Meltdown e Spectre: il punto della situazione…una grande confusione

Meltdown e Spectre due grosse vulnerabilità tenute nascoste

Tutto è iniziato alla luce del sole il 3 gennaio 2018. Meltdown e Spectre sono due grosse vulnerabilità forse le più grosse e diffuse su scala mondiale. Meltdown è una vulnerabilità hardware che ha colpito microprocessori Intel e ARM e che permette a programmi e attaccanti di accedere ad aree protette di memoria di un computer. Spectre invece è una vulnerabilità hardware che agisce durante l’implementazione delle predizioni delle diramazioni con esecuzione speculativa. All’atto pratico agisce quando i microprocessori cercano di anticipare operazioni che l’utente andrà a fare nell’immediato.

Meltdown e Spectre Logo Meltdown
Logo Ufficiale attribuito alla vulnerabilità Meltdown

Circa due giorni fa il CEO attuale di Intel Brian Krzanich ha rilasciato una lettera aperta che vi riporto nella lingua originale:

Following announcements of the Google Project Zero security exploits last week, Intel has continued to work closely with our partners with the shared goal of restoring confidence in the security of our customers’ data as quickly as possible. As I noted in my CES comments this week, the degree of collaboration across the industry has been remarkable. I am very proud of how our industry has pulled together and want to thank everyone for their extraordinary collaboration. In particular, we want to thank the Google Project Zero team for practicing responsible disclosure, creating the opportunity for the industry to address these new issues in a coordinated fashion.

As this process unfolds, I want to be clear about Intel’s commitments to our customers.  This is our pledge:

1. Customer-First Urgency: By Jan. 15, we will have issued updates for at least 90 percent of Intel CPUs introduced in the past five years, with updates for the remainder of these CPUs available by the end of January. We will then focus on issuing updates for older products as prioritized by our customers.

2. Transparent and Timely Communications: As we roll out software and firmware patches, we are learning a great deal. We know that impact on performance varies widely, based on the specific workload, platform configuration and mitigation technique. We commit to provide frequent progress reports of patch progress, performance data and other information. These can be found at the Intel.com website.

3. Ongoing Security Assurance: Our customers’ security is an ongoing priority, not a one-time event. To accelerate the security of the entire industry, we commit to publicly identify significant security vulnerabilities following rules of responsible disclosure and, further, we commit to working with the industry to share hardware innovations that will accelerate industry-level progress in dealing with side-channel attacks. We also commit to adding incremental funding for academic and independent research into potential security threats.

We encourage our industry partners to continue to support these practices. There are important roles for everyone: Timely adoption of software and firmware patches by consumers and system manufacturers is critical. Transparent and timely sharing of performance data by hardware and software developers is essential to rapid progress.

The bottom line is that continued collaboration will create the fastest and most effective approaches to restoring customer confidence in the security of their data. This is what we all want and are striving to achieve.

Brian Krzanich

3 punti chiave per il presente e futuro

Nello specifico il CEO di Intel nella propria missiva evidenzia i passaggi chiavi di questa particolare fase ma anche per il futuro, nonché ringrazia vivamente tutti i propri partner per il lavoro svolto, sopratutto il team di Google Project Zero settore Sicurezza che ha scoperto le vulnerabilità.

  1. Il cliente ha prorità su tutto: entro il 15 gennaio saranno rilasciati aggiornamento per almeno il 90 per cento delle CPU che sono state introdotte da Intel negli ultimi cinque anni, per poi proseguire con il resto entro fine gennaio 2018.
  2. Trasparenza e tempestività nella comunicazione: come verranno implementati i software e i firmware patch di sicurezza saranno relazionati sul sito web di intel.com; la stessa casa ha inoltre promesso di essere più trasparente sull’impatto delle prestazione sulle CPU.
  3. Garanzia di sicurezza in corso: per accelerare la sicurezza dell’intera industria verranno rese note pubblicamente le vulnerabilità di sicurezza scoperte e soprattutto ci si avvierà un processo di collaborazione diretto con le aziende al fine di sanarle.

E’ evidente come Intel abbia fatto una grande e pessima figuraccia considerando che qualsiasi oggetto tecnologico ha dentro di se queste tecnologie. Meltdown e Spectre sono due vulnerabilità completamente differenti e che agiscono in maniera diversa.  La differenza principale è che Meltdown sfrutta una specificità architetturale dei processori Intel mentre Spectre è molto più generico e quindi può potenzialmente colpire qualsiasi processore moderno. Tra le due è ben evidente che Spectre è la vulnerabilità più pericolosa e difficile da arginare.

Meltdown e Spectre Logo Spectre
Logo Ufficiale attribuito alla vulnerabilità Spectre

Il punto ad oggi

Nei giorni scorsi i più grandi produttori Microsoft, Apple, HP ed altri hanno rilasciato aggiornamenti sulla sicurezza volti ad arginare le vulnerabilità ma è ben chiaro che nei prossimi giorni, settimane ci ritroveremo nuovamente a ricevere aggiornamenti. Gli impatti degli aggiornamenti sulle prestazioni delle macchine/servizi non sono ancora noti ma c’è chi parla già di cali sensibili. Navigando sul web emerge davvero tanto confusione e poco trasparenza sugli aggiornamenti rilasciati.

La domanda che mi pongo oggi è: ma quanti dati Meltdown e Spectre hanno sottratto a nostra insaputa? La trasparenza sarà davvero applicata sull’intera questione oppure sarà tutto andato nel dimenticatoio fra qualche settimana/mese? Dovremmo passare ad una piattaforma AMD? Visto che il proprio CEO ha dichiarato che sono esenti da tali vulnerabilità visto la differenza nella loro architettura?

Fonte The Verge Intel