giovedì 11 gennaio - Oggiscienza

Cybersecurity, la sfida informatica del secolo

Dopo Meltdown e Spectre è aumentata l'attenzione per la sicurezza informatica: come possiamo essere certi che i dati e le informazioni sensibili presenti sui nostri dispositivi siano al sicuro?

di Gianpiero Negri

 Computer security, cybersecurity, IT security: termini che vengono utilizzati sempre più spesso, ormai anche sulla stampa generalista, e sono pervenuti di recente agli onori della cronaca a causa dell’affaire Meltdown-Spectre-Intel. Che cosa è capitato esattamente e perché la cosiddetta sicurezza informatica o, appunto, cybersecurity, sta acquisendo una rilevanza sempre maggiore al tempo della Quarta Rivoluzione Industriale?

Andando con ordine, come riportato anche in questo articolo del New York Times, alcuni ricercatori di Google e della austriaca Graz University of Technology hanno scoperto due preoccupanti falle dei modelli di processori più utilizzati nelle architetture della maggior parte dei personal computer, smartphone e tablet in giro per il mondo, ossia Intel e AMD. Componenti, questi ultimi, presenti sul mercato da più di 20 anni, caratteristica che amplia in modo spaventoso il numero complessivo di dispositivi potenzialmente affetti dal problema.

Le due vulnerabilità, denominate dai ricercatori Meltdown (letteralmente: ‘crollo’ o ‘drastica flessione’) e Spectre (che riecheggia una presenza ectoplasmica, oltreché la famigerata organizzazione criminale combattuta da James Bond), di fatto consentirebbero agli hackers di appropriarsi del contenuto della memoria dei personal computer, dei dispositivi mobili e dei server connessi ai cosiddetti cloud computer networks, ossia le reti informatiche che consentono l’erogazione di particolari servizi, come la memorizzazione, l’elaborazione e la comunicazione di dati attraverso una sorta di canale dedicato di Internet, realizzato a partire da risorse hardware (ossia fisiche) e software già esistenti e configurabili.

La notizia ha avuto una portata enorme, al punto che l’amministratore delegato di Intel, Brian Krzanich, si è liberato di azioni della società in suo possesso – per decine di milioni di euro – non appena è stato informato dell’esistenza delle due famigerate falle. Una vera ecatombe.

Per andare più in dettaglio sulle problematica e per afferrarne appieno l’importanza, basti pensare che il processore, o central processing unit (CPU) di un dispositivo costituisce un analogo del sistema nervoso centrale degli esseri umani: si tratta infatti del nucleo pensante dell’architettura di un qualunque sistema di elaborazione, al quale sono demandate la gestione dei dati e l’esecuzione degli algoritmi, calcolo per calcolo.

Normalmente, almeno nelle macchine più moderne, i processi eseguiti da un computer vengono parallelizzati, allo scopo di aumentare le prestazioni e la velocità di esecuzione di uno specifico compito. Rispetto a una gestione seriale, che prevede che un task sia terminato prima di poterne eseguire un altro, la gestione parallela permette di sfruttare le risorse di calcolo per eseguire simultaneamente (in parallelo) più compiti.

Meltdown e Spectre rappresentano delle debolezze di questo approccio nei succitati processori: consentono a un “aggressore informatico” di modificare l’esecuzione parallela dei processi, rendendo possibile l’accesso alla memoria del dispositivo sotto attacco. In questo modo dati sensibilicome password, immagini, documenti e codici personali potrebbero essere agevolmente sottratti.

Ammesso che possa confortare, non risulta che finora sia stato effettivamente condotto un attacco di vaste dimensioni che sfrutti queste vulnerabilità: ovviamente questo non toglie nulla alla criticità dell’evento e, più in generale, a quella della sicurezza dei dati personali immagazzinati sui nostri amati devices. Come correre ai ripari? Chi se ne sta preoccupando, o dovrebbe?

I più grandi colossi del settore, tra cui la stessa Alphabet/Google e Microsoft, sono al lavoro per rilasciare il prima possibile degli aggiornamenti per affrontare e risolvere Meltdown: in questo caso la criticità dovrebbe essere localizzata ai soli processori Intel, con una ricaduta particolare su personal computer e server.

Per quel che riguarda Spectre, a detta degli esperti è più difficile da sfruttare da parte di un hacker per un attacco. Sfortunatamente però si tratta di una falla molto più diffusa su vari tipi di dispositivi, inclusi gli smartphone, e che difficilmente potrà essere risolta senza ridisegnare almeno parzialmente l’architettura fisica dei processori affetti. Il che implica una tempistica di risoluzione dell’ordine dei mesi o addirittura degli anni.

Per Meltdown, delle patch (ovvero, dei programmi o degli aggiornamenti ‘toppa’ che contengano o mitighino il problema) dovrebbero essere disponibili a stretto giro, ma è probabile che la loro installazione rallenterà significativamente le prestazioni delle macchine. Un inconveniente non da poco, vista la crescente necessità di disponibilità di risorse informatiche (memoria, capacità di calcolo) per fronteggiare la complessità degli algoritmi odierni.

In ogni caso, il messaggio che sembra trasparire dalle parole dei rappresentanti delle principali aziende e istituzioni del settore è improntato a un cauto ottimismo: di sicuro si tratta di problematiche non trascurabili, ma averle individuate dovrebbe consentire di affrontarle senza grossi problemi per gli utenti, a patto che questi ultimi installino gli aggiornamenti di sicurezza che (quanto meno per Meltdown) dovrebbero risolvere il problema. E attendere con calma olimpica di constatare il danno, in termini di velocità di esecuzione, che tale contromisura produrrà nelle loro attività quotidiane.

Qualunque siano gli esiti finali di questa vicenda, essa ha avuto il merito di mettere al corrente gran parte della popolazione mondiale sui rischi degli attuali sistemi informatici, che necessitano di strategie globali di risoluzione e contenimento: ne avevamo parlato in questo articolo, evidenziando come già nel 2016 fosse chiara la portata dei danni che i cyber crimini (ossia gli attacchi informatici che sfruttino vulnerabilità simili a Meltdown e Spectre) potrebbero causare all’ecosistema informatico globale: qualcosa come 3 000 miliardi di dollari entro il 2019. Una stima che potrebbe essere lievitata ulteriormente.

I timori relativi a queste minacce sono assolutamente comprensibili e il rischio è davvero enorme, non limitato solo a danni di natura economica e finanziaria. Basta pensare ai sistemi deputati al controllo degli arsenali di armi nucleari o, restando a processori più comuni, alle applicazioni nell’ambito dei veicoli autonomi, settore nel quale la stessa Intel ha molti interessi e ambiziosi obiettivi. “Autonomous cars you can trust” recita lo slogan sul sito della multinazionale statunitense: le automobili a guida autonoma di cui ti puoi fidare.

A patto, naturalmente, che la stessa Intel riesca a far fronte per tempo a potenziali falle analoghe a quelle descritte in questo articolo: probabilmente a nessuno piacerebbe l’idea di cavalcare un golem impazzito a seguito di un attacco hacker, originato non solo grazie alla abilità dei pirati informatici, ma anche e soprattutto ad una vulnerabilità nativa dei processori della sua architettura.

segui Gianpiero Negri su Twitter

Foto: Anonymous9000/Flickr



3 réactions


  • nik62 (---.---.---.40) 11 gennaio 11:58

    Qual’è la sorpresa....

     
    quando la macchina non può accedere pienamente alle sue periferiche programmando a basso livello?.... 

    chi ha appena visto anche superficialmente i linguaggi a basso livello sa benissimo che programmando con tali strumenti si bypassa il livello di protezione del sistema operativo che maschera con l’adozione di comandi "composti" la struttura ed il conseguente accesso alle risorse della macchina e delle sue periferiche.

    l’informatica è nata per condividere, non per proteggere... questa è il primo dogma che si impara nei corsi 

  • Truman Burbank Truman Burbank (---.---.---.242) 11 gennaio 15:01

    Le vulnerabilità sono almeno tre, due varianti di Spectre e una di Meltdown.

    Il bug influenza tutti i processori attualmente in commercio e le patches possono solo mitigare il problema. (AMD dichiara di essere coinvolta solo in modo minimo). L’unica soluzione seria è intervenire sul microcodice dei processori per cambiare il set di istruzioni.

    Va detto che, come al solito, si continua a spingere metodi fallimentari di progettazione che ribaltano i problemi sugli utenti, consentendo alle aziende di fare business. Conviene dirlo in modo ancora più chiaro: "le falle di sicurezza sono un ottimo business e consentiranno a parecchie aziende di guadagnare": i provider di servizi internet continueranno a guadagnare sul traffico di inutili Patches, i produttori di HW a breve faranno ottimi affari nel vendere nuovo HW con nuovi bugs, gli hacker faranno affari con i dati rubati, le aziende di sicurezza forniranno costosissime consulenze, e così via. Gli utenti finali pagheranno i disservizi per gli aggiornamenti, il consumo di banda, gli aggiornamenti HW, le consulenze,...

    I giornali avranno l’occasione per continuare a raccontare favolose balle.

    Chi ancora ha un processore degli anni ’90 se lo tenesse stretto se può, l’HW monoprocessore dovrebbe essere immune al bug.

    A parte ciò, mi resta la sensazione che una forte mitigazione negli ambienti a macchine virtuali potrebbe essere fornita da macchine virtuali configurate come monoprocessore, le quali potrebbero così impedire la "speculative execution" (l’esecuzione anticipata di porzioni di codice che potrebbero essere logicamente eseguite o meno) che ha creato molti dei problemi.


  • Truman Burbank Truman Burbank (---.---.---.242) 11 gennaio 15:20

    Nell’articolo si dice: "sicurezza informatica o, ... cybersecurity". Questa impostazione è opinabile. In generale "nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani". (Qui cito da Wikipedia, ma l’ho scritto io). Forse si capisce meglio chiarendo che non si può avere alcuna sicurezza se le persone che usano un sistema informatico non sono addestrate adeguatamente. In tutte le situazioni non banali servirà anche una chiara normativa di riferimento. Per i casi più seri serviranno anche sanzioni penali. Poi arriva la tecnologia.

    La cybersecurity è relativa a una parte degli aspetti della sicurezza informatica, quella più prettamente tecnica e anche quella su cui c’è più business.


Lasciare un commento