Dall’apparizione di Meltdown la nostra sensazione di sicurezza è stata colpita duramente più volte. E per questo – forse – non ci sorprenderà apprendere dell’esistenza di bug anche in altri prodotti, in particolare di Intel.
Questa volta ad essere colpita non è una CPU, o una famiglia di CPU, ma uno standard di comunicazione: Thunderbolt.
Sviluppato insieme ad Apple, e infatti presente prevalentemente sui suoi dispositivi, questa tecnologia si pone come alternativa unica per il collegamento di dispositivi esterni. In effetti, le specifiche sono state piuttosto impressionanti fin dalla prima presentazione, soprattutto se confrontate con il diretto concorrente: USB.
Basti pensare come USB 4, rilasciato come standard ad agosto ed in via di diffusione ora, sia basato proprio su Thunderbolt 3, tanto da esserne compatibile.
Parte del segreto delle prestazioni di Thunderbolt è un accesso diretto alla memoria del sistema. Ma questo ha sempre destato qualche preoccupazione sulla sicurezza: una vulnerabilità avrebbe permesso un accesso ben più profondo (e pericoloso) di quanto concesso da USB.
E a quel momento ci siamo arrivati: Björn Ruytenberg, un ricercatore dell’università di Eindhoven, ha pubblicato le sue scoperte in un sito apposito, raggruppando 7 vulnerabilità sotto il nome di Thunderspy.
La presentazione lascia pochi dubbi sulla pericolosità della situazione:
Thunderspy is stealth, meaning that you cannot find any traces of the attack. It does not require your involvement, i.e., there is no phishing link or malicious piece of hardware that the attacker tricks you into using. Thunderspy works even if you follow best security practices by locking or suspending your computer when leaving briefly, and if your system administrator has set up the device with Secure Boot, strong BIOS and operating system account passwords, and enabled full disk encryption. All the attacker needs is 5 minutes alone with the computer, a screwdriver, and some easily portable hardware.
Thunderspy è furtiva, nel senso che non puoi trovare alcuna traccia dell’attacco. Non richiede il tuo coinvolgimento, ovvero non ci sono link di phishing né pezzetti hardware malefici per il cui uso l’attaccante ti inganna. Thunderspy funziona anche se segui le migliori pratiche della sicurezza, bloccando o mettendo in sospensione il computer quando ti allontani per poco, se il tuo amministratore ha impostato l’uso di Secure Boot, password sicure per BIOS e sistema operativo, e la criptazione totale del disco. Tutto quello di cui un attaccante ha bisogno sono 5 minuti da solo col computer, un cacciavite e qualche aggeggio facilmente trasportabile.
Si fa menzione ad un accesso fisico al computer, e di qualche manipolazione, ma anche di poco tempo necessario e dell’inutilità di tutte le altre precauzioni. Questo perché, come accennato prima, l’accesso (potenziale) sarebbe piuttosto profondo, tanto da poter raggiungere – per esempio – dati e informazioni in zone della memoria dove non sono più criptati.
Il sito è ben dettagliato, ed è disponibile spycheck, un tool per verificare la propria vulnerabilità (un po’ come spectre-meltdown-checker, che viene ancora aggiornato). Previsto per varie piattaforme, al momento sembra disponibile solo per Linux.
Le vulnerabilità sono state individuate a inizio febbraio, e come da prassi comunicate ad Intel. La quale, a detta del ricercatore, si è mossa molto lentamente, tanto da esser stato lui a informare il partner di riferimento, ovvero Apple. E passati i canonici 90 giorni, nei quali il produttore dovrebbe organizzare per pubblicare insieme problemi e soluzioni, è stato pubblicato il sito.
Intel, a questo punto, ha risposto con un post nel suo blog, nel quale – in sostanza – nega il problema: le patch di sicurezza dei sistemi operativi abbastanza recenti (diciamo degli ultimi 6 mesi) sarebbero sufficienti a mitigare quelle vulnerabilità.
La situazione non sembra del tutto chiarita, in verità, e se le vulnerabilità sono davvero insite nell’implementazione saranno presenti anche (almeno in parte) in USB 4: un bel problema. Che continueremo a seguire.
Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.
Lascia un commento