In queste ore si parla moltissimo di due vulnerabilità definite “le più gravi del millennio”. Si tratta di un errore di progettazione, presente dal 1995, che riguarda i processori di quasi tutti i dispositivi che utilizziamo quotidianamente (Server, Server Cloud, PC Windows e Linux, MAC, smartphone, tablet).
LEGGI LA GUIDA SPECIFICA PER LE AZIENDE
Tale errore permette ad un programma malevolo, creato appositamente, di eseguire sul dispositivo attaccato operazioni non autorizzate, non volute, che possono portare al furto di diverse informazioni, anche molto riservate, come password, chiavi crittografiche e molto altro. Nel caso in cui si sia stati vittima dell’attacco, inoltre, è quasi impossibile scoprirlo.
Affinché questo avvenga è necessario che sul dispositivo venga:
- eseguito il programma malevolo
- ricevuto come allegato mail
- scaricato da Internet credendolo altro (es. screensaver, suoneria, etc)
- ricevuto su chiavette USB o altri supporti rimovibili
- visitato un sito pensato per infettare i visitatori.
In questi giorni verranno pubblicati ulteriori dettagli circa tali vulnerabilità, mentre i diversi produttori stanno rilasciando gli aggiornamenti necessari per correggere il problema. Purtroppo, sembra, tali aggiornamenti rallenteranno i dispositivi in modo sensibile.
Il sito di riferimento, per restare aggiornati in tempo reale sul tema, è https://meltdownattack.com.
Alcuni dettagli in sintesi
I moderni processori hanno una funzionalità che permette di velocizzare l’esecuzione dei programmi, basandosi su “speculazioni”, su cosa è probabile che il programma chieda nelle prossime operazioni, così da precalcolarle, per avere i risultati “già elaborati” quando necessario.
Un errore nel disegno di tale funzionalità può permettere ad un programma malevolo, eseguito sul dispositivo attaccato, di “evadere” la normale segregazione tra applicazioni. Su un dispositivo personale significa leggere i dati in RAM di altre applicazioni. Queste vulnerabilità sono così gravi che in ambienti enterprise, invece, permettono da una istanza virtuale di leggere i dati di altre istanze (si pensi ad infrastrutture Citrix, XEN, CMWare, AWS, Azure, etc etc).
Alcuni ricercatori di Google hanno pubblicato un documento nel quale spiegano per la prima volta il problema.
Meltdown, meglio descritto nel paper, catalogato come CVE-2017-5754, affligge solo i processori Intel. E’ il più semplice da sfruttare ed anche il più semplice da rimediare, per il quale sono già disponibili le patch da parte di diversi produttori.
Qui è disponibile, aggiornato in tempo reale, l’elenco degli aggiornamenti disponibili.
Spectre, meglio descritto nel paper, catalogato in due varianti con CVE-2017-5753 e CVE-2017-5715, affligge i processori Intel, AMD ed ARM. Più difficile da utilizzare, è anche il grave e più difficile da correggere. Probabilmente ne discuteremo e ne subiremo le conseguenze ancora a lungo.
Gli aggiornamenti di fatto disabilitano la funzione che permette di “predire” le prossime operazioni, causando rallentamenti fino al 20/30% dell’hardware posseduto. Si consiglia in proposito la lettura di questo articolo.
Il malware che deve essere creato per sfruttare queste vulnerabilità ha delle caratteristiche che lo rendono difficilmente individuabile da un comune antivirus/antimalware.
Di più: le fix rilasciate da Microsoft per arginare il problema interagiscono male con gli antivirus. Leggi qui per affrontare questo ulteriore problema.
Per proteggere i dispositivi personali è necessario assicurarsi:
- che tutti gli aggiornamenti di sistema proposti siano applicati, sia su computer che telefoni, tablet etc.
- assicurarsi che tutti i browser utilizzati siano aggiornati
- utilizzare un AdBlocker, uno di quei componenti aggiuntivi dei browser che impediscono che sulle pagine visitate vengano visualizzate pubblicità e fatti eseguire script al nostro dispositivo. Questo potrebbe essere uno dei principali vettori di attacco da parte dei criminali.
Vista la grande attenzione che il tema sta suscitando presso il grande pubblico non si esclude che a breve siti malevoli, gestiti da criminali, propongano plausibili aggiornamenti, che se installati sono il vettore dell’attacco. Fare quindi grande attenzione ai siti che si vistano ed a cosa si clicca.
In abito aziendale è opportuno utilizzare le procedure di Patch Management per testare gli aggiornamenti pubblicati dai diversi vendor e farne il corretto deployment su tutti i dispositivi aziendali interessati.
Risulta inoltre assolutamente opportuno assicurarsi che i propri fornitori di servizio, Cloud, IaaS o SaaS che siano, si stiano occupando nel modo corretto del problema.