EON

EWS

n

.

616

- FEBBRAIO 2018

20

o enterprise sia consumer.

Molto spesso, infatti, i si-

stemi embedded eseguono

un set piuttosto limitato di

funzioni, che non cambiano

praticamente quasi mai e i

dispositivi spesso non sono

progettati per permettere

l’esecuzione di codice non

verificato che possa sfrutta-

re le vulnerabilità Spectre o

Meltdown. Alcune osserva-

zioni degli esperti di

Wind

River

su questo tema sono

assolutamente condivisibili.

Una delle principali è che

l’autore di un attacco basato

su Spectre o Meltdown deve

essere in grado di eseguire

il codice sul processore. Le

due vulnerabilità infatti non

sono attacchi remoti, richie-

dono che il codice del malin-

tenzionato sia in esecuzione

sul processore e molti siste-

mi embedded sono voluta-

mente limitati sul versante

del codice da eseguire.

Ci devono essere, inoltre,

informazioni sensibili a cui

il processore può accedere,

dato che queste vulnerabilità

non possono fare altro, come

per esempio corrompere,

modificare o cancellare dati.

Se il sistema quindi non con-

tiene informazioni riservate

che possono essere utili a un

utente malintenzionato, non

esiste alcun impatto relativo

a un attacco riuscito.

Questo non significa, ov-

viamente, che il mondo dei

sistemi embedded sia im-

mune da pericoli, ma sem-

plicemente che è opportuno

effettuare un’analisi appro-

fondita sui livelli di accettabi-

lità dei rischi indotti dalle vul-

nerabilità emerse, tenendo

conto anche che le contro-

misure per risolvere questi

specifici problemi si stanno

evolvendo costantemente.

L

a notizia di vulnerabilità, chia-

mate rispettivamente “Spe-

ctre” e “Meltdown”, scoperte

recentemente nei processori

di tipo x86, sta preoccupan-

do moltissimi utenti visto l’e-

levato numero di sistemi po-

tenzialmente coinvolti.

Microsoft

precisa infatti che

i chip interessati includono

quelli prodotti da

Intel

,

AMD

e

ARM

, e che tutti i dispo-

sitivi che eseguono sistemi

operativi Windows sono po-

tenzialmente vulnerabili (per

esempio, desktop, notebo-

ok, server cloud e smartpho-

ne). Anche i dispositivi che

eseguono altri sistemi ope-

rativi, come Android, Chro-

me, iOS e macOS sono

comunque interessati da

questa problematica.

Non sono stati colpiti co-

munque proprio tutti i pro-

cessori.

Microsemi

, per

esempio, ha precisato che

i suoi prodotti, compresi gli

FPGA, non sono affetti dai

problemi di sicurezza recen-

temente scoperti, così come

i prodotti basati su architet-

tura RISC-V.

Microsoft, il 3 gennaio 2018

ha rilasciato alcuni aggior-

namenti per attenuare il

rischio legato a queste vul-

nerabilità e proteggere gli

utenti. Sono stati distribuiti

anche aggiornamenti per

proteggere i suoi servizi

cloud e i browser Internet

Explorer e Microsoft Edge.

Intel, invece, ha annunciato

di aver rilasciato degli upda-

te del firmware per il 90%

dei suoi processori introdotti

negli ultimi cinque anni e di

stare lavorando per risolvere

questi problemi anche per

gli altri suoi prodotti.

Le patch, a loro volta, hanno

suscitato ulteriori polemiche

visto che comportano un ral-

lentamento delle prestazioni

legato anche al tipo di work-

load utilizzato.

Che cosa è successo

La prima vulnerabilità, re-

lativa ai processori Intel

e identificata con la sigla

CVE-2017-5754, permette

in pratica agli hacker di otte-

nere un accesso privilegiato

a parti della memoria del

computer usata da applica-

zioni, programmi e sistema

operativo.

Spectre (le sigle identifica-

tive delle vulnerabilità sono

CVE-2017-5753 e CVE-

2017-5715) permette invece

di raggiungere le informa-

zioni nel kernel e nei file in

cache oppure nella memoria

usata per far funzionare i

programmi. Tra i dati ci pos-

sono essere, per esempio,

anche password, chiavi di

login e così via. Questa vul-

nerabilità colpisce i proces-

sori di Intel, AMD e ARM.

Il meccanismo che causa

queste vulnerabilità è quello

legato alla cosiddetta “esecu-

zione speculativa”, una tecni-

ca utilizzata da molti anni dai

microprocessori per migliora-

re le prestazioni. In pratica il

microprocessore inizia a ca-

ricare ed elaborare dati prima

che questo sia esplicitamen-

te richiesto dai programmi in

modo da ottimizzare anche

lo sfruttamento delle risorse

di elaborazione a disposizio-

ne. Questa tecnica permette

però di accedere anche a

dati che sono normalmente

isolati dal kernel per motivi di

sicurezza.

In pratica, Meltdown per-

mette a un aggressore di

accedere alla modalità pro-

tetta e alla memoria prin-

cipale senza aver bisogno

delle necessarie autorizza-

zioni, scavalcando le bar-

riere previste dal sistema,

e di sottrarre quindi le in-

formazioni dalla memoria

usata per le app in esecu-

zione, come per esempio i

dati provenienti da gestori di

password, browser, ma an-

che e-mail e documenti.

L’impatto sui sistemi

embedded

Dato che non soltanto i PC

per applicazioni office uti-

lizzano questi processori,

ma anche quelli destinati

ad applicazioni embedded,

la presenza di queste vul-

nerabilità sta assumendo

un’importanza rilevante. In

realtà, il mondo delle appli-

cazioni embedded e indu-

striali è sostanzialmente di-

verso da quello IT, sia office

Spectre e Meltdown:

vulnerabilità

che vengono da lontano

Dato che non soltanto i PC per applicazioni office utilizzano

questi processori, ma anche quelli destinati ad applicazioni

embedded, la presenza di queste vulnerabilità sta assumendo

un’importanza rilevante non soltanto per i PC per applicazioni

Office, ma anche quelli destinati ad applicazioni embedded

F

RANCESCO

F

ERRARI

A

TTUALITÀ