UN TERREMOTO nel mondo dell’hi-tech. Intel, Amd e Arm, i tre colossi (i primi due americani, il terzo britannico) che sono il sinonimo di microchip a livello globale, sono corsi ai ripari per porre rimedio a una grave falla nei sistemi di sicurezza di tutti i processori, cioè le apparecchiature da cui dipendono i pc prodotti negli ultimi 10 anni. La grave falla potrebbe essere sfruttata dagli hacker per introdursi nei sistemi criptati dei big dell’hi-tech e ottenere informazioni riservate come password e un certo numero di dati sensibili. Al momento non sembra che i pirati informatici si siano avvantaggiati di queste vulnerabilità.  Amd sta lavorando ai chip dei server e dei pc, Intel anche a quelli mobile che in parte produce, Arm a quelli degli smartphone e dei tablet. A scoprirlo, l’anno scorso, sono stati i ricercatori del Google Project Zero, che hanno informato i costruttori e gli sviluppatori dei sistemi operativi (Microsoft, Apple, Linux).

Intel in una nota ha sostanzialmente minimizzato i rischi per gli utenti: la vulnerabilità “non ha il potenziale di corrompere, modificare o eliminare dati”. “Non è un problema che riguarda un’unica compagnia”, rivela Steve Smith, esperto di Intel, “ma di approccio generale”. “Se Intel, Amd and Arm sono colpite”, spiega al Financial Times Beau Woods, che si occupa di cyber sicurezza della Atlantic Council, “stiamo parlando di qualcosa che riguarda il sistema che gestisce i computer prodotti nel mondo da 10 anni a questa parte”. E anche qualche smartphone o tablet. Intel ha fatto sapere di star lavorando a mutamenti che riguardano una combinazione di hardware e software per risolvere il problema. Ieri sera Forbes aveva rivelato che il “patch” (in inglese “rattoppo/aggiornamento”) potrebbe rallentatare le performance della Cpu (il cuore dei computer) tra il 5 ed il 30%. Naturalmente nei computer che usano i microchip interessati.

Forbes alimenta anche un sospetto: che i vertici di Intel sapessero da tempo del difetto e cita il caso dell’Ad della società, Brian Krzanich, che a metà dicembre possedeva 495.743 azioni della di Intel e all’improvviso ha venduto tutte quelle possibili, restando con le sole 250.000 che è obbligato per statuto a possedere. Alla fine di novembre – quando già sapeva delle vulnerabilità che potrebbero essere sfruttate da hacker – l’ad di Intel avrebbe venduto titoli del suo gruppo con una plusvalenza di circa 25 milioni di dollari. Un portavoce dell’azienda ha spiegato che la cessione di titoli non ha nulla a che fare con il problema alla sicurezza dei suoi chip. Stando a documenti depositati presso la Securities and exchange commission, la vendita di titoli Intel da parte di Krzanich era parte di un piano creato un mese prima della vendita stessa e in base al quale la cessione di titoli avviene con una tempistica predeterminata in modo da non portare ad accuse di insider trading. Il punto è che le falle furono segnalate a Intel e ai rivali lo scorso giugno.

Nel dettaglio, gli esperti hanno scoperto due falle diverse. La prima, battezzata “Meltdown”, interessa Intel ed è stata individuata in modo indipendente da tre gruppi di ricercatori (il Politecnico austriaco di Graz, la società tedesca di sicurezza informatica Cerberus e il Project Zero di Google), mentre la seconda, “Spectre”, coinvolge sia Intel che Arm e Amd, ha due varianti ed è stata svelata dal team di Google.

Tutte le falle hanno a che fare con la cosiddetta “esecuzione speculativa”, una funzionalità con cui i processori, per velocizzare le operazioni, cercano di intuire quale strada tra due possibili è più probabile che venga presa, iniziando quindi a eseguire i calcoli prima di ricevere le istruzioni.  Secondo la società, comunque, “per i normali utenti di computer l’impatto sulle performance non dovrebbe essere significativo e sarà mitigato nel corso del tempo”.

“Questo baco (errore) è nella progettazione hardware di una funzionalità presente praticamente in tutti i processori Intel”, spiega Paolo Prinetto, presidente del Cini, consorzio interuniversitario nazionale per l’informatica. “Una funzionalità tecnicamente molto complessa, ma molto importante per aumentare le prestazioni dei processori stessi. Il baco fa sì che, in alcune condizioni, sia possibile, per un utente (processo) ‘normale’, quindi senza particolari privilegi, accedere in modo fraudolento a informazioni che dovrebbero invece essere accessibili solo a utenti ‘privilegiati’. Queste informazioni – continua Prinetto – possono includere, a titolo di esempio, password, chiavi segrete, dati sensibili, autorizzazioni ad accedere ad altri servizi, e così via. Per quanto sappiamo al momento sembra che il baco sia non risolvibile se non modificando il progetto delle prossime versioni di processori e che lo stesso baco non sia presente nei processori prodotti dalla Amd e compatibili con quelli Intel. L’unico modo per ‘metterci una pezza’ (fare una patch) consiste nell’agire a livello software: di fatto occorre modificare tutti i sistemi operativi esistenti che usano processori Intel, in modo tale da non sfruttare più le facility messe a disposizione dall’hardware (bacato) per massimizzare le prestazioni”.

E in effetti gli aggiornamenti stanno arrivando. Microsoft ha rilasciato l’update per Windows 10, mentre quello per le versioni più vecchie del sistema operativo arriverà il 9 gennaio. Apple ha rilasciato l’aggiornamento 10.13.2 di MacOS e ha annunciato miglioramenti nel 10.3.3, Google ha reso noto di aver aggiornato Android e Chrome OS.

“La vulnerabilità è probabilmente la più grave di questi ultimi anni. Prevedo un impatto superiore a quanto affermano le cronache internazionali e le aziende coinvolte”, spiega Raoul Chiesa, esperto di sicurezza, sulla falla scoperta nei processori Intel, Arm e Amd. Secondo Chiesa “i rischi riguardano anche l’Internet delle cose, smart tv, auto di nuova generazione tra cui nuovi modelli di Bmw, Audi, Crysler, Ford, Honda, Mazda, Opel, il settore gaming”