Meltdown e Spectre viste da Intuity

Meltdown e Spectre sono due diverse vulnerabilità che, sfruttando una caratteristica tipica dei moderni processori, consentono ad applicazioni non autorizzate di leggere la memoria di un sistema. Questo signifca che un attaccante potrebbe…

Un approccio pratico alla comprensione e alla mitigazione del problema

COSA SONO?

Meltdown e Spectre sono due diverse vulnerabilità che, sfruttando una caratteristica tipica dei moderni processori, consentono ad applicazioni non autorizzate di leggere la memoria di un sistema. Questo signifca che un attaccante potrebbe leggere dati presenti in memoria mentre sono in elaborazione da altre applicazioni.

CHI NE È AFFETTO?

La quasi totalità dei processori Intel, AMD e ARM usati su sistemi desktop, notebook, server e periferiche mobili quali smartphone e tablet.

ILPROBLEMA È URGENTE?

Il problema è presente e va risolto il prima possibile, ma questo non ne fa un’emergenza: per sfruttare questa vulnerabilità è necessario eseguire del codice sul sistema, attività che richiede a chi attacca un certo livello di competenza e l’organizzazione di un attacco abbastanza strutturato.

Inoltre al momento non sono noti degli attacchi (exploit) che sfruttino queste vulnerabilità, ma questa condizione è destinata a durare per poco tempo ancora.

CHI PUÒ ESSERE COLPITO E COME?

Periferiche mobili: se l’utilizzatore installa APP non attendibili o non acquisite da uno Store ufficiale è sicuramente a rischio.

PC: sono i più a rischio perché l’attacco può essere veicolato tramite una email di phishing o la navigazione su siti compromessi, entrambe situazioni che si verificano abbastanza frequentemente.

Server: per compromettere un server è necessario che il codice malevolo arrivi in quel server. Questo può avvenire se il sistema è usato per ricevere posta o navigare in Internet, se qualcuno usa periferiche rimovibili che potrebbero essere compromesse o se sfruttando altre vulnerabilità del sistema stesso un attaccante riesce ad eseguire codice da remoto, da Internet o da un’altra postazione precedentemente compromessa.

COME POSSO MITIGARE IL PROBLEMA?

Sicuramente il modo migliore per essere tranquilli è installare le patch che in questi giorni sono rilasciate dai vari produttori. Non si tratta di una soluzione definitiva, infatti alcuni problemi non sono risolti per tutti i sistemi operativi. In questo momento sono disponibili patch per Microsoft, MacOS, Linux, alcuni browser e VmWare, ma altri aggiornamenti saranno disponibili nei prossimi giorni. Intel ha dichiarato di stare lavorando per l’aggiornamento del BIOS di alcuni processori.

Nota: a causa di una serie di problemi di compatibilità rilevati con diversi sistemi AntiVirus, gli update di Microsoft non saranno scaricati se nel sistema non è presente questa chiave di registro:

Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”
Data=”0x00000000”

Per un elenco chiaro e dettagliato di quali patch sono disponibili al momento, di cosa correggono e cosa no e di quali problemi ci si può aspettare, consigliamo di consultare questi siti:

• https://meltdownattack.com/
• https://blog.barkly.com/meltdown-spectre-patches-list-windows-update-help

Attenzione: è molto probabile che non verranno rilasciate patch di alcun tipo per i sistemi operativi non supportati quali, ma non solo, Windows XP.

I SISTEMI ANTIVIRUS RIESCONO A BLOCCARE L’ATTACCO?

Quasi sicuramente no: il comportamento del codice malevolo agli occhi di un sistema antivirus risulta legittimo e quindi difficile da rilevare come malware; è possibile che maggiori controlli vengano resi disponibili in futuro.

COSA POSSO FARE SE I SISTEMI NON SONO AGGIORNABILI O SE IL TEMPO DI PATCHING È MOLTO LUNGO?

Come già detto per sfruttare queste vulnerabilità è necessario che un codice (applicazione, java script, etc.) sia eseguito sul sistema, quindi è necessario prendere delle precauzioni per ridurre al minimo il rischio che questo accada.

Queste precauzioni dovrebbero già rientrare in un processo di sicurezza perché valgono per Meltdown e Spectre, così come per molte alte forme di attacco:

1. Verificare spesso che i propri sistemi non siano vulnerabili ad attacchi che consentono ad un utente remoto di eseguire codice arbitrario, “Remote Code Execution”. Questa verifica dovrebbe essere fatta per i servizi esposti ad Internet e dall’interno dell’azienda.
2. Verificare che gli utenti aziendali siano preparati e consapevoli di quali siano le minacce di sicurezza e siano in grado di riconoscerle nell’uso quotidiano dello strumento informatico: posta elettronica, Internet, mobile device.
3. Verificare di avere strumenti di protezione efficienti ed efficaci, come ad esempio: antimalware di nuova generazione, sistemi antispam, sandbox, controllo della navigazione, intrusion prevention.
4. Verificare che i sistemi server non siano (e non possano) essere utilizzati per attività inproprie, quali ma non solo: navigazione in Internet, posta elettronica, download di file.
5. Verificare che i sistemi server non consentano l’uso di periferiche rimovibili non autorizzate, quali ma non solo: USB Stick, USB Drive.

È VERO CHE LE PATCH HANNO UN IMPATTO SULLE PERFORMANCE DELLE CPU?

Si, per mitigare il problema si deve rinunciare ad alcune funzionalità tipiche delle moderne CPU usate per ottimizzare la capacità di calcolo dei processori. Di quanto sia questo degrato non è certo, dipende anche dalla CPU stessa o dalle applicazioni che la usano.

Potrebbe essere opportuno, soprattutto dove la capacità di calcolo è un fattore determinante, effettuare prima una misurazione dell’utilizzo delle CPU e valutare di conseguenza se e dove sia possibile installare le patch senza compromettere l’usabilità dei sistemi.

• https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
• https://techcrunch.com/2018/01/11/intel-details-performance-hit-for-meltdown-fix-on-affected-processors/

Concludendo, non ha senso farsi prendere dal panico, è opportuno avere chiara l’entità del problema, come può impattare sulla propria organizzazione e pianificare con cura gli interventi da porre in essere, patching e aggiornamenti del firmware mano a mano che vengono resi disponibili.

Una riflessione che nasce spontanea in situazioni come questa e in quelle vissute durante l’anno passato in occasione di WannaCry, Petya e tutto quanto ha caratterizzato il 2016 in termini di cybersecurity, è questa:

Perché ci si trova sempre a rincorrere il problema, a pensare sempre a soluzioni che rispondano all’esigenza del momento, quando invece si potrebbe agire preventivamente creando un ambiente che sia “sicuro” by design? Sembra utopia, ma non lo è, è solo un processo che va innescato e che ha un suo prerequisito: essere consapevoli che la sicurezza informatica è realmente un problema da affrontare. Se che manca questa consapevolezza il tutto si riduce a una specie di gioco. Chi attacca vince sempre e chi difende vince solamente quando non tocca a lui.

Gli ingredienti principe di questa magica ricetta secondo noi sono:

• Creare consapevolezza degli impatti che l’insicurezza informatica può avere per il business.
• Creare consapevolezza nelle persone su quali siano le minacce informatiche ed il problema della sicurezza in generale.
• Usare le giuste tecnologie, nel giusto contesto, per mitigare alcune tipologie di problemi.
• Verificare attentamente quali sono i rischi residui ed intervenire prontamente per ridurli.