Il problema della vulnerabilità dei chip richiede ancora tempo per essere risolto e questo ritardo espone a rischi seri una serie di prodotti, dai server ai telefoni.
di Martin Giles
Quando, a maggio di questo anno, Intel e un gruppo di ricercatori che si occupano di sicurezza hanno rivelato l’esistenza di nuove vulnerabilità nelle vecchie generazioni dei microchip dell’azienda, la notizia è stata accompagnata da un dettaglio particolarmente preoccupante: ci è voluto più di un anno per trovare una soluzione a uno dei difetti. I ricercatori dicono di aver allertato Intel di questa falla, che hanno soprannominato ZombieLoad, nell’aprile 2018, ma una soluzione è arrivata solo nel mese scorso.
A confronto, le aziende di software impiegano in genere non più di 90 giorni per rilasciare patch dopo che una vulnerabilità è stata rilevata nel loro codice. Più a lungo si evita di intervenire su una vulnerabilità, maggiore è la possibilità che un hacker la scopra. Spesso, i difetti dell’hardware sono molto più costosi e difficili da risolvere rispetto ai problemi del software. Questa difficoltà espone a rischi di hackeraggio una lunga serie di apparecchiature, dai server nei data center ai tablet, ai telefoni cellulari.
La pressione per una soluzione più rapida del problema è cresciuta dall’inizio del 2018, quando i dettagli di due vulnerabilità, rispettivamente Spectre e Meltdown, sono stati divulgati prematuramente. In genere, la falla viene tenuta nascosta mentre l’azienda lavora su una soluzione in modo che i malintenzionati non siano consapevoli della sua esistenza.
Quindi, una volta che una correzione è pronta, l’azienda lancia una campagna pubblicitaria per convincere gli utenti ad applicarla il più rapidamente possibile. Questo processo, noto come divulgazione coordinata di vulnerabilità (CVD), funziona piuttosto bene per l’applicazione di patch software, che in genere richiede tempi brevi. Ma si possono presentare situazioni più complesse.
Una famiglia di chip può contenere dozzine di versioni, ognuna delle quali utilizza un software operativo, vale a dire un microcodice su misura. La correzione delle falle richiede l’aggiornamento del microcodice per ogni versione. Sono previsti anche aggiornamenti ai sistemi operativi, il che significa che i produttori di chip devono lavorare a stretto contatto e in segreto con altre aziende per garantire che il loro microcodice revisionato si accordi con altri software prima che venga implementata una soluzione.
Dalla scoperta di Spectre e Meltdown, l’industria dei chip ha apportato sostanziali miglioramenti al processo CVD. Bryan Jorgensen, responsabile della sicurezza del prodotto per Intel, afferma che la sua azienda ha trovato il modo di raggruppare gli aggiornamenti del microcodice e del sistema operativo, in modo che entrambi possano essere eseguiti contemporaneamente.
Un recente rapporto del Center for Cybersecurity Policy and Law segnala l’eventualità che, nel caso la correzione dei difetti hardware richieda più tempo della patch per il software, le aziende coinvolte nel processo CVD potrebbero essere tentate di intraprendere un’azione unilaterale per proteggere i propri clienti e i loro interessi. Ciò potrebbe far sì che le vulnerabilità vengano rese pubbliche prima che i rimedi siano completamente verificati.
Una soluzione potrebbe essere quella di trovare un accordo sui tempi per affrontare i problemi di sicurezza dell’hardware. L’industria dei semiconduttori potrebbe ora impegnarsi in un programma per stabilire tale scadenza CVD. Un’altra area di intervento fa leva sull’acquisizione di una maggiore consapevolezza dell’utente dei rischi legati all’hardware.
Lo sviluppo di correzioni software è praticamente inutile se i rimedi proposti non vengono utilizzati e la situazione è ancora più seria quando si tratta di hardware. Indicazioni semplici, come invitare gli utenti a riavviare regolarmente i loro router domestici in modo che i chip ricevano aggiornamenti software, rappresentano ancora oggi una sfida. Intel e altre aziende di chip hanno lanciato diversi programmi per indurre gli utenti a prendere coscienza dei rischi e su come affrontarli, ma sarà necessario uno sforzo ancora maggiore.
Infine, è aumentato l’impegno per eliminare i difetti di sicurezza nella progettazione di chip. Le ultime generazioni di chip in arrivo da Intel e altre aziende non sono più vulnerabili ad attacchi come ZombieLoad e Spectre, grazie ai cambiamenti introdotti nel loro modo di funzionare. Ma non si può comunque escludere il rischio che emergano nuovi tipi di vulnerabilità. Per minimizzarlo, i produttori di chip dovranno dedicare più risorse alla ricerca di punti deboli nelle nuove generazioni di chip di silicio e allo sviluppo di progetti più sicuri per i loro semiconduttori.
L’incremento di spesa in queste aree sarà doloroso per le aziende che operano in un settore altamente concorrenziale, ma ora che i chip sono incorporati in sempre più dispositivi, dai veicoli autonomi agli altoparlanti intelligenti nelle case, i costi delle falle di sicurezza sarebbero di gran lunga superiori.
(rp)
