Computer a rischio: scoperte due vulnerabilità che minacciano PC, server e smartphone!

Nello scorso mese di Giugno un ricercatore del Google Project ZeroJann Horn, ha scoperto un problema di vulnerabilità legate alle CPU (processori) utilizzate nei computer, server, smartphone e non solo negli ultimi 20 anni.(contemporanemante ai tecnici di RambusPolitecnico di Graz, atenei della Pennsylvania e del Maryland).

Si chiamano Meltdown e Spectre le falle di sicurezza presenti in tutte le CPU di Intel, AMD e AMR, messe in commercio negli ultimi 20 anni.

Cosa sono Meltdown e Spectre?

Si tratta di due falle nella sicurezza dei microprocessori. Possono essere definiti errori nella architettura dei processori stessi che consentono a malintenzionati di accedere alla memoria protetta del computer attraverso dei semplici programmi, persino dalle app JavaScript di un browser web, da una semplice pagian web malevola (come conferma anche Mozzilla). La falla si trova nella tecnologia, usata fin dal 1995: questa tecnologia si chiama "esecuzione speculativa". Viene usata per aumentare le prestazioni dei chip.

Chi è in pericolo? Che cosa rischiamo?

Sono in pericolo tutti gli smartphone e i pc, sia con sistema operativo Windows sia Mac Os, iOS, Android, Chrome OS o Linux. Ma anche, in teoria, ogni oggetto fornito di un processore. Dunque anche i miliardi di oggetti connessi, comprese le automobili o gli elettrodomestici intelligenti. 

Ancora una volta il rischio è di subire un furto di dati sensibili. Questo significa che qualsiasi dato è a rischiopassword, dati di navigazione, email, foto, video, chat. Tutto ciò a cui le applicazioni installate hanno accesso, è potenzialmente minacciato. Se la falla sia stata sfruttata, al momento, è' impossibile saperlo, anche perché coinvolge miliardi di dispositivi. Tuttavia è particolarmente grave e non può essere chiusa con una semplice patch, ma richiederebbe una parziale riscrittura dei sistemi operativi o la riprogettazione dei processori. Spectre in particolare potrebbe essere un problema molto più importante di Meltdown, dal momento che sembra poter colpire ogni CPU esistente.

Come si stanno muovendo le aziende interessate per difendere i dati degli utenti? 

Tuute le aziende interessate si sono mobilitate per cercare di riparare al problema e fornire strumenti, ancorchè provvisori, per consentire agli utenti di difendere i prorpi sistemi ed i propri dati.

Google assicura di essersi mobilitata immediatamente per difendere i propri sistemi e i dati degli utenti: "Abbiamo aggiornato i nostri sistemi e i prodotti interessati per proteggerci. [...] Abbiamo anche collaborato con i produttori di hardware e software nell'industria per aiutarli a proteggere i loro utenti e il web in generale. Questi sforzi hanno incluso un'analisi collaborativa e lo sviluppo di nuove tecniche di mitigazione". 

Microsoft ha già rilasciato in data 3 Gennaio l'aggiornamento di Windows 10: la patch è obbligatoria e verrà  applicata automaticamente, ma da sola non risolverà completamente il problema. Si tratta infatti soltanto della prima fase della difesa dei computer contro un possibile attacco hacker atto a scavare nella memoria del sistema; servirà anche un aggiornamento firmware da parte dei produttori di processori, le cui tempistiche non sono ancora state precisate. La stessa patch è prevista anche per Windows 8.1 e Windows 7, ma non immediatamente: sarà inclusa negli aggiornamenti del prossimo martedì con gli aggiornamenti del sistema relativi alla sicurezza.

Apple per quanto riguarda Apple chiariamo subito una cosa: sia macOS che iOS sono vulnerabili sia da Meltdown che da Spectre. Già a dicembre, con gli aggiornamenti 11.2 di iOS, 10.13.2 di macOS e 11.2 di tvOS, aveva in qualche modo limitato la pericolosità di Meltdown. Per quanto riguarda Spectre, invece, verrà rilasciato un aggiornamento di Safari che sarà in grado di difendere l'utente contro possibili exploit che sfrutti queste vulnerabilità.

Come possiamo proteggerci?

Ancora una volta, la nostra raccomandazione è di utilizzare solo software ufficiali, aggiornati all'ultima versione e di implementare le soluzioni di sicurezza. 

1) verificate di usare un antivirus supportato durante l'installazione di aggiornamenti di sistema o firmware;

2) scaricate ed applicate tutti gli aggiornamenti di sistema che stanno rilasciando i costruttori, inclusi quelli di sicurezza di gennaio 2018, sul proprio computer o smartphone; assicuratevi anche che ne vengano rilasciati anche per i propri oggetti connessi. Ciascun produttore ha approntato pagine e strumenti online in cui sintetizza, prodotto per prodotto, cosa sarebbe necessario fare con i link agli aggiornamenti.

3) applicate l'aggiornamento firmware fornito dal produttore del dispositivo in uso.

Gli effetti dell'applicazione di queste patch potranno tuttavia avere importanti conseguenze negative sulle performance del sistema, portando a rallentamenti che si stimano essere compresi tra il 5 e il 30% in base allo scenario considerato.

Nel frattempo è stato creato un sito "FAQ" chiamato Meltdown and Spectre, raggiungibile dai link meltdownattack.com che da spectreattack.com in cui si possono apprendere ulteriori informazioni.

Per concludere.

Se avete dubbi o bisogno di supporto, potete contattarci via email o inserendo un commento a questo articolo: vi risponderemo! In ogni caso, se non siete esperti, affidatevi ad un supporto tecnico affidabile e competente.

Se questo articolo ti è stato utile, faccelo sapere: inserisci un commento o condividi l'articolo! Aiuterai anche altri utenti ad avere le idee più chiare e a sapere come difendersi senza farsi prendere dal panico!

Torna alle news

Se questo post ti è piaciuto, faccelo sapere!

Inserisci un nuovo commento

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe