Spectre e Meltdown: lo stato dell'arte

Torno oggi, a distanza di circa un mese dalla "disclosure" di questi problemi ormai noti anche attraverso la stampa generalista (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754), per cercare di fare il punto della situazione a proposito delle soluzioni (patch, mitigation) ad oggi disponibili.

Firmware / Microcodice

Dopo un'iniziale euforia, le correzioni al firmware / microcodice predisposte da Intel, propagate tramite i fornitori hardware e incluse negli aggiornamenti dei sistemi sono state ritirate, ripristinando ove possibile la versione precedente senza patch, a causa dell'incompatibilità con alcune combinazioni hardware / software (alcuni sistemi diventavano inutilizzabili, soggetti a frequenti riavvii e a malfunzionamenti vari). Al momento non è chiaro quando saranno disponibili versioni di firmware / microcodice applicabili alla generalità dei sistemi.

Software

Per quanto riguarda il software:

• Per i sistemi Linux (varie "distribuzioni", cito a titolo di esempio non esaustivo: Ubuntu, Debian, Devuan, Arch, Red Hat senza escludere tutte le altre) si è riusciti a fornire aggiornamenti del Kernel (la parte strettamente Linux) che risolvono o mitigano due delle tre vulnerabilità: Meltdown (CVE-2017-5754) e Spectre Variant 1 (CVE-2017-5753). La soluzione o mitigazione del problema Spectre Variant 2 (CVE-2017-5715) richiede invece, oltre a correzioni software già presenti e distribuite con le più recenti versioni del Kernel, anche la presenza di firmware / microcodice opportunamente aggiornato, la cui distribuzione è stata bloccata da Intel, come detto nel paragrafo precedente.
• Per i sistemi Windows, la situazione è pressoché analoga, per le versioni per le quali Microsoft distribuisce regolarmente gli aggiornamenti (segnatamente Windows 10). Anche in questo caso, per Spectre Variant 2 (CVE-2017-5715) niente si può fare finché Intel non distribuirà il firmware / microcodice aggiornato.

Sintesi e conclusioni

• I problemi Spectre Variant 1 e Spectre Variant 3 (detto anche Meltdown) sono stati corretti o mitigati tramite correzioni software già distribuite (per chi ha gli aggiormenti attivi).
• Il problema Spectre Variant 2 richiede la disponibilità di Firmware / Microcodice aggiornato, ad oggi non disponibile: Intel ha dichiarato che sarà disponibile a breve (per quanto ne so, senza indicazione di una data esatta).

Riferimenti

• Discussione generale: https://meltdownattack.com/
• CVE-MITRE: https://cve.mitre.org/
• Microsoft: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
• Intel: https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

il crypto-jacking: guadagno (illecito) con crypto-currency

Segnalo un interessante articolo di Carola Frediani (esperta divulgatrice di IT security) su La Stampa online. Vale la pena di leggerlo tutto fino in fondo:

• Qualcuno potrebbe minare criptovalute col tuo browser, ecco come funziona il fenomeno

Altri riferimenti utili:

• Definizione di crypto-jacking: https://www.enisa.europa.eu/publications/info-notes/cryptojacking-cryptomining-in-the-browser
• Un'analisi sul campo: https://badpackets.net/cryptojacking-2017-year-end-review/
• APP Android che fanno CJ: https://securelist.com/jack-of-all-trades/83470/

Buona lettura e soprattutto sempre attenti ai siti che visitate!

Inferno dei chip

[Aggiornamenti in Appendice]

Non c'è pace per i produttori di CPU, il "cuore" di ogni computer, smartphone, device. Ormai molti aspetti della vita comune nei Paesi industrializzati sono affidati a qualcosa di computerizzato.

Tanto più importante, quindi, la sicurezza che si riesce a mantenere su questi computer e device, partendo dai componenti base. Ed è proprio uno di questi componenti, la CPU, che stavolta è stata colpita da un "difetto" che è presente da almeno un decennio, ma è stato portato alla luce solo di recente.

Ricordiamo che recentemente anche qui si è parlato di altri problemi apparentemente simili:

• Intel ME: https://professione-it-security.blogspot.it/2017/11/intel-firmware-vulnerability.html
• Laptop Lenovo: https://professione-it-security.blogspot.it/2017/12/laptop-lenovo-ubuntu.html

Stavolta però i problemi sembrano essere leggermente diversi, e non meno preoccupanti.

Per semplificare al massimo, si è scoperto che un normale programma utente (persino il browser con cui state leggendo questo articolo) potrebbe, se opportunamente istruito, andare a leggere informazioni che normalmente sono riservate per il buon funzionamento del sistema: la memoria riservata del Sistema Operativo, sia esso Windows, Linux, Android o altro.

Il problema è talmente pervasivo che entro questo weekend si procederà a mettere in esercizio le correzioni che nel frattempo sono state sviluppate a passo di carica. Sono in ballo interessi enormi, come Google, Microsoft e tutti i maggiori servizi a cui siamo ormai abituati, senza contare tutti i computer personali e i dispositivi tipo smartphone e tablet ormai onnipresenti.

Per chi volesse approfondire alcuni aspetti tecnici, consiglio di leggere (in inglese, as usual) questo bell'articolo di The Register: https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

Appendice: Aggiornamenti

(upd: 2018-01-04 16:00 CET)
Altri aggiornamenti a breve, quando si renderanno disponibili.

• Blog Google: https://t.co/GTgOw4kbLc
• CERT Nazionale https://www.certnazionale.it/news/2018/01/04/moderni-processori-vulnerabili-ad-attacchi-side-channel/
• a cui siamo grati per questa delucidazione divulgativa sugli attacchi "side channel": https://www.certnazionale.it/glossario/side-channel/
• Linus Torvalds*: https://lkml.org/lkml/2018/1/3/797 [*per chi non lo sapesse, è il "padre" di Linux]