Non solo programmi o sistemi operativi, ma anche i microprocessori – il “cuore” dei pc e della maggior parte delle moderne apparecchiature elettroniche – hanno mostrato delle preoccupanti falle nella sicurezza. È questo l’allarme lanciato a fine 2017 da alcuni ricercatori di Google che hanno “battezzato” il fenomeno con nomi decisamente inquietanti: “Meltdown” (collasso, disfacimento, tracollo) e “Spectre” (spettro).
Sembra essere tornati indietro vent’anni quando, alla vigilia del nuovo millennio, tecnici ed esperti annunciarono che i computer del mondo sarebbero andati in tilt l’1 gennaio 2000. Della sindrome “Millennium Bug” che ne è stato?
Ora, gli effetti di Meltdown e Spectre non sono ancora chiari. Ma questo recente episodio impone una riflessione. Siamo entrati a tutti gli effetti nell’«era dei dati» (si calcola che in Europa il trattamento dei dati digitali di qui al 2020, arriverà a 740 miliardi, pari al 4% del Pil); d’altro canto la criminalità informatica ai danni di imprese e organizzazioni si sta diffondendo sempre di più. Mentre le imprese e i professionisti sono preoccupati per la vulnerabilità dei propri sistemi informatici, questo nuovo bisogno di sicurezza può aprire nuove opportunità lavorative e far nascere nuove imprese. Non a caso uno dei settori che attirerà più investimenti dai venture capitalist nel 2018 è appunto la Cyber Security.
Perché “Meltdown” e “Spectre” sono pericolosi
Procediamo con ordine. Cosa sappiamo di queste due falle? “Meltdown” – a quanto riferiscono gli esperti – sembra al momento colpire soprattutto i chip costruiti dalla Intel (la grandissima maggioranza), e permetterebbe di aggirare la barriera fra i singoli programmi fatta dal sistema operativo, facilitando il furto dei dati. Insomma mentre i virus fino ad ora conosciuti utilizzavano le falle del sistema operativo (Windows il più colpito), ora si scende più in profondità utilizzando per la prima volta una falla del microprocessore. Per comprendere meglio: i microprocessori hanno meccanismi per velocizzare l’esecuzione dei programmi che memorizzano e in qualche modo anticipano la prossima istruzione e i relativi dati. Se inserito in un server - su cui sono in funzionamento più macchine virtuali o più istanze cloud - uno stesso microprocessore elabora contemporaneamente i dati di più utenti. Utilizzando una falla nel processore, un hacker riuscirebbe quindi ad ottenere l’accesso ai dati dei vari utenti.«È stato chiamato Meltdown perché “fonde” i confini di sicurezza normalmente imposti dall'hardware – ha spiegato il giornalista Josh Fruhlinger, su Cso online –. Sfruttando Meltdown, un hacker può utilizzare un programma in esecuzione su una macchina per accedere ai dati provenienti da quella parte di macchina che il programma normalmente non dovrebbe essere in grado di vedere, inclusi i dati appartenenti ad altri programmi e i dati ai quali solo gli amministratori dovrebbero avere accesso».
“Spectre”, invece, risulta potenzialmente ancora più grave perché riguarda tutti i fabbricanti di microprocessori.
I rischi sembrerebbero acuirsi nel caso dei dati custoditi nei server remoti, in macchine virtuali in esecuzione sulla stessa macchina fisica, e nei sistemi “cloud”, in cui è sufficiente che la vulnerabilità di un singolo sistema sia compromessa per mettere a repentaglio tutti i dati che si trovano sull’intero server. Tuttavia, per poter sfruttare queste falle occorre un livello molto alto di capacità tecnologiche, il che limita alquanto i rischi effettivi e genera un po’ di vantaggio per chi sta lavorando su soluzioni per risolvere completamente queste falle.
Sfruttando le varianti di Spectre, prosegue Josh Fruhlinger, un hacker «può fare in modo che un programma riveli alcuni dei propri dati che avrebbero dovuto essere tenuti segreti. Il nome di Spectre deriva dall’esecuzione speculativa (un chip che cerca di prevedere il futuro per lavorare più velocemente, ndr.), ma deriva anche dal fatto che sarà molto più difficile fermarsi». Se da un lato i programmatori stanno mettendo a disposizione alcune “pezze” di protezione, in futuro «verranno senza dubbio scoperti altri attacchi: questo è l’altro motivo per cui è stato scelto il nome di “Spectre”, che ci infesterà per un bel po’ di tempo».
Dati e sicurezza
Ogni giorno, ognuno di noi, produce e consuma informazioni, attraverso le connessioni da pc o da smartphone, le ricerche su internet al lavoro o nel tempo libero. Questo comporta inevitabilmente dei rischi per le imprese, per la pubblica amministrazione, per i professionisti e per i cittadini.La facilità con la quale ci scambiamo informazioni, memorizziamo indirizzi, archiviamo numeri e profiliamo comportamenti, oppure anche solo la naturalezza con cui navighiamo sul web e utilizziamo servizi cloud, non deve far dimenticare la vulnerabilità dei nostri comportamenti. Anche operazioni banali e quotidiane – come ci hanno dimostrato le scoperte su Spectre e Meltdown – possono diventare preda non solo degli hacker, ma anche dei concorrenti; i dati contenuti nei nostri server possono essere utilizzati a nostra insaputa o a nostro danno.
Secondo uno studio pubblicato recentemente da McAfee e dal think-tank Center for Strategic and International Studies (CSIS), la criminalità informatica costa 600 miliardi di dollari all’anno in tutto il mondo, una cifra che sta aumentando a causa della crescente competenza degli hacker e dell’aumento delle criptovalute. «Il digitale ha trasformato quasi ogni aspetto della nostra vita, inclusi il rischio e il crimine, quindi l’attività criminale è più efficiente, meno rischiosa, più redditizia e più facile che mai» ha spiegato Steve Grobman, esperto di McAfee, specializzato nella protezione contro gli attacchi informatici.
I big si organizzano
Alla Conferenza sulla sicurezza di Monaco, che si è svolta lo scorso 16 febbraio, nove grandi aziende di diversi settori – Airbus, Allianz, Daimler, IBM, NXP, SGS, Deutsche Telekom e Siemens – hanno siglato una “carta” (“Charter of Trust on Cybersecurity”) che sollecita una serie di azioni collettive volte a salvaguardare i sistemi digitali dai cyber attacchi. La proposta è articolata in 10 aree di intervento in materia di sicurezza informatica in cui i governi e le imprese dovrebbero entrambi recitare un ruolo attivo. Tra i suggerimenti c’è in primo luogo la richiesta che la responsabilità della cyber security sia assunta ai massimi livelli istituzionali e aziendali, con l’introduzione di un ministero dedicato nei governi e un responsabile della sicurezza delle informazioni presso le compagnie.Si richiede, inoltre, che le aziende stabiliscano certificazioni obbligatorie e indipendenti per infrastrutture e soluzioni critiche, soprattutto laddove possono verificarsi situazioni pericolose, ad esempio con veicoli autonomi o robot, che interagiranno direttamente con l’uomo durante i processi di produzione. In futuro, le funzioni di sicurezza e protezione dei dati dovranno poi, secondo il documento, essere preconfigurate come parte delle tecnologie e le normative sulla cyber sicurezza dovranno essere incorporate negli accordi di libero scambio. I firmatari della Carta richiedono infine maggiori sforzi per promuovere la comprensione della sicurezza informatica attraverso l’apprendimento e la formazione continua, nonché l’attivazione di iniziative internazionali sul tema.
Restringendo i confini all'Italia, il quotidiano Sole24Ore ha calcolato che in media un’azienda manifatturiera deve far fronte a una ventina di milioni di costi per eventuali attacchi di virus informatici, frodi e spionaggio industriale. Questo sta convincendo molte imprese a investire nella sicurezza.
E gli imprenditori
Se avete letto fino a qui dovreste aver maturato due pensieri principali. Il primo è che amiamo vivere in un mondo connesso in cui tutto è a portata di un click, ma anche che questo genera dei rischi. Il secondo è che proteggere il nostro computer con un antivirus, con aggiornamenti periodici dei nostri software, o cui un comportamento attento nella scelta di password, non è più sufficiente; la sicurezza dei nostri dati passa attraverso l’attenzione di chi ci sta intorno iniziando dal nostro gestore di rete a chi gestisce i server o chi sviluppa i nostri servizi cloud preferiti.Entrambe le riflessioni dovrebbero averci reso chiaro che indietro non si torna e grandi aziende e governi si stanno dando tanto da fare per impostare delle regole comuni poiché la sicurezza del prodotto di un’azienda è comunque legata alle accortezze di un’altra.
In termini imprenditoriali ci dobbiamo quindi aspettare una crescita della richiesta di prodotti in sicurezza promossi anche dalla legislazione in questa materia. Insomma, nuove opportunità per gli imprenditori che sapranno annusare questi bisogni e risolverli con nuovi prodotti o servizi.
I pericoli di Spectre e Meltdown, se non attentamente stimati, potranno mettere fortemente in pericolo quelle aziende che mantengono da anni prodotti informatici obsoleti, spesso in forma di virtualizzazioni e non cloud, e che rischiano di soddisfare, troppo tardi rispetto alla concorrenza, la necessità di portare la loro soluzione informatica in una nuova è più sicura tecnologia.
Tra i settori più potenzialmente a rischio ci sono quelli in cui la tecnologia ha bassa pervasività, come nei piccoli studi professionali. Qui si apriranno interessanti opportunità per giovani imprenditori che masticano cloud e sicurezza.
Per tutti noi, comuni utilizzatori di dispositivi elettronici, una consolazione può arrivare dalle grandi aziende della Silicon Valley, dove i dipendenti amano far vedere che tra loro non ci sono segreti. E’ prassi comune, per esempio, aggiungere in una conversazione via email un nuovo destinatario senza cancellare il testo dei messaggi precedenti dal corpo della mail; oppure è un fatto naturale, confidando nella discrezione dei vari interlocutori, condividere file in folder in cloud a cui accedono tutti.
Ecco, dovremmo comportarci così, consapevoli che chiunque può un po’ spiarci, e vivere senza segreti. Ci preoccuperemmo di meno.
Paolo Tomassone
