Processori Apple a rischio
La Apple informa ai media di essere al lavoro per un aggiornamento di Safari che dovrebbe mettere una pezza alle vulnerabilità Meltdown e Spectre – anche se ne primo caso non dovrebbero già esserci problemi.
I bug riscontrati sui microchip, scoperti da un team di Google e da ricercatori di molte altri enti fra cui il Politecnico di Graz e gli atenei della Pennsylvania e del Maryland, colpiscono “tutti i dispositivi Mac e iOS” ma “non è possibile sapere quale impatto causino sugli utenti” ha spiegato il colosso di Cupertino. Gli ultimi aggiornamenti del sistema operativo per computer Mac, per Apple Tv, iPhone e iPad (l’Apple Watch è esente dalla prima ma non dalla seconda falla) proteggono gli utenti da Meltdown e non rallentano i gadget. Lo si deve alle versioni iOS 11.2, macOS 10.13.2 (ma per i computer è già tutto a posto dalla 10.12 Sierra e dall’OS X 10.11 El Capitan) e tvOS 11.2. Più delicata la situazione per Spectre: Mac, iPhone & co ne sarebbero invece potenzialmente esposti proprio attraverso il codice che può essere eseguito, appunto, nei browser web. In ogni caso, per Cupertino al momento “non ci sono exploit noti che impattino sui clienti” e anche in termini di prestazioni gli aggiornamenti non dovrebbero produrre eccessivi rallentamenti.
Dunque la fibrillazione delle prime ore rallenta. E si comincia, come sempre accade in questi casi, a fare i conti con gli insidiosi bug scoperti da Google Project Zero e da altri team in giro per il mondo. A ben vedere, per esempio, le notizie che individuano il problema strettamente nell’hardware non sono del tutto corrette. La questione riguarda più precisamente le architetture dei chip Intel, Amd e Arm. Cioè il modo in cui i milioni di transistor e le unità logiche lavorano insieme per elaborare le istruzioni. Se fosse un’autostrada, il problema non riguarderebbe dunque la pavimentazione ma la viabilità e la sicurezza. In questo caso le vulnerabilità individuate intervengono nel corso dell’esecuzione speculativa, cioè dei calcoli che i processori effettuano per anticipare ciò che dovranno fare e così, nel lungo periodo, sfruttare meno tempo ed energia. Meltdown e Spectre riescono infatti a sbirciare in quel delicato processo, che avviene nel kernel, cioè la cabina di regia delle operazioni del processore e del suo rapporto con i programmi, senza dover ottenere particolari privilegi.
La gran parte dell’attenzione si è concentrata nelle prime ore sui dispositivi personali: pc, tablet, smartphone. In fondo quelle tre sigle equipaggiano la stragrande maggioranza delle centinaia di milioni di dispositivi di vario tipo venduti ogni anno nel mondo (1,5 miliardi di smartphone solo nel 2016). Numerose “patch”, aggiornamenti di sicurezza, sono già disponibili e ne arriveranno nelle prossime settimane: Microsoft si è mossa per prima, Apple come detto ci sta lavorando, i sistemi Android sono al sicuro e l’infrastruttura di Big G è blindata, quelli Linux anche e molte cose erano già state fatte, sotto silenzio, nei mesi scorsi. Quando le vulnerabilità erano già note alle aziende grazie all’usuale collaborazione che si instaura fra ricercatori ed esperti e società, a cui viene dato il tempo di intervenire (o a cui viene offerta la propria collaborazione per farlo). Anche in questo caso, pare che l’annuncio fosse previsto per la prossima settimana ma i reporter di The Register hanno fatto saltare questa sorta di embargo.
Oltre ai dispositivi personali, però, il vero cuore della questione secondo molti esperti potrebbe riguardare le infrastrutture cloud, cioè le piattaforme che ci offrono infiniti servizi in remoto e soprattutto di cui si servono migliaia di aziende, enti, applicazioni acquistando spazio, potenza di calcolo o sfruttandola per distribuire i propri software. Per una ragione molto chiara: un eventuale attaccante dispone già di numerosi sistemi per penetrare un singolo pc o uno smartphone. Meltdown e Spectre sembrerebbero invece particolarmente insidiosi quando la violazione dei privilegi possa avvenire su piattaforme come Amazon Web Services o Google Cloud – strutture sulle quali molte medie e piccole società hanno di fatto parcheggiato il loro intero business, sena contare agenzie governative o sistemi di messaggistica – in cui ogni macchina è utilizzata al contempo da decine se non centinaia o migliaia di utenti. Spectre, in particolare, potrebbe consentire di prelevare dati da chiunque stia condividendo quel chip in quel momento. Non è un caso che le piattaforme cloud siano state le più rapide a diffondere aggiornamenti ma non ci sono troppe ragioni, almeno nell’immediato, per preoccuparsi. La situazione potrà tuttavia evolversi prossimamente e potranno saltare fuori ulteriori varianti.
Intanto, sotto il profilo strettamente operativo, è esclusa ogni possibilità di richiamo di pc e altri dispositivi, quantomeno dal lato Intel, come accaduto dopo la famigerata estate del 1994 per la scoperta del bug Fdiv, un difetto causava un piccolo errore in alcune operazioni di divisione effettuate dalle unità dei processori colpiti e che costò quasi 500 milioni di dollari all’azienda di Santa Clara. Il Ceo Brian Krzanich, su cui si sono sollevati dubbi rispetto al tempismo con cui ha ceduto quasi per intero il suo stock azionario a novembre, quando era già al corrente dei problemi, ha spiegato che le falle saranno risolte: il 90% dei pc venduti negli ultimi cinque anni saranno a posto entro la prossima settimana. “Non si tratta di nulla di paragonabile al problema dell’epoca – ha detto l’ad del gruppo – è una questione risolvibile e lo stiamo già vedendo col rilascio delle prime patch”. Pezze che in queste ore riguardano i browser: Mozilla, che era a conoscenza da tempo dei bug, ha confermato ieri come un eventuale attaccante potrebbe infilarsi nel kernel anche dal web, tramite codice JavaScript incorporato nelle pagine. Per questo ha rilasciato Firefox 57.0.4, versione in cui sono disabilitate tutte le funzioni JavaScript potenzialmente utili a sfruttare le due vulnerabilità. Il 23 gennaio, invece, Google rilascerà Chrome 64. Altri hanno lavorato sull’introduzione di “kernel page table isolation”, cioè maggiore protezione per le operazioni dei processori che tuttavia potrebbero rallentarne le prestazioni, e sui sistemi operativi (come la patch Android diffusa oggi).
Intanto il Cert statunitense, la squadra per la risposta alle emergenze informatiche della Carnegie Mellon University supportata dal dipartimento della Sicurezza interna, ha rivisto rapidamente le proprie (inizialmente drammatiche) posizioni sulle due vulnerabilità. Nelle prime ore aveva spiegato, rivolgendosi in particolare alle società e agli enti, che il solo modo per proteggersi in modo completo fosse cambiare dispositivi, cioè sostituire gli hardware. Da ieri pomeriggio l’indicazione si è attestata su un più rassicurante invito ad adottare e installare tutti gli aggiornamenti rilasciati dai diversi produttori e sviluppatori.
