venerdì, gennaio 05, 2018

Tornando alla necessità degli aggiornamenti

Ecco che arriva l'onda d'urto:
Mitigations landing for new class of timing attack
Speculative execution side-channel attack ("Spectre")
Nei prossimi giorni saremo investiti da una valanga di aggiornamenti di qualsiasi cosa. Ci sono i due partiti, quelli che non vogliono aggiornare nulla e quelli che aggiornano tutto. La mia opinione la sapete, conviene aggiornare ma colgo l'occasione per rammentarvi che in questo caso siamo di fronte ad una serie di "exploit" potenzialmente catastrofici. Nel caso oggetto di questo post Mozilla rilascia una "patch" temporanea che serve a rendere solo più difficile per una pagina Web con dentro del Javascript sfruttare la tecnica "spectre" per leggere le aree di memoria che fino a poco tempo fa si consideravano "protette" e che invece non lo sono. Potenzialmente una pagina con dentro codice "malevolo" potrebbe ad esempio leggere tutte le password che inserite in Firefox o peggio, che avete memorizzato nel "password manager". Datemi retta, aggiornate.

7 commenti:

  1. Ora piango
    Io non digito una password dal 2013 e sono dipendete dal cloud...

    RispondiElimina
    Risposte
    1. Questo era un problema anche prima. La "comodità" non è gratis, c'è un prezzo da pagare. Mettiamo che tu usi un software per memorizzare le password e per pre-compilare i campi dei form, cosi non devi riscrivere ogni volta. Comodo. Ma evidentemente una falla in quel software implica non solo l'accesso a TUTTE le tue password, implica anche che in teoria si può intervenire nel momento del "log-in".

      Infatti, facci caso, le banche, consapevoli di queste falle concettuali, di solito ti danno tre chiavi, user, password e una terza chiave "fisica" che non è da nessuna parte dentro l'aggeggio che adoperi ma devi avercela in mano.

      Elimina
  2. Come ci si mette ai ripari?
    Mi è presa la paranoia e ho fatto i backup dei backup...

    RispondiElimina
    Risposte
    1. Al momento l'unica cosa che puoi fare è installare gli aggiornamenti, sopratutto quelli del Sistema Operativo, quando sono disponibili.

      Il guaio è che andranno a ridurre le performance della CPU.

      Sul lungo periodo potrai sostituire eventualmente, non si sa forse, la CPU con una nuova riprogettata per non avere queste falle.

      Il backup non è strettamente necessario perché il problema non consiste nella modifica dei file, consiste nell'accesso indiscriminato alla memoria dell'aggeggio che stai usando. Significa in altre parole che tutto quello che passa nella memoria può essere letto da un qualsiasi programma e, come sopra, la parte più critica è il "log-in". Per le aziende il problema catastrofico è che un software che gira su un server ha accesso alla memoria usata da qualsiasi altro software, anche se separato da una "macchina virtuale". Per esempio un software che gira nello "spazio" di Pippa può leggere la memoria usata dal software che gira nello "spazio" di Lorenzo.

      Elimina
  3. Grazie delle email (dell'altro giorno).

    Una cosa mi è capitata prima della fine d'anno: da Safari (ho il Mac, come ben sai) mi si sono cancellate tutte le password salvate (un lavoraccio ripristinarle).
    Ho pensato, allora, che poteva essere che avevo il disco fisso quasi pieno.
    Potrebbe invece essere stato qualche software malevolo?
    Io sono sicura che non ho cancellato le password, nè alcun altro l'ha fatto per me.

    Che ne pensi?

    Ciao (Buon Anno)

    RispondiElimina
    Risposte
    1. Penso che salvare le password sia una pessima idea.

      Non ho idea del problema, potrebbe essere qualsiasi cosa, tipo che hai cancellato o spostato qualcosa senza accorgertene, un difetto del disco che ha reso inaccessibile un settore, un bug di safari o un programma malevolo (ma scemo, perché gli conveniva stare li muto e zitto a guardare quello che fai).

      Una cosa che potresti fare che non costa molto è rinnovare tutte le password, almeno quelle dei servizi più importanti.

      Una nota fondamentale.
      Se qualcuno copia la tua password possono capitare tre cose:
      - si limita ad osservare
      - compie delle operazioni impersonando te
      - prende il controllo del servizio cambiando la password e sbattendoti fuori.

      La cosa peggiore è la terza, ovviamente, infatti di solito i servizi "seri" hanno dei meccanismi di verifica, per esempio mandano il codice di conferma per cambiare la password via SMS sul numero che gli hai indicato in precedenza, oppure in una email. Quindi fai attenzione anche a questi meccanismi, non mettere la mail di conferma (o quella di ripristino d'emergenza) sotto lo stesso servizio con la stessa password.

      Servizi che non hanno queste cautele sono da considerare "deboli", non ci fare affidamento.

      Elimina
    2. Comunque, nello specifico di questi giorni, il problema non è limitato alle password. Siamo in una condizione diversa, sostanzialmente tutto il software, compresi i sistemi operativi, si aspetta che la CPU separi la memoria in un'area "aperta" usata dai programmi e un'area "chiusa" usata dal kernel (diciamo il "supervisore" del sistema operativo). In teoria ci dovrebbe essere un cancello hardware che si apre e si chiude quando serve. Invece succede che i programmi possono forzare questo cancello e accedere alla memoria riservata al kernel e da li vedere TUTTO quello che passa. Metti che tu hai aperto un documento di un word processor e una pagina web, una funzione javascript della pagina può leggere a tua insaputa il contenuto del documento. Una cosa cosi.

      Elimina