giovedì, gennaio 04, 2018

Altre informazioni sulla catastrofe Intel


Meltdown and Spectre
Meltdown and Spectre exploit critical vulnerabilities in modern processors. These hardware bugs allow programs to steal data which is currently processed on the computer. While programs are typically not permitted to read data from other programs, a malicious program can exploit Meltdown and Spectre to get hold of secrets stored in the memory of other running programs. This might include your passwords stored in a password manager or browser, your personal photos, emails, instant messages and even business-critical documents.
...
Which systems are affected by Meltdown?
Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995.
...
Which systems are affected by Spectre?
Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.
Io spero che le previsioni siano un po' esagerate perché da quello che leggo le implicazioni sono che quasi tutti i dispositivi elettronici attualmente in uso possono concedere libero accesso a qualsiasi informazione, compresi e sopratutto i server, compresi e sopratutto i servizi "cloud" che vengono utilizzati e forniti da aziende come Amazon o Google. E' una apocalisse che al momento può essere solo "mitigata", in gergo tecnico significa che si può temporaneamente rendere più difficile l'opera ad un malintenzionato applicando delle modifiche al software, a scapito delle prestazioni ma che per essere risolta definitivamente richiede la riprogettazione delle CPU attualmente in uso e la loro sostituzione.

5 commenti:

  1. Be', qualcosa che induca a sostituire apparecchiature perfettamente funzionanti in nome di un rischio del quale la maggior parte delle persone può farsi tranquillamente un baffo mi sembra una buona esca per "agevolare la ripresa". Avrà senz'altro successo. Diversamente, nessuno ne avrebbe parlato -- guarda dove vanno i soldi per capire dove sta il mandante.

    P.S. Chi volesse spiare le mie password per leggere i tre messaggi di buon natale che ricevo all'anno, o volesse vedere le ultime foto che ho scattato una decina d'anni fa e che sono ancora immagazzinate sul mio hard disk, si accomodi pure. Appartengo alla "vecchia generazione": sul mio PC non tengo niente di vitale, continuo a considerarlo un apparecchio per il "gioco", non dico come una PlayStation, ma quasi.

    La difesa più efficace contro i ladri è evitare la generazione e l'accumulo di ricchezza.

    RispondiElimina
    Risposte
    1. No. Non hai capito la portata del fenomeno.
      Primo, qui bisogna rifare da zero tutte le CPU esistenti e buttare via tutte quelle fabbricate dal 1995 ad oggi. E' come se domani mattina si dovessero rottamare tutti i veicoli a motore costruiti dal 1920 ad oggi e reinventare il motore a scoppio.

      La cosa è ovviamente catastrofica a livello aziendale. Tutti i server impiegati per i servizi remoti di banche, aziende, università, ospedali, insomma qualsiasi cosa devono essere rimpiazzati oppure devono fare i conti con delle patch che non si sa quanto siano efficaci nel "mitigare" il problema e non si sa a che costo in termini di prestazioni.

      A livello del singolo privato, io e te, per dire, il problema è di due ordini. Primo, come saprai sono anni che ci spingono a fare tutto per via "digitale", significa che paghi le tasse via home banking, che prenoti le visite e ricevi gli esiti via Internet, che iscrivi i figli a scuola, ricevi le comunicazioni dagli insegnanti, insomma più passa il tempo e più siamo obbligati a essere sempre connessi.

      Citavo il caso della carta di identità "elettronica", tempo fa.

      Tutto questo ha tre "punti deboli", il tuo lato, quello che sta in mezzo e il lato opposto, quello a cui ti colleghi per compiere le operazioni. Per esempio la banca non si deve preoccupare solo dei dati e delle transazioni che sono dentro la sua rete ma anche del fatto che tutti i clienti sono di fatto vulnerabili, quindi banalmente NON ESISTONO operazioni "sicure".

      Insomma la faccenda mina alla radice tutto quello che ci raccontiamo da decenni.

      Elimina
    2. In altre parole stiamo dicendo che chiunque ha un dispositivo collegato non ha la possibilità di controllare il "perimetro" del dispositivo, non è responsabile ne di quello che c'è dentro ne delle operazioni che compie. INDIPENDENTEMENTE dalle cautele, dalle "buone pratiche", indipendentemente dalla "qualità" del software, eccetera.

      Io piuttosto farei un'altra osservazione.
      Queste vulnerabilità sono li da anni e anni. Solo Dio sa quanti "exploit" ci sono già in circolazione e, se tanto mi da tanto, i peggiori sono in mano alle agenzie governative.

      Se il casino esce adesso non credo sia per spingere il rinnovo del parco macchine, non serve perché si tratta di un mercato dove non esiste concorrenza e che va avanti per inerzia.

      Piuttosto penso che ci siano dietro eventi che ci vengono tenuti nascosti in cui questa vulnerabilità è già stata adoperata, su scala boh con conseguenze boh.

      Elimina
    3. L'inaffidabilità di un mezzo può essere un freno efficiente contro l'impiego troppo... ehm... "disinvolto" di quel mezzo. Se venisse fuori che questi macchinari (inizialmente impacchettati nel loro bel Cavallo di Trocia sotto forma di mezzo per divertire o per "alleggerire" le incombenze e ormai dichiaratamente strumenti di controllo e oppressione) non possono essere usati così come intendono forzarci ad usarli, per me sarebbe solo una buona notizia.

      Stiamo percorrendo la stessa strada percorsa con l'auto: i primi tempi era un lusso per pochi, poi è diventato un desiderabile "strumento di libertà", poi è diventato un obbligo attraverso il quale costringere e sfruttare. Ovviamente con tanti belletti e lustrini, perché è da quel dì che si sa che basta un poco di zucchero e la pillola va giù.

      Quelli del bicchiere mezzo pieno diranno: "ma è un percorso spontaneo, non c'è dietro intenzionalità, è il progresso". Al che rispondo: "raccontalo a un altro".

      Elimina
    4. Non so, potrebbe anche essere il contrario, adesso ci obbligano a riconfigurare tutto per rendere più facile "spiare" o "controllare" i dispositivi.

      Quando lasci la via vecchia per la nuova, sai quello che lasci e non quello che trovi.

      Comunque sulla "moda" del "digitale" avrò scritto cento post, sono il primo a fare resistenza.

      Elimina