News

Allarme Spectre: il test conferma la vulnerabilità dei nostri dispositivi

La falla sui processori che sta facendo tremare smartphone e pc di mezzo mondo continua a far parlare. Siamo riusciti a mettere alla prova il codice sorgente di Spectre e il test conferma la vulnerabilità. I dispositivi coinvolti e cosa puoi fare se ne hai uno.

22 febbraio 2018
Allarme sicurezza su pc e smartphone con sistemi operativi intel, Amd e Arm

A distanza di qualche giorno dall'allarme che ha fatto tremare i computer e smartphone di mezzo mondo, siamo tornati sull'argomento Spectre per provare a capirne di più. Lo scorso 5 gennaio, un team di ricercatori tra cui un gruppo che lavora sul Project Zero di Google, avevano scovato una grave falla nei sistemi di sicurezza di pc e smartphone che, di fatto, mette a rischio informazioni e privacy degli utenti. Dati alla mano, praticamente qualsiasi processore ad alte prestazioni realizzato da Intel, Amd e Arm negli ultimi 20 anni potrebbe essere interessato al problema. Sono particolarmente esposti i pc con i processori Intel degli ultimi 10 anni, mentre per quelli Amd non sembra esserci un rischio immediato.

Le nostre prove confermano la vulnerabilità

Subito dopo l'allarme, ci siamo mossi assieme alle altre associazioni di consumatori per tenere monitorata la situazione e testare l'efficacia dei rimedi proposti dai produttori e dagli sviluppatori dei software. Allo stesso tempo abbiamo messo alla prova il codice sorgente di Spectre per provare a riprodurre la vulnerabilità sui pc dei nostri uffici. Il risultato è stato piuttosto preoccupante: i nosti pc, come del resto tutti gli altri computer prodotti negli ultimi anni, sono risultati a rischio. La prova è stata eseguita con una semplice frase composta da 40 caratteri che, come conferma l'immagine di seguito, Spectre è riuscito a rilevare. Questo apre a scenari ben più preoccupanti: cosa succede, infatti, se un hacker dovesse riuscire a leggere da remoto credenziali, password o altri dati riservati?

Allarme sicurezza Spectre: il test conferma la vulnerabilità dei nostri dispositivi

Quali rischi comporta la falla? 

Sostanzialmente la falla permetterebbe di bypassare di fatto tutte le misure di sicurezza che isolano il software applicativo comune dal sistema operativo. Una volta che questa separazione viene violata, in pratica la macchina risulta vulnerabile agli attacchi da parte di terzi come gli hacker, con conseguenze piuttosto gravi come il furto di dati personali o altre violazioni che mettono a rischio la privacy dell'utente.

Le corse ai ripari dei colossi hi tech

La patch uscita per Windows 10 pone rimedio a Meltdown per i processori Intel. Per Spectre, invece, sempre sui processori Intel è necessario un aggiornamento del Bios del proprio pc per "mitigare" (questo è il verbo scelto da Intel) il problema. Su questo ultimo fronte, che spetta ai produttori di pc, si è visto ancora poco. Lo stesso è stato fatto da Apple per MacOS 10.13 e iOS 11.2. Le notizie sono comunque in fase di aggiornamento, al momento Google ha annunciato una soluzione per i sistemi Android che sarà contenuta nell'aggiornamento dell'Android Security in programma a gennaio 2018. Una soluzione che potrebbe risultare valida solo per i dispositivi più recenti, data l'estrema diversità di versioni del sistema operativo e di hardware, bisognerà quindi capire cosa succederà sui dispositivi più datati.

I dispositivi interessati 

Una recente nota diffusa da Intel conferma che tutta la famiglia di processori Core è interessata al problema. Questo ovviamente non esclude che anche i processori precedenti siano coinvolti. Ecco un elenco completo dei processori Intel interessati, in grassetto abbiamo indicato i sistemi più diffusi sui comuni pc:

La lista dei processori Intel vulnerabili
  • Intel® Core™ i3 processor (45nm and 32nm)
  • Intel® Core™ i5 processor (45nm and 32nm)
  • Intel® Core™ i7 processor (45nm and 32nm)
  • Intel® Core™ M processor family (45nm and 32nm)
  • Intel® Core™ processors 2nd generation
  • Intel® Core™ processors 3rd generation
  • Intel® Core™ processors 4th generation
  • Intel® Core™ processors 5th generation
  • Intel® Core™ processors 6th generation
  • Intel® Core™ processors 7th generation
  • Intel® Core™ processors 8th generation
  • Intel® Core™ processors
  • Intel® Core™ X-series Processor Family for Intel® X99 platforms
  • Intel® Core™ X-series Processor Family for Intel® X299 platforms
  • Intel® Xeon® processor 3400 series
  • Intel® Xeon® processor 3600 series
  • Intel® Xeon® processor 5500 series
  • Intel® Xeon® processor 5600 series
  • Intel® Xeon® processor 6500 series
  • Intel® Xeon® processor 7500 series
  • Intel® Xeon® Processor E3 Family
  • Intel® Xeon® Processor E3 v2 Family
  • Intel® Xeon® Processor E3 v3 Family
  • Intel® Xeon® Processor E3 v4 Family
  • Intel® Xeon® Processor E3 v5 Family
  • Intel® Xeon® Processor E3 v6 Family
  • Intel® Xeon® Processor E5 Family
  • Intel® Xeon® Processor E5 v2 Family
  • Intel® Xeon® Processor E5 v3 Family
  • Intel® Xeon® Processor E5 v4 Family
  • Intel® Xeon® Processor E7 Family
  • Intel® Xeon® Processor E7 v2 Family
  • Intel® Xeon® Processor E7 v3 Family
  • Intel® Xeon® Processor E7 v4 Family
  • Intel® Xeon® Processor Scalable Family
  • Intel® Xeon Phi™ Processor 3200, 5200, 7200 Series
  • Intel® Atom™ Processor C Series
  • Intel® Atom™ Processor E Series
  • Intel® Atom™ Processor A Series
  • Intel® Atom™ Processor x3 Series
  • Intel® Atom™ Processor Z Series
  • Intel® Celeron® Processor J Series
  • Intel® Celeron® Processor N Series
  • Intel® Pentium® Processor J Series
  • Intel® Pentium® Processor N Series

Cosa possono fare gli utenti

Mantenere i dispositivi sempre aggiornati è la cosa migliore da fare in questo momento. Se il tuo pc è vecchio e non può più essere aggiornato, ti consigliamo di evitare di utilizzarlo almeno per operazioni delicate come l'home banking. Ricordiamo che, anche se non è stato segnalato nessun attacco Spectre o Meltdown, probabilmente è solo una questione di tempo prima che qualcuno scopra come sfruttare questa falla a suo favore. In ogni caso, la motivazione principale che consente questi attacchi è insita nell'hardware stesso e quindi, a meno che non si disponga di dispositivi sostitutivi, il problema non può essere effettuvamente risolto. L'unica cosa che può essere fatta in questo momento è quella di mitigare il problema con le cosiddette patch software che tentano in qualche modo di aggirare il problema. Microsoft e Intel ne hanno già rilasciate e noi le abbiamo analizzate.

Gli aggiornamenti di Microsoft e Intel hanno risolto il problema?

Abbiamo testato l’impatto delle patch rilasciate da Microsoft e Intel su alcuni pc. L’impatto sulle prestazioni delle macchine fortunatamente è contenuto: stiamo parlando di circa un 3% di prestazioni in meno per i compiti più gravosi, mentre per il solo processo di conversione dei video i computer sono risultati sensibilmente più lenti (fino a 15% in meno).

La cattiva notizia è questa pezza risolve i problemi legati a Meltdown (uno dei due attacchi) ma contro Spectre può fare ben poco. Inoltre, mentre la patch per Windows è distribuita insieme ai consueti aggiornamenti del sistema opreativo, spetta ai produttori di pc distribuire l’aggiornamento più critico che va a interessare il processore: è altamente improbabile che i pc più vecchi di 2-3 anni vedranno mai qualcosa. Insomma, d’ora in poi bisognerà stare maggiormente attenti a tutto quello che si fa perché attualmente quasi nessuno dei pc in giro può dirsi veramente immune da Spectre.


Stampa Invia