Il Messaggero, 5 gennaio 2018
Falle nei microchip, allarme sicurezza per pc e smartphone
NEW YORK Il laptop che avete sulla scrivania è con ogni probabilità malato, indebolito da un difetto strutturale che lo rende vulnerabile ad attacchi esterni. Lo stesso vale per un numero molto elevato di telefonini e di tablet costruiti e venduti negli ultimi dieci anni. Non importa chi li ha prodotti o il marchio con il quale sono stati venduti. Milioni e milioni di oggetti di comunicazione, forse miliardi, potrebbero essere in teoria penetrati da hackers in cerca delle informazioni più segrete sulla vostra persona e sui dati rilevanti della vostra vita, dal settore privato a quello finanziario.PROJECT ZERO
La fallibilità delle macchine è stata scoperta un anno fa dai ricercatori del Project Zero della Google, e da questi comunicata ai giganti della produzione di portatili e cellulari, oltre che ai tre grandi artefici di sistemi operativi: Microsoft, Apple Linux. Le aziende interessate da tempo avevano iniziato a studiare i possibili rimedi. In un normale corso di azione, i produttori dei sistemi operativi ci avrebbero proposto prima o poi uno dei frequenti upgrade che tutti scarichiamo e installiamo senza preoccuparci molto del loro contenuto, e il pacchetto avrebbe contenuto le necessarie modifiche per chiudere la falla. È solo grazie al lavoro investigativo del sito britannico di tecnologia The Register che l’allarme è venuto a galla, tra i tentativi di smentita da parte delle aziende, e le inevitabili distorsioni della realtà che circolano sulla rete.
Le ferite aperte riguardano i microchip, l’unità basilare di un computer, quindi non sono importate con l’adozione di programmi di software e non sono inserite nei CPU (unità di elaborazione centrale). Interessano invece l’architettura stessa dei processori, nelle aree più profonde dove vengono trasmessi i raw data le informazioni più segrete sulla nostra identità, in un formato che non è protetto dalla criptazione. Questa vulnerabilità è stata identificata dai tecnici delle aziende che le hanno rilevate. Gli stessi specialisti hanno poi sviluppato due strategie di attacco che potrebbero violare le architetture, e le hanno battezzate con i nomi di Meltdown e di Specter. I MALWARE
La prima può aggredire i processori Intel, superando tutte le barriere che dovrebbero proteggere il nucleo della memoria da accessi esterni. Oltre che Intel, Specter può invece attaccare anche ADM e ARM, come dire la quasi totalità dell’universo telematico. La modalità di funzionamento dei due malware disegnati in laboratorio è leggermente diversa, ma il risultato è identico. Chi riuscisse a disegnarne di simili potrebbe impadronirsi delle password e dei dati sensibili di una fetta consistente dell’umanità dei cibernauti.
Quanto tempo occorrerà per risolvere il problema? Alcuni rimedi cerotto sono già stati distribuiti dalle aziende, e incorporati dagli utenti con gli aggiornamenti di software più recenti. Ma siamo ancora molto lontani da una protezione definitiva, specialmente nel caso di Spectre, un malware disegnato per ingannare le applicazioni contenute in un portatile e indurle a rivelare dati sensibili, e molto difficile da bloccare. Meltdown è un bersaglio più facile per i tecnici della contro-pirateria cibernetica, ma la sua minaccia si estende ai sistemi cloud, e quindi interessa un volume ancora più ponderoso di dati e di profili personali. NESSUNA INFILTRAZIONE
Il numero fuori dall’ordinario di oggetti telematici a rischio è tanto alto che è impossibile pensare all’emissione di una campagna di richiamo. L’unica consolazione per i consumatori è il fatto che le maggiori aziende interessate, nei comunicati di ieri, hanno escluso finora infiltrazioni da parte di hackers e di pirati. La rivelazione è comunque un monito per l’intera società che si sta avviando verso un sicuro e progressivo trasferimento di funzioni cruciali per la nostra sicurezza nelle mani dei computer. La tranquillità e la fiducia con la quale li usiamo non è ancora a tenuta stagna, e la fretta con la quale ci stiamo avvicinando al passaggio di consegne non è ancora giustificata dai fatti.