Spectre e Meltdown - i nostri dati non sono mai stati al sicuro - Hydrogen Code
gennaio 5, 2018

Mentre il popolo italiano è concentrato a scannarsi su temi di fondamentale importanza (tipo il costo dei sacchetti biodegradabili e l’acidità della Klugman, nuovo giudice di Masterchef), il mondo dell’IT sta fronteggiando quella che probabilmente è la sua la più grossa crisi da anni a questa parte: Meltdown e Spectre. Si tratta di minacce informatiche ma non dei soliti virus o trojan, bensì di una serie di bachi presenti nell’hardware di Intel e AMD e ARM. Praticamente, di una buona fetta dell’hardware che usiamo quotidianamente: PC, Mac e telefoni, sia iPhone sia Android, ma potenzialmente anche molti altri dispositivi come Smart TV, sistemi di videosorveglianza, NAS e mille altri gadget tecnologici. 

L’aspetto che fa più riflettere è che questa vulnerabilità è presente da praticamente 20 anni ma solamente ora è stata scoperta dai ricercatori. Chiariamo subito che al momento non ci sono informazioni su attacchi di questo tipo ma le falle sono particolarmente gravi e potrebbero permettere a un malintenzionato di ottenere informazioni sensibili come password e numeri di carta di credito, come viene spiegato approfonditamente 

La soluzione? Inizialmente il CERT consigliava brutalmente di sostituire i processori coinvolti (un approccio drastico), ma ha successivamente rivisto la posizione specificando però l’importanza di applicare le più recenti patch di sicurezza, ove disponibili. Assicuratevi quindi di aggiornare i firmware delle piattaforme, i sistemi operativi (Windows, MacOS, Linux iOS e Android) e i browser. Occhio a quest’ultimo componente: se le ultime versioni di Edge e Firefox sono già state corrette, per Chrome bisognerà aspettare il 29 gennaio, mentre non è ancora stata annunciata una data per l’aggiornamento di Safari (atteso nei prossimi giorni). 

Sul sito di Paolo Attivissimo è stata pubblicata una breve guida con link alle patch attualmente disponibili e agli strumenti per verificare se il sistema è vulnerabile a Spectre e Meltdown.

Aggiornando tutto dovremmo essere ragionevolmente al sicuro da queste minacce, almeno in teoria. Il fatto è che se probabilmente il computer e il telefono che usiamo quotidianamente hanno già una patch disponibile, lo stesso non si può dire per i tanti dispositivi che abbiamo in casa, magari anziani ma ancora perfettamente funzionanti: non è detto che il produttore cinese della tablet Android supereconomico si prenda la briga di aggiornare il software di un prodotto di 8 anni fa, sempre che nel frattempo non sia fallito. Non c’è la necessità di farsi prendere dal panico, ma è opportuno valutare se vale la pena di sostituire i dispositivi vulnerabili, o quantomeno scollegarli da Internet, se non sono stati aggiornati per tappare queste falle. Differente il discorso per la aziende, i cui esperti IT avranno un bel da fare nei prossimi giorni per mettere in sicurezza i vari server aziendali. 

Se volete ulteriori informazioni un’ottima base di partenza è il sito dell’esperto informatico Bruce Schnider, che offre anche informazioni molto tecniche sulla questione. Prima, però, assicuratevi di aver aggiornato tutto: con la cybersecurity non si scherza.