Meltdown e Spectre

Una delle cose a cui gli appassionati di elettronica e informatica sono ormai abituati è il velocissimo susseguirsi nel tempo di parole, sigle, numeri, versioni. Tutte parole che, se pronunciate di fila davanti a qualcuno non particolarmente legato a questi mondi, fanno apparire chi parla come una sorta di nerd venuto dal futuro. Però, non sempre quelle parole dovrebbero essere così poco rilevanti per chi ascolta. Ma andiamo con ordine.

Oggi tutti abbiamo appreso che la sicurezza è una materia di primaria importanza; l’informatica non è da meno, e a ogni grossa falla scoperta si cerca di correre al riparo, ognuno con i mezzi che ha. Le grandi aziende sono dotate di team che, sotto dosi massicce di caffeina, cercano di stanare qualunque problema osservando le cose anche bit a bit. Tre team separati, in maniera indipendente l’uno dall’altro, ne hanno trovati tre.

E non riguardano, come spesso succede, “piccole caratteristiche” di prodotti usciti negli ultimi mesi, ma praticamente la maggioranza dei processori prodotti da Intel dal 1995 (si, millenovecentonovantacinque – 23 anni fa) in poi. I team coinvolti sono: Project Zero, appartenente a Google; ricercatori dell’Università Tecnica di Graz e Cyberus Technology. La falla trovata si presenta i due varianti, battezzate “Meltdown” e “Spectre”; la prima, Meltdown, è stato chiamata così perché “fonde” i limiti di sicurezza forzati dall’hardware; la seconda, Spectre, perché è basata su un problema a cui porre rimedio non sarà molto semplice e infesterà i nostri sistemi per molto tempo. Fantasia dei nomi a parte, complessivamente sia Meltdown che Spectre consentono, a chi ne fa uso, di uscire dal proprio recinto, accedere alla memoria e al sistema operativo. Volendo evitare toni apocalittici, sebbene l’arco dei prodotti coinvolti sia lunghissimo andando a coinvolgere diversi decenni, ci si può consolare nel fatto che chiunque abbia potuto cercare di porre rimedio, sembra stia cercando di farlo. Il problema, però, starebbe sia in come Intel sta gestendo la vicenda, che nei cali di prestazioni dovute all’applicazione di patch di sicurezza. Nell’ultima decina di giorni di Gennaio, il papà di Linux, Linus Torvalds, avrebbe definito le patch di Intel “spazzatura”, arrivando a dire che Intel stia facendo cose irragionevoli e senza senso… che non sono parole da prendere così alla leggera, soprattutto considerando che il mittente del messaggio non è di certo un pinco pallino qualunque e il destinatario altrettanto. Il motivo di questo pesante critica, però, riguarda i bug di cui la stessa patch fornita da Intel sarebbe affetta: riavvii inaspettati, che hanno portato Intel a chiedere ai suoi partner di non distribuirla più.

Per quanto riguarda il calo di prestazioni, sembrerebbe comunque essere proporzionale al carico e al tipo di applicazione che si esegue. Intel ha affermato che, entro l’anno, nuovi processori immuni a Meltdown e Spectre vedranno la luce. Ma anche questa non è che sia una gran bella notizia: nel frattempo ci saranno tanti consumatori che acquisteranno processori che, in ogni caso, sono fallati… oppure dovranno rivolgersi alla concorrenza, che sembrerebbe non essere affetta allo stesso modo dalle falle scoperte. Intel si trova dunque al centro del fuoco di critiche incrociate, ma c’è un aspetto della vicenda che forse meriterebbe qualche riflessione in più. Si dice che siano colpiti da Meltdown e Spectre i processori dal 1995 ad oggi: in questi decenni, sicuramente non sono stati pochi i ricercatori che hanno messo le loro mani agli strumenti per attaccare le CPU in ogni inimmaginabile maniera. Viene quindi da chiedersi: la scoperta del bug è dovuta all’affinamento delle tecniche, alla presenza di qualche sorta di genio all’interno dei team, oppure a quella che viene definita botta di fortuna? Personalmente, sono poco convinto delle prime due ipotesi. Stiamo in ogni caso parlando di Intel, e non mi sentirei di dire che un’azienda dal fatturato di oltre 50 miliardi di dollari all’anno spenda poco in ricerca.

Chi volesse avere maggiori informazioni, può consultare il sito https://meltdownattack.com/ .

Fabio Romano