La notizia non è di quelle rassicuranti: sono esposti ad attacchi esterni i chip prodotti da Intel, Arm e Amd. Cioè praticamente tutti i computer prodotti negli ultimi dieci anni. Ma anche smartphone e auto connesse. Non è tempo di smentite per Intel (la società più colpita), che dopo lo schiaffo iniziale sta provando a reagire. Prima muovendosi sul filo del lessico, poi promettendo impegno e correzioni nel più breve tempo possibile.
Partiamo quindi dalla coda: sono impegnati nel tentativo di sviluppare patch (letteralmente, di metterci un pezza informatica) i produttori di chip e gli sviluppatori di sistemi operativi (Microsoft, Apple, Linux). Ido Naor, ricercatore di Kaspersky Lab, società specializzata in cybersicurezza, ha definito la soluzione “complessa” perché riguarda l'hardware.
Non ci sono però alternative a fare in fretta, anche perché – afferma ancora Naor - “non passerà ancora molto prima che qualche malfattore inizi a sfruttare le vulnerabilità”. Intel assicura che, entro la fine della prossima settimana, dovrebbero essere garantito un livello di protezione più elevato per “il 90% dei processori prodotti negli ultimi cinque anni”.
La raccomandazione agli utenti da parte di Kaspersky Lab è chiara: “Installate immediatamente gli aggiornamenti”. Per Linux, Windows e OS X sono state emesse patch contro Meltdown (la vulnerabilità che coinvolge Intel) e si sta lavorando per rafforzare il software contro lo sfruttamento futuro di Spectre (l'altra vulnerabilità scoperta).
Subentra però un altro problema, che rappresenterebbe comunque il male minore: gli aggiornamenti potrebbero appesantire le performance dei processori, rallentandoli tra il 5 e il 30%. Intel ritiene la stima troppo severe. Nell'ultimo comunicato stampa afferma che il rallentamento “dipende dal carico di lavoro” imposto al chip e che, per un utente medio, l'impatto “non dovrebbe essere significativo”.
Kaspersky Lab ha spiegato che cosa sono e come funzionano le falle di sicurezza. “La prima, Meltdown, può rimuovere la barriera tra le applicazioni utente e le parti sensibili del sistema operativo. La seconda, Spectre, che si trova anche nei chip Amd e Arm, può indurre le applicazioni a perdere il contenuto della memoria”.
Le applicazioni installate su un dispositivo, continua la compagnia in un post pubblicato sul suo blog, funzionano generalmente in modalità utente, cioè operano lontane dalle parti più sensibili del sistema operativo. Se un'applicazione ha bisogno di accedere a un'area sensibile, ad esempio il disco, la rete o l'unità di elaborazione sottostante, deve chiedere l'autorizzazione per utilizzare la “modalità protetta”.
Un aggressore potrebbe accedere alla modalità protetta e alla memoria principale senza bisogno di autorizzazione, eliminando in modo efficace la barriera e consentendogli di sottrarre potenzialmente i dati dalla memoria delle app in esecuzione, come ad esempio i dati provenienti da gestori di password, browser, e-mail, foto e documenti. I termini utilizzati in queste righe (così come su centinaia di altre testate) vengono rifiutati da Intel.
Il gruppo afferma che “bug” e “falla” sono parole “inesatte”. Preferirebbe parlare di “exploit” cui sono soggetti “diversi produttori e sistemi operativi”. La sostanza non cambia di una virgola: c'è un problema di sicurezza basato su un difetto di progettazione, i cui confini sono ancora tutti da definire
Mentre spulcia i codici, Intel deve dare anche uno sguardo alla borsa. Il titolo ha vissuto una giornata in rosso e perso il 6% nelle ultime due sedute. Non ha certo contribuito a rasserenare le reazioni quella che (fino a prova contraria) resta una concomitanza infelice: a novembre, il ceo di Intel Brian Krzanich ha venduto azioni e opzioni per 24 milioni di dollari.
Secondo quanto ricostruito da Forbes, all'epoca il bug non era ancora di dominio pubblico ma era già a conoscenza della società. La cronologia non è stata negata dal gruppo, che però ha ribattuto affermando che l'operazione fosse già prevista e non sarebbe quindi legata alla falla. Secondo un documento della SEC, il piano sarebbe però del 30 ottobre. Una data troppo recente per dissipare ogni dubbio.