Spectre e Meltdown, le cpu e le VM non sono mai state sicure

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Spectre e Meltdown stanno mettendo a dura prova la fiducia nella sicurezza delle cpu anche per i rischi negli ambienti virtualizzati e quindi in cloud

Dal 1995 le cpu non sono mai state veramente sicure, e prima probabilmente non importava quasi a nessuno. Il 2018 è così iniziato con la scoperta dei bug Spectre e Meltdown a inquietare i sonni soprattutto di Intel le cui cpu sono affette da entrambi i bug, ma anche di Arm non immune in alcune varianti Cortex, e in diversa misura anche di AMD, con quest’ ultimo vendor a rischio esclusivamente di Spectre.

Le vulnerabilità sono state scoperte dal Politecnico di Graz, e dalle università di Maryland e della Pennsylvania. Nel primo caso, Meltdown, che riguarda tutte le cpu Intel e alcune versioni Arm, si parla di un errore di progettazione dei processi che regolano la gestione della memoria virtuale.

La notizia positiva in questo caso è che la vulnerabilità Meltdown è “rimediabile”, e la soluzione software si scarica con gli aggiornamenti, ma questo determina comunque anche un rallentamento delle prestazioni. Per cui tutti i clienti hanno in sostanza pagato per quanto non si può oggettivamente avere in termini di potenza.

Nel caso di Meltdown, la vulnerabilità riguarda difetti presenti in hardware, il software li mitiga, ma con il processore progettato come è ora non si potranno più riavere le stesse prestazioni.

Per quanto riguarda Spectre invece il problema è diverso per alcuni aspetti decisamente più grave, perché riguarda oltre al kernel ogni singolo processo. Semplificando al massimo, il processore non verifica singolarmente la cancellazione di ogni informazione a livello di memoria, e lascia la possibilità di leggere anche quelle che riguardano processi passati in predicato rintracciando alcune tracce.

Brian Krzanich, CEO Intel
Brian Krzanich, CEO Intel

Si tratta di una vulnerabilità di una gravità senza precedenti, soprattutto in grado di esporre ad altissimi rischi le soluzioni di virtualizzazione in cloud con le informazioni nei server che generano macchine virtuali che potrebbero essere lette dal guest.

La soluzione per la vulnerabilità Spectre potrà arrivare solo con la riscrittura di ogni singola applicazione software per evitare un attacco sfruttando il bug delle Cpu, un lavoro impensabile in tempi brevi.

L’unica buona notizia arriva dal fatto che la vulnerabilità in questione sembra molto difficile da sfruttare.

Ci si può accontentare? No decisamente. In pratica la lezione – che dobbiamo ancora imparare nella sua completezza – e che probabilmente avrà importanti riflessi anche sul mercato dei servizi cloud è che i vendor pensavano di controllare appieno le proprie Cpu e invece hanno proprio fallito a livello di progettazione, e non è un allarme da poco.

Spectre e Meltdown hanno minato alle fondamenta quindi proprio la fiducia su un componente chiave anche per le soluzioni cloud. Solitamente siamo abituati a tenere nel mirino i produttori di software, Microsoft su tutti gli altri vendor, o i fornitori di servizi. In questo caso – nessuno escluso – sono coinvolti i produttori di Cpu.

Si parla di falle che NON sono rimediabili con la bacchetta magica dall’oggi al domani, ma richiedono la riprogettazione delle cpu e, almeno per i rimedi via software, di importanti porzioni anche sui sistemi operativi.Il mercato è semplicemente disilluso, ma come spesso accade quando non ci sono alternative pensiamo che, nonostante il clamore l’importanza delle rivelazioni, i riflessi saranno decisamente inferiori rispetto all’atteso.