Sign in / Join

Spectre e Meltdown, le cpu e le VM non sono mai state sicure

Dal 1995 le cpu non sono mai state veramente sicure, e prima probabilmente non importava quasi a nessuno. Il 2018 è così iniziato con la scoperta dei bug Spectre e Meltdown e inquietare i sonni soprattutto di Intel le cui cpu sono affette da entrambi i bug, come alcune cpu Arm, e in diversa misura anche di AMD, queste ultime affette esclusivamente da Spectre.

Le vulnerabilità sono state scoperte dal Politecnico di Graz, e dalle università di Maryland e della Pennsylvania. Nel primo caso, Meltdown, che riguarda tutte le cpu Intel e alcune versioni Arm, si parla di un errore di progettazione dei processi che regolano la gestione della memoria virtuale.

La notizia positiva in questo caso è che la vulnerabilità Meltdown è risolvibile, e la soluzione software si scarica con gli aggiornamenti, ma questo determina comunque anche un rallentamento delle prestazioni. Per cui si è in sostanza pagato per quanto non si può oggettivamente avere in termini di potenza.

Nel caso di Meltdown, la vulnerabilità riguarda difetti presenti in hardware, il software li mitiga, ma con il processore progettato come è ora non si potranno più riavere le stesse prestazioni. Per quanto riguarda Spectre invece il problema è diverso per alcuni aspetti decisamente più grave, perché riguarda oltre al kernel ogni singolo processo. Il processore non verifica ogni processo e lascia la possibilità di leggere informazioni che riguardano altri processi rintracciandole nella memoria.

Si tratta di una vulnerabilità di una gravità senza precedenti, soprattutto in grado di esporre ad altissimi rischi le soluzioni di virtualizzazione in cloud con le informazioni nei server che generano macchine virtuali che potrebbero essere lette dal guest.

La soluzione per la vulnerabilità Spectre potrà arrivare solo con la riscrittura di ogni singola applicazione software per evitare un attacco sfruttando il bug delle Cpu, un lavoro impensabile in tempi brevi.

L’unica buona notizia arriva dal fatto che la vulnerabilità in questione sembra molto difficile da sfruttare. Ci si può accontentare? No decisamente. In pratica la lezione – che dobbiamo ancora imparare nella sua completezza – e che probabilmente avrà importanti riflessi anche sul mercato dei servizi cloud.

Spectre e Meltdown hanno minato alle fondamenta, tra l’altro, la fiducia nei vendor. Solitamente siamo abituati a tenere nel mirino i produttori di software, Microsoft su tutti gli altri vendor, o i fornitori di servizi. In questo caso – nessuno escluso – sono coinvolti i produttori di Cpu. Tutti, nessuno escluso e soprattutto si parla di falle che NON sono rimediabili con la bacchetta magica dall’oggi al domani, ma richiedono la riprogettazione delle cpu e, almeno per i rimedi via software, di importanti porzioni anche dei sistemi operativi.

FONTE: TechWeekEurope IT