Hack di fusione e bug dello spettro: come influenza gli utenti di Android e Chrome

Potresti aver sentito che il cielo è caduto e l'apocalisse di sicurezza è avvenuta a causa di due nuovi attacchi chiamati Meltdown e Spectre. Se lavori nell'IT o in qualsiasi altra area di infrastruttura informatica su larga scala, probabilmente ti senti anche come se lo fosse, e non vedi l'ora dei tuoi giorni di vacanza 2018.

I media hanno sentito per la prima volta le voci di questa madre di tutti gli exploit alla fine del 2017, e i recenti rapporti sono stati follemente speculativi e alla fine hanno costretto aziende come Microsoft, Amazon e Google (il cui team di Project Zero ha scoperto tutto) a rispondere con i dettagli. Quei dettagli hanno reso una lettura interessante se sei interessato a questo genere di cose.

Ma per tutti gli altri, indipendentemente dal telefono o dal computer che usi, molto di quello che stai leggendo o ascoltando potrebbe sembrare in un'altra lingua. Questo perché lo è, e a meno che tu non sia fluente in cyber-geek-security-techno-speak, potresti doverlo passare attraverso un traduttore di qualche tipo.

Buone notizie! Hai trovato quel traduttore ed ecco cosa devi sapere su Meltdown e Spectre e cosa devi fare al riguardo.

Cosa sono

Meltdown e Spectre sono due cose diverse, ma dal momento che sono state rivelate allo stesso tempo ed entrambe hanno a che fare con l'architettura a microprocessore a livello hardware, vengono discusse insieme. Il telefono che stai utilizzando in questo momento è quasi sicuramente influenzato dall'exploit Spettro, ma nessuno ha ancora trovato un modo per usarlo.

Il processore all'interno del tuo telefono determina quanto sia vulnerabile a questo tipo di exploit, ma è più sicuro supporre che tutti ti influenzino se non sei sicuro. E dal momento che non stanno sfruttando un bug e invece stanno utilizzando un processo che dovrebbe accadere, non c'è soluzione semplice senza un aggiornamento del software.

Guarda il telefono tra le mani; è vulnerabile ad alcuni di questi attacchi.

I computer (inclusi telefoni e altri piccoli computer) fanno affidamento su ciò che viene chiamato isolamento della memoria per la sicurezza tra le applicazioni. Non la memoria utilizzata per archiviare i dati a lungo termine, ma la memoria utilizzata da hardware e software mentre tutto funziona in tempo reale. I processi memorizzano i dati separatamente dagli altri processi, quindi nessun altro processo sa dove o quando vengono scritti o letti.

Le app e i servizi in esecuzione sul telefono vogliono che il processore faccia un po 'di lavoro e gli forniscono costantemente un elenco di cose che devono essere calcolate. Il processore non svolge queste attività nell'ordine in cui viene ricevuto - ciò significherebbe che alcune parti della CPU sono inattive e in attesa del completamento di altre parti, quindi il passaggio due potrebbe essere eseguito al termine del passaggio uno. Al contrario, il processore può passare al passaggio 3 o al passaggio 4 e eseguirli in anticipo. Questo viene chiamato esecuzione fuori servizio e tutte le CPU moderne funzionano in questo modo.

Meltdown e Spectre non sfruttano un bug, ma attaccano il modo in cui un processore calcola i dati.

Poiché una CPU è più veloce di qualsiasi altro software, può anche indovinare. L'esecuzione speculativa si verifica quando la CPU esegue un calcolo che non è stato ancora richiesto in base a calcoli precedenti che è stato richiesto di eseguire. Parte dell'ottimizzazione del software per migliorare le prestazioni della CPU sta seguendo alcune regole e istruzioni. Ciò significa che la maggior parte delle volte è seguito un normale flusso di lavoro e una CPU può saltare per avere i dati pronti quando il software lo richiede. E poiché sono così veloci, se i dati non erano necessari dopo tutto, vengono gettati da parte. Questo è ancora più veloce che attendere che la richiesta esegua un calcolo.

Questa esecuzione speculativa è ciò che consente a Meltdown e Spectre di accedere a dati che altrimenti non sarebbero in grado di ottenere, sebbene lo facciano in modi diversi.

Meltdown

I processori Intel, i più recenti processori Apple della serie A e altri SoC ARM che utilizzano il nuovo core A75 (per ora è solo il Qualcomm Snapdragon 845) sono vulnerabili all'exploit di Meltdown.

Meltdown sfrutta quello che viene chiamato un "difetto di escalation di privilegi" che consente a un'applicazione di accedere alla memoria del kernel. Ciò significa che qualsiasi codice in grado di accedere a quest'area di memoria - dove avviene la comunicazione tra il kernel e la CPU - essenzialmente ha accesso a tutto ciò che serve per eseguire qualsiasi codice sul sistema. Quando puoi eseguire qualsiasi codice, hai accesso a tutti i dati.

Spettro

Lo spettro colpisce quasi tutti i processori moderni, incluso quello sul telefono.

Lo spettro non ha bisogno di trovare un modo per eseguire il codice sul tuo computer perché può "ingannare" il processore eseguendo le istruzioni per esso, garantendo quindi l'accesso ai dati da altre applicazioni. Ciò significa che un exploit potrebbe vedere cosa stanno facendo le altre app e leggere i dati che hanno archiviato. Il modo in cui una CPU elabora le istruzioni fuori servizio nei rami è dove lo Spettro attacca.

Sia Meltdown che Spectre sono in grado di esporre dati che dovrebbero essere sottoposti a sandbox. Lo fanno a livello hardware, quindi il tuo sistema operativo non ti rende immune - Apple, Google, Microsoft e tutti i tipi di sistemi operativi Unix e Linux open source sono ugualmente colpiti.

A causa di una tecnica nota come pianificazione dinamica che consente di leggere i dati mentre vengono elaborati invece di doverli archiviare per primi, ci sono molte informazioni sensibili nella RAM per la lettura di un attacco. Se sei interessato a questo genere di cose, i white paper pubblicati dalla Graz University of Technology sono letture affascinanti. Ma non è necessario leggerli o capirli per proteggersi.

Sono colpito?

Sì. Almeno lo eri. Fondamentalmente, tutti sono stati colpiti fino a quando le aziende non hanno iniziato a correggere il loro software contro questi attacchi.

Il software che deve essere aggiornato si trova nel sistema operativo, quindi ciò significa che hai bisogno di una patch di Apple, Google o Microsoft. (Se usi un computer che esegue Linux e non sei in infosec, hai già anche la patch. Usa il tuo aggiornamento software per installarlo o chiedi a un amico che è in infosec di guidarti attraverso l'aggiornamento del kernel). La fantastica notizia è che Apple, Google e Microsoft hanno patch già distribuite o in arrivo nell'immediato futuro per le versioni supportate.

I dettagli

• I processori Intel dal 1995 ad eccezione della piattaforma Itanium e ATOM pre-2013 sono interessati sia da Meltdown che da Spectre.
• Tutti i moderni processori AMD sono interessati dall'attacco Spectre. AMD PRO e AMD FX (AMD 9600 R7 e AMD FX-8320 sono stati usati come proof-of-concept) Le CPU in una configurazione non standard (kernel BPF JIT abilitato) sono influenzate da Meltdown. Si prevede che un attacco simile contro la lettura della memoria del canale laterale sia possibile contro tutte le CPU a 64 bit, inclusi i processori AMD.
• Processori ARM con Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 e A75 sono sospettabili di attacchi Spectre. I processori con core Cortex A75 (Snapdragon 845) sono vulnerabili agli attacchi Meltdown. Si prevede che anche i chip che utilizzano varianti di questi core, come la linea Snapdragon di Qualcomm o la linea Exynos di Samsung, presenteranno vulnerabilità simili o uguali. Qualcomm sta lavorando direttamente con ARM e ha questa affermazione sui problemi:

Qualcomm Technologies, Inc. è a conoscenza delle ricerche sulla sicurezza relative alle vulnerabilità dei processori a livello di settore che sono state segnalate. Fornire tecnologie che supportano la sicurezza e la privacy solide è una priorità per Qualcomm e, come tale, abbiamo lavorato con Arm e altri per valutare l'impatto e sviluppare mitigazioni per i nostri clienti. Stiamo attivamente incorporando e implementando mitigazioni contro le vulnerabilità per i nostri prodotti interessati e continuiamo a lavorare per rafforzarli il più possibile. Stiamo implementando queste mitigazioni per i nostri clienti e incoraggiamo le persone ad aggiornare i loro dispositivi quando saranno disponibili le patch.

• NVIDIA ha stabilito che questi exploit (o altri exploit simili che potrebbero insorgere) non influenzano il calcolo della GPU, quindi il loro hardware è prevalentemente immune. Lavoreranno con altre società per aggiornare i driver di dispositivo per aiutare a mitigare eventuali problemi di prestazioni della CPU e stanno valutando i loro SoC basati su ARM (Tegra).

• Webkit, le persone dietro il motore di rendering del browser di Safari e il precursore del motore Blink di Google, hanno una ripartizione eccellente di come questi attacchi possono influenzare il loro codice. Gran parte di ciò si applicherebbe a qualsiasi interprete o compilatore ed è una lettura straordinaria. Guarda come stanno lavorando per risolverlo e impedire che accada la prossima volta.

In parole povere, ciò significa che, a meno che tu non stia ancora utilizzando un telefono, un tablet o un computer molto vecchio, dovresti considerarti vulnerabile senza un aggiornamento del sistema operativo. Ecco cosa sappiamo finora su quel fronte:

• Google ha patchato Android contro gli attacchi Spectre e Meltdown con le patch di dicembre 2017 e gennaio 2018.
• Google ha patchato i Chromebook utilizzando le versioni 3.18 e 4.4 del kernel a dicembre 2017 con OS 63. I dispositivi con altre versioni del kernel (guarda qui per trovare il tuo) verranno presto aggiornati. In parole povere: il Chromebook Toshiba, l'Acer C720, il Chromebook Dell 13 e i Chromebook Pixel del 2013 e 2015 (e alcuni nomi di cui probabilmente non hai mai sentito parlare) non sono stati ancora corretti, ma lo saranno presto. La maggior parte dei Chromebox, Chromebase e Chromebits non sono patchati, ma lo saranno presto.
• Per i dispositivi Chrome OS senza patch, una nuova funzionalità di sicurezza chiamata Site Isolation mitigherà qualsiasi problema derivante da questi attacchi.
• Microsoft ha patchato entrambi gli exploit a partire da gennaio 2018.
• Apple ha patchato macOS e iOS contro Meltdown a partire dall'aggiornamento di dicembre. Il primo round di aggiornamenti di Spectre è stato eliminato all'inizio di gennaio. Dai un'occhiata a iMore per tutto ciò che devi sapere su questi difetti della CPU e su come influenzano il tuo Mac, iPad e iPhone.
• Le patch sono state inviate a tutte le versioni supportate del kernel Linux e i sistemi operativi come Ubuntu o Red Hat possono essere aggiornati tramite l'applicazione di aggiornamento software.

Per le specifiche di Android, Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 e Pixel 2 XL sono stati patchati e dovresti vedere presto un aggiornamento se non l'hai già ricevuto. Se lo desideri, puoi anche aggiornare manualmente questi dispositivi. Anche il progetto Android Open Source (il codice utilizzato per costruire il sistema operativo per ogni telefono Android) è stato patchato e le distribuzioni di terze parti come LineageOS possono essere aggiornate.

Come aggiornare manualmente Pixel o Nexus

Samsung, LG, Motorola e altri venditori Android (aziende che producono telefoni, tablet e TV) aggiorneranno i loro prodotti con l'aggiornamento di gennaio 2018. Alcuni, come il Note 8 o Galaxy S8, lo vedranno prima di altri, ma Google ha reso disponibile la patch per tutti i dispositivi. Ci aspettiamo di vedere più notizie da tutti i partner per farci sapere cosa aspettarci e quando.

Cosa posso fare?

Se hai un prodotto vulnerabile, è facile farsi prendere dalla pubblicità, ma non dovresti. Sia Spectre che Meltdown non "accadono" e dipendono dall'installazione di malware di qualche tipo che li sfrutta. Seguire alcune pratiche sicure ti manterrà immune da qualsiasi exploit su qualsiasi hardware del computer.

• Installa solo software di cui ti fidi da un luogo di fiducia. Questa è sempre una buona idea, ma soprattutto se stai aspettando una patch.
• Proteggi i tuoi dispositivi con una buona schermata di blocco e crittografia. Ciò non si limita a tenere fuori un'altra persona, poiché le applicazioni non possono fare nulla mentre il telefono è bloccato senza la tua autorizzazione.
• Leggi e comprendi le autorizzazioni su tutto ciò che esegui o installi sul tuo telefono. Non abbiate paura di chiedere aiuto qui!
• Utilizzare un browser Web che blocca il malware. Possiamo consigliare Chrome o Firefox e anche altri browser potrebbero proteggerti dal malware basato sul web. Chiedi alle persone che li producono e li distribuiscono se non sei sicuro. Il browser Web fornito con il telefono potrebbe non essere l'opzione migliore qui, soprattutto se si dispone di un modello precedente. Edge e Safari sono affidabili anche per dispositivi Windows o MacOS e iOS.
• Non aprire collegamenti sui social media, in un'e-mail o in nessun messaggio di qualcuno che non conosci. Anche se provengono da persone che conosci, assicurati di fidarti del tuo browser prima di fare clic o toccare. Questo vale doppio per i collegamenti di reindirizzamento che mascherano un URL del sito. Usiamo quel tipo di link abbastanza spesso e probabilmente ci sono anche molti media online che leggi. Stai attento.
• Non essere stupido. Sai cosa significa questo per te. Fidati del tuo giudizio e sbaglia dal lato della cautela.

La buona notizia è che il modo in cui questi exploit dei canali secondari sono patchati non porterà agli enormi rallentamenti che sono stati pubblicizzati prima che gli aggiornamenti fossero rilasciati. È così che funziona il web e se leggi come il tuo telefono o computer sarà più lento del 30% dopo l'applicazione di qualsiasi correzione, è perché il sensazionalismo vende. Gli utenti che eseguono software aggiornato (e sono stati durante i test) non lo vedono.

La patch non ha l'impatto sulle prestazioni che alcuni hanno affermato che avrebbe portato, ed è una cosa grandiosa.

Tutto ciò è avvenuto perché questi attacchi misurano intervalli di tempo precisi e le patch iniziali cambiano o disabilitano la precisione di alcune fonti di temporizzazione attraverso il software. Meno preciso significa più lento quando stai elaborando e l'impatto è stato esagerato per essere molto più grande di quello che è. Anche le lievi riduzioni delle prestazioni che sono il risultato delle patch vengono mitigate da altre aziende e vediamo NVIDIA aggiornare il modo in cui i numeri delle loro GPU crunch o Mozilla lavorano sul modo in cui calcolano i dati per renderli ancora più veloci. Il tuo telefono non sarà più lento sulla patch di gennaio 2018 e nemmeno il tuo computer a meno che non sia molto vecchio, almeno non in modo evidente.

Smetti di preoccuparti e assicurati di fare tutto il possibile per proteggere i tuoi dati.

Cosa togliere da tutto

I problemi di sicurezza hanno sempre una sorta di impatto reale. Nessuno ha visto casi di Meltdown o Spectre utilizzati in natura e poiché la maggior parte dei dispositivi che utilizziamo ogni giorno vengono aggiornati o lo saranno molto presto, i rapporti probabilmente rimarranno così. Ma questo non significa che dovrebbero essere ignorati.

Prendi sul serio le minacce alla sicurezza come questa, ma non cadere in crisi; essere informato!

Questi exploit di canale laterale avevano il potenziale per essere quell'evento grande e serio che cambia il gioco di cui le persone si preoccupano quando si tratta di sicurezza informatica. Qualsiasi exploit che influisce sull'hardware è serio e quando attacca qualcosa fatto apposta invece di un bug diventa ancora più serio. Per fortuna, ricercatori e sviluppatori sono stati in grado di catturare, contenere e rattoppare Meltdown e Spectre prima che accadesse un uso diffuso.

La cosa veramente importante qui è che ottieni le informazioni giuste in modo da sapere cosa fare ogni volta che senti parlare di una nuova minaccia informatica che vuole tutte le tue cose digitali. Di solito c'è un modo razionale per mitigare qualsiasi effetto serio una volta scavato oltre tutti i titoli.

Rimanga sicuro!

Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.