In sintesi li potremmo definire come due nuovi virus, ma ormai è evidente che il mondo intero sta sottovalutando qualcosa di dimensioni titaniche: la più grande problematica di sicurezza informatica della storia, pronta ad esplodere da un momento all’altro e ad apportare danni inimmaginabili al mondo intero. A molti non è ancora chiaro un “dettaglio”: questa volta il problema non è software ma hardware. Cosa significa? Che è come se qualcuno, nel campo dell’automobile, avesse trovato il modo di sabotare la ruota. Meltdown e Spectre, infatti, non sono “guaribili” con degli aggiornamenti, poiché in questo caso il problema è di tipo fisico e riguarda tutti i microprocessori esistenti sul mercato, da quelli dei nostri smartphone a quelli dei super computer.
Cerchiamo di capire meglio di cosa si tratta. Qualche settimana fa è stato dato l’allarme per la scoperta di queste due nuove vulnerabilità. Sembrerebbe che, attraverso l’utilizzo di codice malevolo, da cui si può essere colpiti semplicemente navigando su siti internet infettati, i malintenzionati possano rubare dati sensibili come password, carte di credito, chiavi crittografiche, bitcoin, mail, foto, documenti o altri dati, oppure eseguire istruzioni a loro piacimento sul vostro dispositivo. Ma a problematiche di questo genere, diciamolo chiaramente, ormai abbiamo fatto il callo. La maggior parte degli utenti penserà che basterà installare qualche patch, aggiornare l’antivirus, et voilà, i due nuovi super virus finiranno nel sacco come tutti i miliardi di virus inventati fino ad oggi. No, questo caso è molto diverso, poiché Meltdown e Spectre non utilizzano bug del codice per fare danni, ma difetti fisici propri dei microprocessori. Questo, tradotto in soldoni, significa che l’unico modo per risolvere definitivamente il problema non è installare degli aggiornamenti, ma sostituire FISICAMENTE il microprocessore del proprio dispositivo.
Di quali dispositivi stiamo parlando? Reggetevi forte: praticamente il 98% di tutti i dispositivi finiti sul mercato dal 1995 ad oggi, tra cui anche i nostri smartphone Android e iOs. Infatti quello che all’inizio sembrava un problema riguardante solo i chip Intel, si è invece rivelato essere una falla “sistemica” dell’intero mercato delle CPU. Le due vulnerabilità infatti non fanno sconti a nessun sistema operativo, sono coinvolti Windows, MacOs, iOs, Android e persino Linux, da sempre considerato immune a quelli che di solito etichettiamo come virus.
Come funzionano questi due virus? Senza scendere in tecnicismi nerd, vi basti pensare che i microprocessori utilizzano delle istruzioni software chiamate “out-of-order”, che in qualche modo cercano di predire quello che state per fare. Come? Il calcolatore di un computer non resta mai a riposo, ma utilizza i “tempi morti” per fare delle scommesse su quale sarà il prossimo passo dell’utente. Questo, buona parte delle volte, fa sì che il processore anticipi dei calcoli e il sistema risulti più performante. Per fare un esempio si potrebbe pensare al microprocessore come alla cucina di una tavola calda, dove i cuochi anziché star farmi, preparano in anticipo più porzioni dei piatti più gettonati. Sia Meltdown che Spectre utilizzano una falla presente in questa funzione, che si trova in ogni dispositivo prodotto negli ultimi vent’anni.
Quali le soluzioni? In realtà la soluzione fornita dai produttori di microprocessori è più semplice di quanto si pensi: impedire al software di utilizzare quelle funzioni. Ma questo, come è facilmente intuibile, costringerà il processore ad un sovraccarico di lavoro e pertanto rallenterà il sistema. Di quanto? Secondo le stime dal 5% al 30%, in base al tipo di utilizzo che si fa del pc. Ecco quindi che tutti i produttori di sistemi operativi sono corsi ai ripari rilasciando una pioggia di patch. Tutti hanno rilasciato diversi aggiornamenti di sicurezza, ma è ovvio che bisogna assicurarsi che questi vengano poi effettivamente installati sul nostro terminale. Questa operazione è più facile per chi ha installato sul proprio pc un sistema operativo originale, decisamente meno per quelli con licenze pirata. Per Linux, ad esempio, l’aggiornamento esiste ma non è automatico, e per nulla intuitivo da installare. Ma anche i produttori di software sono corsi ai ripari, soprattutto per quanto riguarda i browser: Mozilla Firefox, Google Chrome, Apple Safari e Microsoft Edge hanno già rilasciato degli aggiornamenti di sicurezza, anche se non mancano le controindicazioni, alcuni antivirus riconoscono queste patch come un ostacolo alla sicurezza, pertanto non ne permettono l’installazione. Per Windows esiste un programma gratuito chiamato SpecuCheck, che verifica la corretta installazione degli aggiornamenti. E’ possibile scaricarlo da qui (https://github.com/ionescu007/SpecuCheck/releases).
Quali gli scenari? Gli effetti, sia quelli a breve che quelli a lungo termine sono difficili da ipotizzare. Grazie alle patch gli effetti di questi due virus verranno sicuramente arginati, ma secondo un recente studio di una importante casa di antivirus, sembra che in rete circolino già 139 esemplari di malware scritti per sfruttare queste vulnerabilità. In realtà i codici che veicolano questi virus sono già ben noti a tutte le case software che producono antivirus, quindi sono facilmente identificabili, ma non tarderanno ad arrivare sul mercato delle versioni modificate di questi malware, in grado di passare il controllo degli antivirus e sfruttare le vulnerabilità aperte da Meltdown e Spectre. Pertanto, nonostante gli aggiornamenti, nonostante non sia stato ancora identificato un malware capace di sfruttare queste vulnerabilità su larga scala, gli esperti di sicurezza consigliano la massima prudenza, suggerendo persino di spegnere il pc quando non è strettamente necessario, ma soprattutto di chiudere il browser quando ci si allontana dal computer, al fine di minimizzare la “finestra d’attacco” per i criminali informatici. Per quanto riguarda smartphone e tablet la raccomandazione è sempre la stessa, ovvero installare solo app provenienti da fonti ufficiali, come l’AppStore di Apple e il PlayStore di Google. Per quanto riguarda le prestazioni, invece, il problema per ora sembra ridimensionato. Secondo i primi benchmark seguiti alle patch Microsoft per Windows hanno confermato che non c’è nulla da temere per l’utenza domestica, d’ufficio e per gli appassionati di videogiochi. Sembra infatti che l’utente medio di un pc non dovrebbe potersene di fatto accorgersene, in quanto il rallentamento dovrebbe attestarsi circa ad un 3%. Diverso è il discorso per il settore enterprise e cloud, dove le operazioni di elaborazioni intensive su database, macchine virtuali e calcoli su sistemi distribuiti, potrebbero dare luogo ad un degrado delle performance di gran lunga più impattante.
E per le case produttrici di microprocessori? Intel è stata sicuramente la più colpita dalla scoperta delle due vulnerabilità. Come se non bastasse ora deve fare i conti con le polemiche sorte in seguito alla scoperta dei bug. Sembra infatti che Brian Krzanich, attuale CEO di Intel, abbia venduto in blocco centinaia di migliaia di azioni, pari ad un valore di circa 39 milioni di dollari, a fine novembre, poco prima della scoperta delle due vulnerabilità. Il CEO ha conservato per sé solo 250.000 azioni, ovvero quelle minime richieste dal suo ruolo dirigenziale. Qualcuno ovviamente punta il dito contro Intel, colpevole secondo gli esperti, di aver taciuto sulle falle che in realtà sarebbero state scoperte già da giugno 2017. E gli altri produttori di microprocessori? AMD afferma di essere immune a Meltdown, ma non a Spectre. Anche Qualcomm, il più grande produttore di chip per smartphone/tablet, non è immune ai due virus. Apple ha confermato che le vulnerabilità interessano tutti i dispositivi usciti sul mercato sinora basati su iOS e macOS, quindi iPhone, iPod, iPad, MacBook e iMac. Eccezione gli Apple Watch (watchOS), immuni al problema Meltdown ma non a Spectre. Gli unici microprocessori immuni, al momento, sembrerebbero le GPU Nvidia, società che produce schede grafiche. Da adesso in poi comunque, tutti i produttori hanno assicurato che verranno prodotti solo microprocessori esenti da queste due temibili vulnerabilità.
Siamo insomma di fronte all’ennesima prova di come le problematiche più importanti arrivino all’improvviso e scombinino in maniera irreversibile l’intero mondo dell’informatica, che poi è il mondo che oggi fa girare tutto, dall’economia alla medicina, dalla difesa ai nostri telefoni. Il vero millennium bug, insomma, è arrivato con qualche anno di ritardo, tutt’altro che pre-annunciato e forse ci accompagnerà per buona parte del nuovo secolo.
