I super-bug delle CPU scoperti lo scorso anno continueranno a rappresentare una minaccia alla sicurezza per anni, sostengono i ricercatori di Google. Il problema va risolto a monte, cioè in hardware, e non è facile da affrontare.
Scoperti nel 2018, i bug Meltdown e Spectre hanno catalizzato buona parte dell’attenzione di utenti, commentatori ed esperti di sicurezza per via della pericolosità posta alla sicurezza delle informazioni. Ora quest’attenzione è in parte calata, ma stando a quanto sostiene uno studio recente la minaccia dei “super-bug” continuerà a incombere su PC, server e altri dispositivi che fanno uso di CPU negli anni a venire.
La nuova ricerca è opera di dipendenti Google, e analizza gli effetti di Meltdown e Spectre sia nel campo della sicurezza informatica che in quello dei linguaggi di programmazione. Se il problema di Meltdown è stato sostanzialmente risolto grazie agli aggiornamenti rilasciati dai produttori, dicono i ricercatori, le vulnerabilità di classe Spectre sembrano essere refrattarie a qualsiasi tentativo di trovare una soluzione definitiva.
I bug Spectre sono in grado di abusare di una funzionalità basilare di tutti i processori moderni nota come esecuzione speculativa, un sistema pensato per migliorare sensibilmente le prestazioni attraverso un’esecuzione non lineare – e appunto basata su “speculazioni” da parte dei circuiti logici della CPU – delle istruzioni del software caricato in memoria.
Le patch software fin qui realizzate per bloccare i bug Spectre – capaci di sfruttare l’esecuzione speculativa per compromettere dati teoricamente sicuri – non sono sufficienti, dicono da Google, e non lo saranno mai del tutto anche in futuro. Per provare la loro tesi, i ricercatori hanno ideato una nuova variante di attacco Spectre per cui non esistono soluzioni.
L’utilizzo di tutte le misure software necessarie a bloccare ogni attacco Spectre non è al momento possibile, visto che l’impatto sulle prestazioni sarebbe molto esteso e verificabile in qualsiasi scenario di utilizzo. La soluzione definitiva alle falle nell’esecuzione speculativa deve arrivare via hardware, suggeriscono i ricercatori, con innovazioni significative nella tecnologia di realizzazione dei processori che al momento ancora latitano.