[banner]…[/banner]
Le falle individuate nei chip note come Meltdown e Spectre non sono state comunicate da Intel ai responsabili della cybersicurezza statunitense fino a quando queste non sono state rese pubbliche. La comunicazione è avvenuta solo sei mesi dopo che Alphabet (il “cappello” sotto il quale c’è anche Google) aveva comunicato il problema ai principali produttori di chip (Intel, AMD e ARM) quando la questione era ormai di dominio pubblico.
Attuali ed ex funzionari del governo statunitense hanno espresso preoccupazione spiegando che il governo non è stato informato prima di altri delle falle, con conseguenti potenziali implicazioni dal punto di vista della sicurezza nazionale. Intel, scrive Reuters, ha spiegato di non aver ritenuto importante la condivisione delle falle con le autorità americane poiché gli hacker non avevano sfruttato le vulnerabilità.
Il produttore di CPU non ha comunicato all’United States Computer Emergency Readiness Team, meglio noto come US-CERT (organizzazione incaricata di raccogliere le segnalazioni di incidenti informatici), dettagli sulle falle Meltdown e Spectre fino al 3 gennaio, solo dopo che il sito The Register ha cominciato a parlare del problema.
Dettagli su quando le vulnerabilità dei chip sono state comunicate emergono da una lettera che Intel, Alphabet e Apple hanno inviato per rispondere all’interpellanza presentata da Greg Walden, rappresentante dei repubblicani dell’Oregon che presiede il Sottocomitato della Camera per l’energia e il commercio.
Alphabet ha spiegato che i ricercatori del Project Zero di Google hanno messo al corrente del problema Intel, Advanced Micro Devices (AMD) e ARM Holdings (l’azienda nota per la sua linea di processori con architettura ARM). Come di consueto quando si individuano vulnerabilità, prima di rendere pubblico quanto scoperto si è atteso 90 giorni per dare tempo alle aziende di individuare soluzioni. Informare o meno i funzionari del governo, è prassi che decide l’azienda interessata.
I problemi di sicurezza noti come Meltdown e Spectre riguardano tutti i processori moderni e interessano quasi tutti i dispositivi informatici e i sistemi operativi.
Meltdown e Spectre sfruttano una caratteristica di fuzionamento delle moderne CPU denominata esecuzione speculativa. L’esecuzione speculativa aumenta la velocità agendo su più istruzioni contemporaneamente, anche in ordine diverso rispetto a quello di immissione nella CPU. Per migliorare le prestazioni, la CPU prevede quale percorso di una diramazione ha maggiori probabilità di essere seguito e continua l’esecuzione in modalità speculativa lungo tale percorso, anche prima che la diramazione venga completata. Se la previsione si rivela errata, l’esecuzione speculativa viene annullata in un modo progettato per essere invisibile al software.
Le tecniche di exploit di Meltdown e Spectre utilizzano in modo improprio l’esecuzione speculativa per accedere alla memoria privilegiata, inclusa quella del kernel, da un processo utente con meno privilegi, come un’app dannosa in esecuzione su un dispositivo.
Apple ha già rilasciato soluzioni su iOS 11.2, macOS 10.13.2 e tvOS 11.2 come protezione da Meltdown. Anche gli aggiornamenti di sicurezza per macOS Sierra e OS X El Capitan includono soluzioni per Meltdown. Per proteggersi da Spectre, Apple ha rilasciato soluzioni in iOS 11.2.2, nell’aggiornamento supplementare di macOS High Sierra 10.13.2 e in Safari 11.0.2 per macOS Sierra e OS X El Capitan. Apple Watch non è interessato da Meltdown e Spectre.