennaio 2018. Allo stesso modo,  Apple ha rilasciato l’aggiornamento 10.13.2 di MacOS e ha annunciato miglioramenti nella revisione 10.3.3. Google, inoltre, ha reso noto di aver aggiornato Android e Chrome OS secondo direttive.

Raoul Chiesa, esperto di sicurezza, ha riferito che la  vulnerabilità è probabilmente la più grave di questi ultimi anni e che il suo impatto è stato minimizzato dai media e dalle compagnie. Si tratta di un rischio concreto che coinvolge IoT, smart tv, auto di nuova generazione come Bmw, Audi, Crysler, Ford, Honda, Mazda, Opel ed il settore gaming.