Nessuno è immune da Spectre e Meltdown. Le due vulnerabilità a livello di microchip scovate in questo inizio 2018 da diversi ricercatori di sicurezza riguardano praticamente tutti i dispositivi elettronici prodotti negli ultimi vent’anni, come i principali colossi dell’hi-tech stanno ammettendo in queste ore. La girandola di dichiarazione è partita ovviamente da Intel, la quale ha poi chiamato in causa anche Arm e Amd (che inizialmente si era tirata fuori). E nella notte italiana ha dovuto confermare la presenza del bug nei propri device anche Apple. Cupertino ha diramato una nota ufficiale in cui spiega che “tutti i sistemi Mac e dispositivi iOs sono colpiti, ma al momento non si conoscono exploit che abbiano interessato i consumatori”. Questo perché per sfruttare le falle Spectre e Meltdow un hacker dovrebbe convincere un utente a installare un’app maligna nel sistema operativo. La Mela, così come gli altri vendor, consiglia di scaricare soltanto software proveniente da fonti sicure.
Un comportamento che, però, non sempre gli utenti seguono alla lettera. Apple ha aggiunto di aver già integrato delle soluzioni temporanee per Meltdown in iOs 11.2, macOs 10.13.2 e tvOs 11.2, mentre il Watch non è affetto dalla vulnerabilità. Diverso invece il discorso per Spectre, che coinvolge l’esecuzione di script maligni direttamente nei siti Web: facendo visitare ai naviganti delle pagine contraffatte, gli hacker potrebbero scendere direttamente a livello del kernel del processore e accedere a dati privilegiati, come le password salvate nelle macchine.
Una patch per mettere a tacere definitivamente Spectre dovrebbe arrivare da Cupertino nei prossimi giorni e interesserebbe ovviamente il browser della casa, Safari. Un discorso analogo è stato fatto da Microsoft, che questa settimana ha rilasciato i correttivi per Windows a tutti i possessori di Pc compatibili, mentre gli iscritti al fast ring del programma Windows Insider avevano già ricevuto le patch lo scorso novembre. Ma, per chiudere davvero il cerchio, servirà anche un update a livello di firmware.
Il gigante di Redmond, così come altri provider di cloud pubblico del calibro di Google e Amazon, ha inoltre pianificato delle interruzioni programmate dei propri servizi per consentire l’aggiornamento dei server, basati nella quasi totalità dei casi su chip Intel. Dei due bug scovati, infatti, uno (Meltdown) riguarda esclusivamente i prodotti della casa di Santa Clara, mentre Spectre interessa anche le soluzioni di Arm e Amd. Entrambe le vulnerabilità sono state scoperte dal team di sicurezza Google Project Zero.
La stessa Big G ha assicurato i possessori di dispositivi Android che i terminali sono già protetti, a patto che presentino gli aggiornamenti di sicurezza di gennaio. Il problema è che si tratta di una minima parte dei device, in quanto i corretti vengono distribuiti innanzitutto per i prodotti delle famiglie Nexus e Pixel e poi, molto lentamente, arrivano sui più recenti smartphone e tablet dei partner di Google.
Può consolare il fatto che, almeno per ora, Big G non abbia rilevato alcun exploit ai danni dei dispositivi Android (che si basano su processori Arm). Tutto risolto? Forse. Nell’attesa delle ultime patch – Intel ha già provveduto, collaborando con in partner Oem per coprire le Cpu introdotte negli ultimi cinque anni, si attendono ora gli update –, va detto che gli aggiornamenti potrebbero rallentare i sistemi interessati, con cali fino al 30 per cento.
Questo perché Meltdown e Spectre sfruttano una funzionalità delle Cpu più recenti, chiamata esecuzione speculativa, che migliora la velocità di calcolo consentendo ai processori di lavorare su più istruzioni alla volta, anche in un ordine diverso rispetto a quello di ingresso. Per aumentare le performance, in caso di saldo condizionato i chip sono in grado di prevedere quale delle due vie verrà seguita con maggiore probabilità e di eseguire le istruzioni richieste da quel punto.
Se l’intuizione, però, dovesse rivelarsi sbagliata, la Cpu scarterà tutti i calcoli di quella diramazione (branch). È palese come limitare questa funzionalità influisca sulla velocità di esecuzione dei processori. Teoricamente i chip con architetture Skylake e successive (quindi da agosto 2015 in poi) non dovrebbero subire cali significativi delle prestazioni. Si vedrà.
Intel nella bufera anche dal punto di vista finanziario
Nel frattempo Intel, che come abbiamo visto è per ovvi motivi l’azienda più esposta, deve difendersi anche da altre accuse, che hanno colpito direttamente il Ceo Brian Krzanich. Lo scorso novembre l’amministratore delegato ha infatti venduto azioni e stock option della società per 24 milioni di dollari. Secondo la ricostruzione di Forbes, il management dell’azienda già sapeva della vulnerabilità dei chip e aveva previsto il fisiologico calo delle azioni una volta annunciata la notizia.
Cosa puntualmente successa in queste ore: a Wall Street il titolo di Intel ha perso fino al 5,5 per cento. Il colosso di Santa Clara ha però fatto quadrato attorno al proprio Ceo, sottolineando che l’operazione di cessione di azioni di Krzanich era già stata formalmente comunicata a ottobre, in modo da evitare accuse di insider trading. Ma è molto probabile che il numero uno del gruppo sapesse già allora della vulnerabilità. La Sec, l’autorità incaricata di regolare la Borsa statunitense, al momento non si è ancora espressa sulla vicenda.