Meltdown e Spectre: i bug che stanno facendo tremare l'industria delle CPU

Meltdown e Spectre sono i nomi dati alle falle di sicurezza presenti in tutte le CPU in commercio, un problema grave e non del tutto risolvibile.

speciale Meltdown e Spectre: i bug che stanno facendo tremare l'industria delle CPU
Articolo a cura di
Alessio Ferraiuolo Alessio Ferraiuolo è cresciuto a pane, cinema e videogame. Scopre in giovane età la sua passione per la tecnologia, che lo porta a divorare tutto quello che il mercato ha da offrire, dall’hardware per PC agli smartphone, senza mai sentirsi sazio. Nel tempo libero adora suonare la chitarra, andare in palestra e guardare tonnellate di film e serie TV. Lo trovate su Google+ e su Facebook.

Quanto emerso in queste ore sul bug che vede protagonisti i processori Intel non ha precedenti. Una falla nella progettazione delle CPU della casa di Santa Clara consente infatti ai malintenzionati di entrare in possesso di informazioni sensibili custodite all'interno di un'area protetta del kernel. Basta un semplice script javascript scaricato dal web per accedere a questa importante area di memoria, dove vengono salvati, tra gli altri dati, anche le password. Un problema gravissimo, soprattutto se si pensa che tutte le CPU prodotte da Intel negli ultimi 10 anni ne sono affette, almeno secondo quanto trapelato fino a questo momento. Su questo punto non vi è certezza assoluta, come su molti altri di questa vicenda, ma andiamo con ordine e partiamo dall'inizio, ovvero dalla scoperta del problema.

L'anno zero dei microprocessori

A giugno Jann Horn, ricercatore del Google Project Zero, ha scovato il problema (in contemporanea con i tecnici di Rambus, società specializzata in sicurezza informatica), segnalandolo prontamente alle aziende interessate. Sono passati diversi mesi da allora, perché non diffondere prima la notizia quindi? Semplicemente per evitare il panico, ma soprattutto per non dare vantaggi agli hacker, che avrebbero potuto sfruttare la falla prima dell'arrivo delle patch correttive. La diffusione della notizia avrebbe dovuto avvenire il 9 gennaio, quando ormai tutti i sistemi informatici più importanti sarebbero stati pronti a chiudere eventuali attacchi. Lo scoop del The Register tuttavia ha fatto saltare ogni piano, diffondendo non poche preoccupazioni negli utenti. Ma di cosa si tratta esattamente e quali sistemi colpisce?
La falla va a colpire la speculative execution, tecnica attraverso cui i moderni processori compiono operazioni non necessarie in un dato momento ma propedeutiche all'esecuzione di possibili azioni future. Una sorta di sistema predittivo in parole povere, utile per accelerare il lavoro del processore, che utilizza però anche dati sensibili per fare le previsioni. Se queste si realizzano allora il processore ha risparmiato tempo ed esegue i compiti più velocemente, in caso contrario esegue i calcoli necessari per adattarsi alla situazione non prevista. Proprio sfruttando queste speculative execution è possibile avere accesso alla memoria di sistema, dove sono custoditi dati come password, chiavi crittografiche e altri dati sensibili.
Fino a ieri si credeva che il problema riguradasse solo le CPU Intel, ma in realtà non è così, perché un altro tipo di attacco può potenzialmente colpire tutti i sistemi, da quelli AMD fino a quelli ARM che muovono gli smartphone Android, anche se con conseguenze più o meno gravi a seconda dell'architettura. Meltdown e Spectre, nomi dati ai due bug, possono colpire infatti in modo indiscriminato apparati informatici di ogni tipo, dai datacenter ai sistemi per l'IoT. La complessità nella gestione di questa crisi è data anche dal fatto che non esiste un fix capace di debellare il problema su tutte le piattaforme, servono invece soluzioni ad hoc per ogni sistema operativo.

Meltdown e Spectre

I due bug protagonisti della vicenda colpiscono prodotti differenti. Meltdown è la falla trapelata ieri, quella che colpisce tutti i processori Intel usciti negli ultimi 10 anni. AMD quindi non è afflitta dal problema, grazie probabilmente a una differente gestione delle speculative execution. Metldown è anche il diretto interessato della patch correttiva trapelata ieri, quella che dovrebbe ridurre le prestazioni dei PC che la utilizzano. Usiamo il condizionale perché l'impatto di questa patch sulle prestazioni è reale, ma varia molto in base al contesto di utilizzo della CPU. Secondo Intel, nell'utilizzo quotidiano di un comune PC domestico l'impatto dovrebbe essere praticamente impercettibile, mentre in altre circostanze, ad esempio nel caso di richieste SQL, si potrebbe arrivare addirittura al 25% di performance in meno. A quanto sembra quindi il rallentamento dovrebbe colpire principalmente il settore business, una magra consolazione per i produttori di CPU, che potrebbero veder bussare alla loro porta i propri clienti più importanti. A nessuno piace vedere il proprio PC andare più lento di quanto dovrebbe, peggio ancora va se le macchine oggetto del problema sono centinaia, vedremo cosa accadrà in futuro ma il rischio di cause legali non è da escludere. A livello di sicurezza, buona parte dei sistemi informatici è già pronta ad affrontare eventuali minacce. Windows 10 è già sicuro ad esempio, come anche macOS e Linux, mentre Windows 8 e Windows 7 saranno aggiornati la prossima settimana.
Abbiamo detto però che Meltdown non è il solo bug scovato, esiste infatti anche Spectre, e questo colpisce tutti i processori attualmente sul mercato, da Intel ad AMD e ARM, prodotti negli ultimi venti anni. È bene precisare che, da quanto trapelato finora, Meltdown è più difficile da sfruttare per i malintenzionati. AMD ad esempio ha affermato, in uno statement ufficiale, che le possibilità di un attacco che sfrutti questa vulnerabilità è pari allo zero sui suoi processori. D'altro canto però, la complessità di questo bug è tale che una soluzione definitiva al problema non sembra esserci, o certamente una che possa funzionare su tutti i processori in commercio.
Gli elementi sono ancora pochi per capire quanto Spectre sia distruttivo e certamente nei prossimi giorni ulteriori novità in merito arriveranno. La cosa certa è che i chip maker si trovano oggi in una situazione molto complicata, che influenzerà pesantemente la progettazione dei processori dei prossimi anni. I fix software saranno utili a tamponare il problema, ma nel futuro tutti, da Intel ad AMD, passando per ARM, dovranno progettare le CPU con un occhio di riguardo maggiore nei confronti della sicurezza invece che puntare tutto sulla velocità, per evitare altre crisi di questo tipo.