Malgrado i proclami delle aziende hi-tech continuino a invitare alla calma, è chiaro che l’ingarbugliata situazione scatenata dalla scoperta dei bug Spectre e Meltdown sia tutto fuorché sotto controllo. Notizie e indiscrezioni continuano a circolare senza sosta a distanza di una settimana dai primi report di sicurezza che hanno permesso al mondo di conoscere le gravi vulnerabilità presenti nei dispositivi elettronici prodotti negli ultimi vent’anni, dovute a una serie di falle nelle architetture di tutti i principali chip. Cerchiamo, per quanto possibile, di riassumere e di aggiornare la situazione con le novità più importanti.
Le ammissioni di Intel
Dal Ces di Las Vegas il Ceo di Intel, Brian Krzanich, ha promesso che il 90 per cento delle patch necessarie a chiudere le falle dei propri chip degli ultimi cinque anni verrà messo a disposizione dei partner entro pochi giorni. La società di Santa Clara, finita giustamente per prima al centro dell’attenzione mediatica, ha spiegato come la “cosa migliore da fare sia applicare tutti gli aggiornamenti non appena disponibili”. L’abc della sicurezza. Intel ha inoltre deciso di rafforzare il proprio team di ricerca e sviluppo per evitare che “errori” di questo genere si verifichino nuovamente in futuro. E forse per non ritrovarsi nuovamente a fare i conti con le class action che le stanno piovendo addosso. È probabile che altri fix vengano poi sviluppati e rilasciati con più calma, in modo da risolvere quello che è un secondo grande problema spalancato da Spectre e Meltdown: l’impatto dei correttivi sui sistemi.
La querelle tra Amd e Microsoft
Sì, perché è ormai confermato che installare gli aggiornamenti comporterà un rallentamento più o meno sensibile delle prestazioni dei processori. Questo perché i bug affliggono una funzionalità delle Cpu, chiamata esecuzione speculativa, pensata per aumentare la velocità di calcolo e che ora verrà inevitabilmente “tagliata” in modo da chiudere la falla. Secondo le prime indiscrezioni, si parlava anche di riduzioni del 30 per cento. Ci ha pensato però Microsoft a fare chiarezza, grazie a una serie di benchmark che hanno portato a una sentenza praticamente definitiva: i computer più vecchi del 2015 subiranno i rallentamenti più evidenti, anche in doppia cifra percentuale. In un blog post a firma Terry Myerson, executive vice president del Windows and Devices Group, Microsoft ha spiegato che Windows 10 sui componenti più recenti (da Skylake in poi) avrà flessioni praticamente non percepibili, nell’ordine dei millisecondi.
La situazione peggiora quindi andando indietro nel tempo: le macchine Windows 10 basate su processori Haswell saranno impattate maggiormente e alcuni utenti potrebbero accorgersi dei rallentamenti, mentre i Pc con Windows 7 e 8 anteriori al 2015 daranno qualche grattacapo alla maggior parte delle persone. Lato Windows Server, infine, “in particolar modo le applicazioni ad alto tasso di input-output mostreranno un impatto maggiore sulle performance quando verrà attivata la mitigazione per isolare il codice non fidato all’interno delle singole istanze”.
Le aziende che ricorrono a server on-premise sono forse le più esposte, perché gli amministratori devono essere certi di applicare i correttivi a livello fisico, in modo da assicurare il pieno isolamento dei carichi di lavoro in esecuzione e impedire così a eventuali malintenzionati di sfruttare i bug per accedere alle aree riservate del kernel. Le imprese che si appoggiano ai servizi cloud di Microsoft sono invece al sicuro, perché il provider ha già provveduto a distribuire le patch su Azure.
Nel frattempo il colosso di Redmond ha bisticciato con Amd, i cui chip sono colpiti soltanto dal bug Spectre (Meltdown è caratteristica peculiare dei prodotti Intel), perché le patch di sicurezza rilasciate appositamente per i processori della casa californiana impedirebbero l’avvio dei computer. Un problema segnalato da molti utenti e rimbalzato in Rete, che riguarderebbe però esclusivamente alcuni modelli di Cpu meno recenti.
Si tratterebbe infatti soprattutto di piattaforme Athlon che, in seguito all’installazione dell’update Kb4056892 per il Fall Creators Update, si bloccherebbero in fase di boot. Microsoft ha quindi deciso di bloccare la distribuzione della patch, accusando però non troppo velatamente Amd di averle fornito una documentazione imprecisa in fase di sviluppo dell’aggiornamento. Le due aziende stanno comunque collaborando per sistemare la situazione e ripristinare il rilascio del correttivo. Si spera, questa volta, che tutto funzioni a dovere.
Ibm ancora in mezzo al guado
Come anticipato, le aziende sono probabilmente le più esposte alle vulnerabilità perché da un giorno all’altro si sono trovate nella situazione di dover aggiornare centinaia (o migliaia) di macchine magari anche molto datate. Non fanno eccezione i sistemi Ibm Power, per cui Big Blue ha iniziato a mettere a disposizione dei fix, con l’obiettivo di concludere il lavoro a metà febbraio. Al momento è possibile installare gli update firmware per le piattaforme Power7+ e Power8 (tramite Fixcentral), così come le patch per gli ecosistemi Linux che vengono distribuite dai partner di Ibm: Red Hat, Suse e Canonical.
Le imprese che possiedono sistemi Power9 dovranno invece attendere fino al 15 gennaio e i sistemi operativi Aix e Ibm i verranno invece messi definitivamente al sicuro il 12 febbraio. Maggiori informazioni, comunica Big Blue, saranno disponibili sul canale Product Security Incident Response Team (Psirt) del colosso statunitense. La società chiarisce comunque che i bug “non consentono ad attori non autorizzati di accedere a una macchina, ma potrebbero permettere a terzi che già possiedono i privilegi di accesso di ottenere dati riservati”.
Apple risponde con grande velocità
Dopo aver già annunciato di essere immune da Meltdown, Apple ha rilasciato gli aggiornamenti iOs 11.2.2 e macOs 10.13.2 che mirano a chiudere il baco di Spectre andando a proteggere il browser Safari e il motore di rendering Webkit. Questo perché la seconda vulnerabilità consente agli hacker di sfruttare l’esecuzione di script maligni direttamente nei siti Web: facendo visitare ai naviganti delle pagine contraffatte, i pirati informatici potrebbero scendere direttamente a livello del kernel del processore e accedere a dati privilegiati.
Nei giorni scorsi la Mela aveva spiegato di aver già integrato delle soluzioni temporanee per Meltdown in iOs 11.2, macOs 10.13.2 e tvOs 11.2, mentre Apple Watch non è affetto dalla vulnerabilità. L’ultima versione di iOs è disponibile per iPhone 5s e modelli successivi, oltre che per iPad Air e iPod Touch di sesta generazione.
E per finire Android
Google ha sottolineato che i dispositivi Android che presentano l’ultima serie di patch introdotta a gennaio sono al sicuro. Nessun problema quindi per i device Nexus 5x, Nexus 6p, Pixel C, Pixel/Xl, e Pixel 2/Xl, che rappresentano però la stragrande minoranza dei prodotti Android. I correttivi sono disponibili e si dovranno registrare ora i tempi di reazione dei partner Oem di Google e degli operatori, gli ultimi responsabili della distribuzione tramite Ota degli aggiornamenti dell’ecosistema del robottino verde.
È probabile che i dispositivi più recenti ricevano gli update a breve, ma per quelli più datati le speranze si riducono al lumicino. Si possono comunque limitare i rischi, almeno durante la navigazione, installando ad esempio la nuova versione dell’app di Firefox (57.0.4) che contiene i fix per le vulnerabilità. Google rilascerà invece il 23 gennaio Chrome 64, che conterrà tutto il necessario per risolvere la situazione.