Vulnerabilità delle CPU, Spectre e i suoi fratelli rimarranno un problema
Le vulnerabilità Spectre e tutte le loro varianti continueranno ad accompagnarci anche nei prossimi anni. A sostenerlo è un gruppo di ricercatori di Google, in un documento in cui analizzano portata e impatto degli attacchi che sfruttano l’esecuzione speculativa delle CPU per sottrarre dati sensibili.
Non solo le vulnerabilità continueranno a essere una “costante” dei microprocessori, ma le soluzioni software adottate avranno un costo prestazionale elevato. Oltre il danno però, ci sarebbe anche la beffa: secondo i ricercatori, le soluzioni software non potranno garantire protezione totale da alcune varianti di Spectre. Di conseguenza, Spectre resterà un punto fermo del panorama informatico, senza un’immediata soluzione.
Con esecuzione speculativa s’intende una tecnica per velocizzare i calcoli svolti dal microprocessore. La CPU fa delle supposizioni sui calcoli futuri e prepara già il risultato, permettendo così all’esecuzione di proseguire più spedita. Se le ipotesi si rivelano corrette, i risultati figli delle supposizioni fatte in precedenza vengono mantenuti, altrimenti vengono scartati e la CPU effettua di nuovo i calcoli.
L’esecuzione speculativa dovrebbe essere totalmente invisibile ai software in esecuzione, perciò quando un processore scarta l’ipotesi errata, in teoria è come se non fosse mai avvenuta. L’anno scorso abbiamo però visto che l’esecuzione speculativa non così invisibile e quando il processore scarta i risultati, rimangono alcune tracce. Ad esempio, la speculazione può modificare i dati contenuti nella cache del processore. I programmi possono rilevare questi cambiamenti misurando il tempo di lettura dei valori dalla memoria.
Un malintenzionato può quindi fare una speculazione sul processore in base a un valore di interesse e usare le modifiche alla cache per rivelare quale sia stato effettivamente il valore ipotizzato.
Meltdown invece consentiva a un programma maligno di estrarre dati dal kernel del sistema operativo. Subito dopo la scoperta dell’attacco, gli sviluppatori di sistemi operativi hanno apportato modifiche per nascondere la maggior parte dei dati. Intel ha inoltre rivisto i suoi processori per risolvere Meltdown, quindi le sue CPU più recenti non hanno più bisogno di attivare queste modifiche al sistema operativo.
Spectre però si è dimostrato un problema più insidioso. Sono state ideate diverse tecniche software per impedire al processore di eseguire codice sensibile in modo speculativo o limitare le informazioni divulgate mediante l’esecuzione speculativa. Quello che però i ricercatori di Google hanno riscontrato è che queste soluzioni lasciano molto a desiderare. Alcune misure, proteggono da molti attacchi ma impattano sulle prestazioni.
I ricercatori hanno fatto una prova con una versione modificata dell’engine Javascript V8 di Chrome, usando una misura che bloccava tutta la speculazione dopo il caricamento dei valori dalla memoria, rilevando un calo prestazionale tra un terzo e un quinto. Altre soluzioni hanno invece avuto un impatto minore, intorno al 10%.
Nessuna mitigazione è però stata in grado di proteggere da tutte le varianti di Spectre, quindi è necessario usare un mix di tecniche. Inoltre, con le tecniche che non possono essere usate indiscriminatamente, è difficile capire dove dovrebbero essere applicate le mitigazioni. Google, tra l’altro, è riuscita ideare un attacco della famiglia Spectre che non può sconfitto con nessuna delle tecniche di mitigazione note.
Google ritiene perciò che la protezione da Spectre non possa essere affidata solo a soluzioni software. Integrare delle mitigazioni nell’hardware è tuttavia oggetto di gran dibattito e l’abbandono dell’esecuzione speculativa non è un’opzione: è una caratteristica di ogni processore ad alte prestazioni e offre un notevole vantaggio in termini prestazionali.
Per ora, quindi, è necessario fare di necessità virtù e usare quanto disponibile, come la protezione tra i processi. Chrome, per esempio, è stato modificato per impedire al contenuto proveniente da più domini di essere svolto all’interno dello stesso processo.
