Falle nelle CPU Intel e AMD: tutto quello che dovete sapere

Nei giorni scorsi si è alzato un grandissimo polverone sul presunto bug dei microprocessori di casa Intel (ma anche AMD come vedremo in seguito) prodotti negli ultimi dieci anni. Stando alle recenti notizie, le CPU Intel sembrerebbero infatti soffrire di un grave bug, il quale avrebbe richiesto una drastica modifica dei kernel di Linux e Windows.

Le patch potrebbero peggiorare le prestazioni

“Si tratta di un difetto di progettazione fondamentale nei processori Intel. I programmatori stanno revisionando il sistema di memoria virtuale del kernel Linux open-source. Nel frattempo, Microsoft dovrebbe introdurre delle modifiche su Windows in un prossimo Patch Tuesday: i nuovi cambiamenti sono stati inviati ai beta tester Windows Insider del Fast Ring a novembre e dicembre.” – The Register

Il vero problema che si sta venendo a creare è l’impatto che queste patch stanno avendo sulle prestazioni dei sistemi con chip Intel, tanto su Linux quanto su Windows. Si parla di un impatto prestazionale che oscilla tra il 5% e il 30% a seconda del compito svolto e del tipo di processore in uso.

Per risolvere il problema infatti, sembra sia necessario separare totalmente la memoria del kernel dai processi utente usando quello che è definito Kernel Page Table Isolation, o KPTI , la quale sposta il kernel in un Address Space completamente separato. Il risultato è proprio il calo di prestazioni, dato dal sovraccarico del kernel per le continue richieste di dump di dati in cache.

Microsoft, in risposta al grosso problema, ha prontamente pubblicato un fix (KB4056892) per Windows 10 che interviene sulle falle, mentre bisognerà attendere fino a martedì per gli aggiornamenti delle versioni Windows 7 e 8. NVIDIA invece, anche se non rientra nella produzione di questi Chip, ha comunque dichiarato di voler rilasciare dei driver per alleviare il problema che sta colpendo le CPU, e sembra stia inoltre preparando i fix per i suoi SoC ARM.

La risposta di Intel

Una volta notato il problema, Intel non si è fatta attendere e si è subito gettata nella maschia con un comunicato ufficiale. Stando a quanto affermato dall’azienda, sarebbero già stati rilasciati aggiornamenti software e firmware capaci di limitare i vari exploit. Stando ad Intel inoltre, l’impatto sulle prestazioni sarebbe legato esclusivamente al carico di lavoro e dunque, per un utente medio, non dovrebbero essere nemmeno percepibili eventuali rallentamenti, che comunque diminuiranno con il passare del tempo.

“Entro la fine della prossima settimana ci aspettiamo di distribuire update correttivi per oltre il 90% dei processori introdotti negli ultimi 5 anni.” – Intel

L’azienda è stata anche puntuale nell’affermare che i suoi prodotti siano i più sicuri al mondo e che queste “falle” non siano presenti esclusivamente nei suoi chip ma anche in molti altri dispositivi – con processori di aziende differenti e sistemi operativi – i quali sarebbero suscettibili a questi exploit. Tale affermazione è stata appoggiata anche da Google tramite un comunicato ufficiale.

“Queste vulnerabilità interessano molte CPU, incluse quelle di AMD, ARM e Intel, così come i dispositivi e i sistemi operativi che girano su di esse.” – Google

Meltdown e Spectre

Questi i nomi delle tre falle di sicurezza ( Meltdown presenta due varianti), le quali sono state recentemente prese in considerazione anche da colossi come Google, oltre che da AMD e ARM. Per quanto riguarda Google, è stato pubblicato un comunicato in cui vengono analizzati i gravi problemi di sicurezza causati dalla Speculative Execution, tecnica usata nei processori moderni per ottimizzare le prestazioni.

Jann Horn, ricercatore presso Google, sembra aver scoperto che tale Speculative Execution potrebbe essere sfruttata da malintenzionati per carpire informazioni sensibili quali nome utente, password e altre informazioni dalle applicazioni aperte. Il tutto è stato sperimentato grazie ad una simulazione tramite macchina virtuale, il quale ha permesso di accedere alla memoria fisica del sistema e quindi alla memoria di una macchina virtuale differente sullo stesso dispositivo.

Google ci tiene inoltre a rassicurare i propri utenti, infatti sembra che tutti i suoi sistemi abbiano ricevuto una patch di sicurezza pubblicata subito dopo la scoperta della falla. Si è parlato anche di aiuti verso altri produttori di hardware e software nell’industria, con il fine di fornire aiuto nella protezione dei loro utenti e del web in generale.

• Meltdown: Ogni processore Intel che implementa l’esecuzione out-of-order è potenzialmente affetto dal problema. Meltdown per ora è verificato solo sui processori Intel e non è quindi chiaro se i processori ARM e AMD ne siano affetti.
• Spectre: Praticamente tutti i prodotti hardware al mondo sono colpiti dal problema. Tutti i processori moderni in grado di mantenere molte istruzioni “on air” sono potenzialmente vulnerabili, è in particolare presente su processori Intel, AMD e ARM.

“Non esiste un singolo fix per tutte e tre le varianti d’attacco, ma ognuna richiede una protezione indipendente.” – Google

Problemi anche in casa Apple

Sul fronte Apple, sono arrivate ulteriori conferme sui correttivi per la vulnerabilità Meltdown con i sistemi operativi iOS 11.2, macOS 10.13.2 e tvOS 11.2, ma ulteriori fix arriveranno anche per Safari nel prossimo futuro per proteggere i propri prodotti dalla vulnerabilità Spectre. Apple ha reso noto che le vulnerabilità interessano iPhone, iPod, iPad, MacBook e iMac, ad eccezione degli Apple Watch, immuni al problema Meltdown ma non da Spectre.

“Al momento non ci sono exploit noti che possano impattare sull’esperienza utente. Consigliamo inoltre di installare software esclusivamente da AppStore” – Apple

Parlando di prestazioni, Apple ha inoltre dichiarato che nel caso di Meltdown i cambiamenti non hanno portato a una riduzione delle prestazioni di macOS e iOS. L’azienda ha effettuato dei test mirati con GeekBench 4, Speedometer, JetStream e ARES-6.

Per quanto riguarda Spectre invece, Apple parla di nessun impatto nei test Speedometer e ARES-6 e un calo del 2,5% nei benchmark con JetStream.

Risposte anche da AMD e ARM

Anche AMD ha deciso di rilasciare un comunicato ufficiale nel quale si è limitata ad informare che i ricercatori stanno lavorando sul proprio ecosistema per verificare e rispondere all’attacco identificato, sottolineando inoltre che vista la particolare architettura delle sue CPU il rischio sarebbe quasi pari a zero in questo momento.

“Il pericolo e la risposta alle tre varianti differisce dall’azienda di microprocessori, e AMD non è soggetta a tutte e tre le varianti.” – AMD

ARM invece, sembra stia collaborando attivamente con Intel e AMD per risolvere un metodo di analisi side-channel che sfrutta le tecniche di Speculative Execution usate in alcuni processori di fascia alta, inclusi alcuni Cortex-A. Questo metodo richiede che il malware giri localmente e potrebbe causare l’accesso ai dati da memoria privilegiata. I loro Cortex-M, che sono diffusi nei dispositivi IoT connessi a basso consumo, sembra non siano interessati dal problema.

Non ci è sembrato incoraggiante il commento del Computer Emergency Response Team, o CERT, il quale ha dichiarato che l’unica soluzione totalmente sicura per far fronte al problema è cambiare la propria CPU. Per ulteriori informazioni potete consultare il sito meltdownattack.com oppure spectreattack.com, i quali sono ricchi di FAQ utili per chi vuole avere un quadro semplice e completo su tutto quello che sta accadendo in questo momento.