Avviso di Sicurezza Importante. Meltdown e Spectre bug, Databridge già in aggiornamento dei propri sistemi Cloud.

FALLA SICUREZZA MELTDOWN E SPECTRE  SU TUTTI I DISPOSITIVI E SISTEMI INFORMATICI.

In estrema sintesi, Meltdown Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 ad oggi da Intel e in alcuni di quelli prodotti da Amd e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto “intelligenti”). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.

Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di Amd (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative executiondei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.

Questo consente per esempio a una pagina Web o a un’app ostile di rubare password (persino da un gestore di password), chiavi crittograficheBitcoine altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le primeindicazioni non rivelano rallentamenti avvertibili in circostanze normali.

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioniiniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le primeindicazioninon rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalatitempi quasi doppi per il mining della criptovaluta Monero].

  • Per il firmware, Intel ha annunciatodi aver già pubblicato aggiornamenticorrettivi per “la maggior parte dei processori introdotti negli ultimi cinque anni”, ma solo per Meltdown; Spectre rimane. Amd ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabilie le patch per Linux.
  • Per i dispositivi Apple, iOS risultagià corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
  • Per Linux è disponibile un aggiornamento(piuttosto manuale). Il kernel 4.14.11, rilasciatoil 3 gennaio, risolve le falle. Per sapere quale kernelavete, il comando (a terminale) è uname -r uname -a.
  • Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05(almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni – Sistema – Informazioni sul telefono (o tablet) – Livello patch di sicurezza.
  • Firefox è correttodalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
  • Google Chromesarà correttodalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolationcome descritto qui.

Il problema principale è Windows.

  • Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretticon l’aggiornamento KB4056890del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidancee nell’Advisory ADV180002di Microsoft) e con l’aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
  • Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la listaè in continua evoluzione; Kasperskyera già a postoda fine dicembre). Siamo insomma all’ironia che gli antivirus ostacolanola sicurezza.
  • Esiste un’app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.

Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphonee tutti gli altri dispositivi connessi a Internet, quelli dell’Internet delle Cose, come sistemi di monitoraggio e controllo remoto, “smart TV“, automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.

Saluti