la scheda

Spectre e Meltdown: le info base da sapere

Come si viene infettati e come difendersi. Il prontuario sintetico che tutti dovrebbero leggere

Pubblicato il 08 Gen 2018

Alessio Pennasilico

Information & Cyber Security Advisor, Partners4Innovation

meltdown-spectre-kernel-vulnerability

In queste ore si parla moltissimo di due vulnerabilità definite “le più gravi del millennio”. Si tratta di un errore di progettazione, presente dal 1995, che riguarda i processori di quasi tutti i dispositivi che utilizziamo quotidianamente (Server, Server Cloud, PC Windows e Linux, MAC, smartphone, tablet).

LEGGI LA GUIDA SPECIFICA PER LE AZIENDE

Tale errore permette ad un programma malevolo, creato appositamente, di eseguire sul dispositivo attaccato operazioni non autorizzate, non volute, che possono portare al furto di diverse informazioni, anche molto riservate, come password, chiavi crittografiche e molto altro. Nel caso in cui si sia stati vittima dell’attacco, inoltre, è quasi impossibile scoprirlo.

Affinché questo avvenga è necessario che sul dispositivo venga:

  • eseguito il programma malevolo
    • ricevuto come allegato mail
    • scaricato da Internet credendolo altro (es. screensaver, suoneria, etc)
    • ricevuto su chiavette USB o altri supporti rimovibili
  • visitato un sito pensato per infettare i visitatori.

In questi giorni verranno pubblicati ulteriori dettagli circa tali vulnerabilità, mentre i diversi produttori stanno rilasciando gli aggiornamenti necessari per correggere il problema. Purtroppo, sembra, tali aggiornamenti rallenteranno i dispositivi in modo sensibile.

Il sito di riferimento, per restare aggiornati in tempo reale sul tema, è https://meltdownattack.com.

Alcuni dettagli in sintesi

I moderni processori hanno una funzionalità che permette di velocizzare l’esecuzione dei programmi, basandosi su “speculazioni”, su cosa è probabile che il programma chieda nelle prossime operazioni, così da precalcolarle, per avere i risultati “già elaborati” quando necessario.

Un errore nel disegno di tale funzionalità può permettere ad un programma malevolo, eseguito sul dispositivo attaccato, di “evadere” la normale segregazione tra applicazioni. Su un dispositivo personale significa leggere i dati in RAM di altre applicazioni. Queste vulnerabilità sono così gravi che in ambienti enterprise, invece, permettono da una istanza virtuale di leggere i dati di altre istanze (si pensi ad infrastrutture Citrix, XEN, CMWare, AWS, Azure, etc etc).

Alcuni ricercatori di Google hanno pubblicato un documento nel quale spiegano per la prima volta il problema.

Meltdown, meglio descritto nel paper, catalogato come CVE-2017-5754, affligge solo i processori Intel. E’ il più semplice da sfruttare ed anche il più semplice da rimediare, per il quale sono già disponibili le patch da parte di diversi produttori.

Qui è disponibile, aggiornato in tempo reale, l’elenco degli aggiornamenti disponibili.

Spectre, meglio descritto nel paper, catalogato in due varianti con CVE-2017-5753 e CVE-2017-5715, affligge i processori Intel, AMD ed ARM. Più difficile da utilizzare, è anche il grave e più difficile da correggere. Probabilmente ne discuteremo e ne subiremo le conseguenze ancora a lungo.

Gli aggiornamenti di fatto disabilitano la funzione che permette di “predire” le prossime operazioni, causando rallentamenti fino al 20/30% dell’hardware posseduto. Si consiglia in proposito la lettura di questo articolo.

Cosa fare per proteggersi?

Il malware che deve essere creato per sfruttare queste vulnerabilità ha delle caratteristiche che lo rendono difficilmente individuabile da un comune antivirus/antimalware.

Di più: le fix rilasciate da Microsoft per arginare il problema interagiscono male con gli antivirus. Leggi qui per affrontare questo ulteriore problema.

Per proteggere i dispositivi personali è necessario assicurarsi:

  • che tutti gli aggiornamenti di sistema proposti siano applicati, sia su computer che telefoni, tablet etc.
  • assicurarsi che tutti i browser utilizzati siano aggiornati
  • utilizzare un AdBlocker, uno di quei componenti aggiuntivi dei browser che impediscono che sulle pagine visitate vengano visualizzate pubblicità e fatti eseguire script al nostro dispositivo. Questo potrebbe essere uno dei principali vettori di attacco da parte dei criminali.

Vista la grande attenzione che il tema sta suscitando presso il grande pubblico non si esclude che a breve siti malevoli, gestiti da criminali, propongano plausibili aggiornamenti, che se installati sono il vettore dell’attacco. Fare quindi grande attenzione ai siti che si vistano ed a cosa si clicca.

In abito aziendale è opportuno utilizzare le procedure di Patch Management per testare gli aggiornamenti pubblicati dai diversi vendor e farne il corretto deployment su tutti i dispositivi aziendali interessati.

Risulta inoltre assolutamente opportuno assicurarsi che i propri fornitori di servizio, Cloud, IaaS o SaaS che siano, si stiano occupando nel modo corretto del problema.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati