domenica 14 gennaio 2018

Check Point, bug Spectre e Meltdown: sandbox non sono sufficienti


Intel, AMD e ARM, aziende leader del mercato mondiale dei microchip, sono corsi ai ripari per porre rimedio alle gravi vulnerabilità "Spectre" e "Meltdown", scoperte dai ricercatori del team di Google Project Zero, che agiscono a livello dell'architettura di tutti i processori presenti nei dispositivi prodotti negli ultimi 10 anni. Ma secondo le analisi condotte dal team di ricerca di Check Point Software Technologies, fornitore mondiale specializzato nel campo della sicurezza IT, è necessario un framework di sicurezza che scenda a un livello più profondo per identificare e mitigare correttamente questi attacchi.

Le vulnerabilità Spectre / Meltdown recentemente scoperte nei processori Intel, AMD e ARM, sono abbastanza complesse e riguardano punti deboli della CPU piuttosto che il sistema operativo o le applicazioni che vengono eseguite su di essa. E' importante iniziare chiarendo che, nonostante i loro due nomi, sia Spectre che Meltdown si basano essenzialmente sulla stessa osservazione. Questa osservazione è una debolezza dietro la comune applicazione della "esecuzione speculativa". Con il tasso di potenza di calcolo che raddoppia ogni due anni, gli ingegneri della CPU hanno il compito di garantire che i computer siano in grado di correre più velocemente al fine di svolgere compiti sempre più impegnativi.

Un metodo che i moderni chip utilizzano per realizzare questo compito è quello della esecuzione speculativa. Molte volte, i processori attendono che i dati siano disponibili, poiché sono più veloci della memoria e di altri input. Pertanto, al fine di rendere il processo più veloce, la CPU effettua le assunzioni e indovina il risultato di un branch point ("ramo predizione") senza avere la piena conoscenza del risultato. Se l'assunzione risulta essere corretta allora avrà l'output desiderato già a portata di mano ed esegue. Se l'ipotesi si rivela sbagliata, allora si può semplicemente ignorare quell'output senza alcun costo in termini di tempo sprecato. Questa, spiegano gli analisti di CheckPoint, è chiamata "esecuzione speculativa".

L'essenza delle due debolezze risiede quindi nella capacità dell'attaccante in grado di dedurre informazioni al di fuori dei loro confini di sicurezza, misurando i tempi coinvolti nella esecuzione speculativa. Questo è chiamato un "side channel attack". Dunque, le soluzioni di sicurezza che monitorano il livello software, come le tradizionali Sandbox, non sono in grado di rilevare questi tipi di attacchi. Il CPU Level Framework (introdotto all'interno della famiglia SandBlast Advanced Threat Prevention tre anni fa) offre visibilità al livello più basso di esecuzione del sistema, la CPU. Ciò consente di monitorare e identificare il flusso delle esecuzioni e offre un metodo solido per rilevare la deviazione dalla normale esecuzione. 

Dunque, il CPU Level Framework è in grado di rilevare anche gli exploit software più sofisticati. L'analisi di Spectre / Meltdown ha rilevato una chiara distinzione tra l'esecuzione di codice normale rispetto a quella di un codice che tenta di abusare di un'esecuzione speculativa, funzionalità che i processori con pipeline utilizzano per velocizzare le operazioni, effettuando calcoli e operazioni prima ancora che siano necessarie. Partendo da Rowhammer, che sfruttava i componenti della memoria, gli esperti di Check Point credono di essere di fronte all'arrivo di una nuova ondata di attacchi che sfruttano le vulnerabilità hardware e che richiederà ai venditori di sicurezza di offrire visibilità e controllo a livello più profondo. 

È probabile infatti che ci siano altri modi di sfruttare la CPU e l'esecuzione speculativa e gli analisti credono che ci saranno nuovi attacchi che si basano su questo stesso concetto, poiché risolvere queste criticità sarà possibile solo a livello di hardware, e quindi ci vorranno anni prima che la maggior parte del mercato sia completamente protetta. Per prevenire l'attacco, le aziende devono implementare una strategia di prevenzione sfaccettata che combina la protezione proattiva e la detenzione degli exploit più sofisticati nell'ambito della CPU. Gli utenti dovrebbero aggiornare le loro macchine con gli ultimi aggiornamenti forniti dai produttori sia a livello di sistema operativo che hardware. Per ulteriori informazioni: https://www.checkpoint.com



Nessun commento:

Posta un commento