Spectre e Meltdown sono i nomi in codice che sono stati dati a diversi ceppi di un nuova classe di attacchi informatici, individuati nel gennaio 2018, che mirano la vulnerabilità della maggior parte dei chip di computer prodotti negli ultimi 20 anni.
Attraverso uno studio condotto dall’azienda americana Gartner Inc, multinazionale operante nella consulenza strategica, ricerca e analisi nel campo dell’Information Technology, i leader della sicurezza e della gestione del rischio devono adottare un approccio pragmatico e basato sul rischio per le minacce in corso poste da questa nuova classe di vulnerabilità.
“Il rischio è reale, ma con un piano di bonifica chiaro e pragmatico basato sul rischio, i responsabili della sicurezza e della gestione del rischio possono fornire ai leader aziendali la certezza che il rischio marginale per l’azienda è gestibile e viene affrontato” –ha affermato Neil MacDonald, vicepresidente, di Gartner.
Ma prima andiamo con ordine, spieghiamo cosa intendiamo quando parliamo di Meltdown e Spectre.
Meltdown
È la falla che interessa computer desktop, portatili e sistemi cloud che utilizzano diverse generazioni di processori Intel, prodotti a partire dal 1995 (sembra facciano eccezione le versioni Itanium e Atom, ma solo se prodotte prima del 2013). Per ora i ricercatori hanno la certezza che la falla riguardi Intel, mentre sono ancora in corso verifiche per accertarsi se siano coinvolti anche processori di altre marche e con architetture diverse come ARM e AMD.
Spectre
I ricercatori stimano che “praticamente tutti i sistemi” siano affetti da Spectre, quindi: computer desktop, portatili, server cloud e smartphone. Il problema riguarda i processori Intel, AMD e ARM. L’estensione della falla sembra quindi essere molto maggiore e per gli esperti di sicurezza le prospettive non sono incoraggianti, considerato che una soluzione software per questo problema richiede un approccio articolato, quindi più tempo.
L’azienda ha identificato sette passaggi che i responsabili della sicurezza possono attualmente adottare per ridurre i rischi:
- Riconosci il rischio, ma non farti prendere dal panico
I moderni sistemi operativi (OS) e gli hypervisor dipendono da modelli di autorizzazione strutturati e stratificati per garantire l’isolamento e la separazione della sicurezza. Poiché questa implementazione di progettazione sfruttabile è sull’hardware, sotto il sistema operativo e l’hypervisor, tutti i livelli software sopra sono interessati e vulnerabili. Tuttavia, la memoria può essere solo letta, ma non modificata. Lo sfruttamento del difetto richiede che il codice non sicuro sia introdotto ed eseguito sul sistema di destinazione, il che dovrebbe essere estremamente difficile su un server o un’appliance ben gestiti come una rete o un’appliance di archiviazione. C’è anche un vantaggio nel non ricorrere alla “patch di panico”. Le patch iniziali creavano conflitti con alcune offerte antivirus e bloccavano i computer Windows.
- Fai un inventario dettagliato
Quasi tutti i moderni sistemi IT saranno interessati in una certa misura. Dal momento che Y2K ha una vulnerabilità interessata, molti sistemi (desktop, dispositivi mobili, server, macchine virtuali, appliance di rete e di archiviazione, tecnologia operativa e dispositivi di Internet of Things) hanno richiesto un piano di azione pianificato e deliberato per gli interventi di riparazione. Il punto di partenza per i responsabili della sicurezza deve essere un inventario dei sistemi interessati. In alcuni casi, la decisione appropriata per il rischio sarà quella di non applicare la patch. Per ciascun sistema, è necessario un database dettagliato o un foglio di calcolo per tenere traccia del dispositivo o del carico di lavoro, della versione del suo microprocessore, della versione del firmware e del sistema operativo.
- Sviluppare un piano di rimedio prioritario
Le vulnerabilità non sono direttamente sfruttabili da remoto. Un attacco di successo richiede che l’attaccante esegua il codice sul sistema. Pertanto, il controllo dell’applicazione e la whitelist su tutti i sistemi riducono notevolmente il rischio di esecuzione di codice sconosciuta. Tuttavia, l’infrastruttura condivisa come infrastruttura di servizio è particolarmente vulnerabile fino a quando i provider di cloud non aggiornano il loro firmware e il livello hypervisor sottostante (che i principali provider hanno fatto).