Descrizione delle vulnerabilità hardware note come Meltdown e Spectre

Le moderne CPU hanno una particolare modalità di lavoro che permette di predire e prevedere le operazioni future da eseguire: quindi iniziano già a eseguire le istruzioni che con più probabilità eseguirà l'utente per potergli dare delle risposte più veloci.
Il problema è che in questa modalità di lavoro sono state riscontrate delle falle che permettono agli hacker di accedere praticamente a qualsiasi informazione perché riescono a "registrare" tutto quello che avviene sul PC.
In questo momento non ci sono notizie confermate di hacker che abbiano sfruttato queste vulnerabilità, ma sono stati i laboratori di Google che per primi che hanno "studiato e testato" Meltdown e Spectre.
Queste vulnerabilità impattano, in diversa misura, su tutte le CPU Intel, AMD, ARM e POWER costruite negli ultimi 10 anni.

Per gli utilizzatori Intel, è stato diffuso un elenco contenente i processori interessati dalle vulnerabilità Meltdown e Spectre:

  • Intel Core i3 (45nm e 32nm)/Intel Core i5 (45nm e 32nm)/Intel Core i7 (45nm e 32nm)
  • Intel Core M (45nm e 32nm)
  • 2°/3°/4°/5°/6°/7°/8° generazione Intel Core
  • Intel Core X per la piattaforma Intel X99 / Intel X299
  • Intel Xeon 3400/3600/5500/5600/6500/7500
  • Intel Xeon E3/E3 v2/E3 v3/E3 v4/E3 v5/E3 v6
  • Intel Xeon E5/E5 v2/E5 v3/E5 v4
  • Intel Xeon E7/E7 v2/E7 v3/E7 v4
  • Intel Xeon Processor Scalable Family
  • Intel Xeon Phi 3200, 5200, 7200
  • Intel Atom C/E/A
  • Intel Atom x3
  • Intel Atom Z
  • Intel Celeron J/N
  • Intel Pentium J/N

Operazioni da intraprendere

La risoluzione definitiva di questi problemi sarà possibile solo con la sostituzione fisica delle CPU con dei nuovi modelli progettati in maniera da non avere più queste vulnerabilità. Allo stato attuale non esistono ancora CPU esenti da questi problemi e probabilmente saranno necessari alcuni anni prima che vengano sviluppate.

Quello che è possibile fare allo stato attuale è aggiornare sia le componenti firmware che le parti software dei sistemi operativi per aggirare le vulnerabilità stesse. Tali mitigazioni risolvono i problemi in oggetto ma possono impattare sulle prestazioni generali dei sistemi, in misura non predeterminabile, e che è stata stimata dalle varie case produttrici fino a circa il 30% di perdita di prestazioni, a seconda delle tipologie e dei carichi di lavoro.

Nonostante questo è comunque raccomandabile installare le patch previste dato l’alto livello di compromissione della sicurezza che queste vulnerabilità comportano.

Come proteggersi?

Per difendersi occorre innanzitutto:

  • Aggiornare il browser;
  • Aggiornare gli Hypervisor;
  • Aggiornare i sistemi operativi;
  • Installare le patch dei produttori non appena rese disponibili.

Impatto sulle infrastrutture

I sistemi che sono da considerare impattati da queste problematiche e che richiederanno quindi l’installazione di patch di aggiornamento sono:

- server di tutti i produttori basati su processori Intel Xeon e AMD Opteron

- server IBM basati su processori POWER 7/POWER 7+/POWER 8

- workstation di tutti i produttori basate su processori Intel e AMD

- telefoni cellulari/tablet/palmari basati su processori ARM (praticamente tutti i modelli esistenti)

- hypervisor di virtualizzazione: VMWare, Hyper-V, Kvm, Xen, OracleVM.

Allo stato attuale non esistono notizie di vulnerabilità per quanto riguarda gli apparati Storage delle famiglie Storwize, DS.

Comunicato IBM: https://www.ibm.com/blogs/psirt/ibm-storage-meltdownspectre/

L’installazione di tali patch richiede la ripartenza a freddo delle macchine interessate e va quindi schedulata con attenzione riguardo alle esigenze di disponibilità dei servizi.

NB: La possibilità di scaricare e installare le patch di sicurezza è vincolata in alcuni casi all’esistenza in essere di un contratto di licenza e supporto valido e attivo.

Status delle comunicazioni da parte dei produttori

Lenovo
https://support.lenovo.com/us/en/solutions/LEN-18282

VMWare 
https://www.vmware.com/security/advisories/VMSA-2018-0004.html 
https://www.vmware.com/security/advisories/VMSA-2018-0002.html

Microsoft
https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown

Redhat
https://access.redhat.com/security/vulnerabilities/speculativeexecution

Ubuntu
https://insights.ubuntu.com/2018/01/12/meltdown-and-spectre-status-update/

IBM ha comunicato che per l’architettura POWER e per i sistemi operativi AIX e iOS (AS400) sono in via di sviluppo le patch e saranno rilasciate tra la fine di gennaio e la metà di febbraio 2018.

Al link in basso i dettagli:
https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/

Descrizione della vulnerabilità hardware Intel AMT

E’ stata riscontrata dai ricercatori una ulteriore vulnerabilità che riguarda la Intel Active Management Technology (AMT), la tecnologia che permette manutenzione e monitoraggio di sistemi aziendali da remoto, integrata nei sistemi con processori vPro.
La falla in AMT consente a malintenzionati - che hanno accesso fisico al dispositivo - di superare in meno di un minuto la codifica BitLocker, la password del BIOS, TPM Pin e le credenziali di login della maggior parte dei portatili.

Al link in basso, un approfondimento che spiega l’impatto sull’architettura AMT:
https://www.blackhat.com/docs/us-17/thursday/us-17-Evdokimov-Intel-AMT-Stealth-Breakthrough-wp.pdf

Ulteriori approfondimenti a queste tematiche, possono essere consultati a questi link dove sono state intterpellate societa’ ed esperti di sicurezza (come Raoul Chiesa):
http://www.ansa.it/sito/notizie/tecnologia/software_app/2018/01/04/falla-nei-processori-a-rischio-pc-e-smartphone_2e1394de-1405-4a02-87cd-d08b8475a878.html

http://www.axitea.it/blog/cyber-security/meltdown-spectre-vulnerabilita-2018/