Era il gennaio del 2018 quando commentavamo la scoperta dei ricercatori di Google riguardo due gravi vulnerabilità che affliggevano la quasi totalità dei processori in commercio. Passate alla storia come Meltdown e Spectre hanno ora dato alla luce il loro degno erede battezzato SwapGs. Parliamo di progenie perché se i primi due erano diffusi su tutti i chip prodotti a partire dalla fine degli anni Novanta, il successore è stato individuato su quelli messi in commercio dal 2012 in poi. L’annuncio è stato dato dalla società Bitdefender alla convention dedicata alla sicurezza informatica BlackHat 2019, attualmente in corso a Las Vegas.
SwapGs, come i suoi due predecessori, sfrutta la debolezza dell’elaborazione speculativa, una caratteristica introdotta nei processori per migliorarne le performance, ma che evidentemente ne ha compromesso irrimediabilmente la sicurezza. Come ho scritto in altre occasioni, per quanto complesse e difficili da sfruttare senza un adeguato livello di competenze, questo tipo di problematiche sono le più insidiose perché generate da errori di progettazione, e metterci una “pezza” è impresa titanica, talvolta impossibile, per il produttore.
Nel caso specifico a correre ai ripari è stata Microsoft, il cui sistema operativo sembra essere l’unico sensibile alla vulnerabilità, che ha rilasciato un apposito aggiornamento a luglio scorso. Ancora per qualche giorno si parlerà della gravità di questa problematica e della necessità di “ripensare” il modo di progettare i processori e più in generale tutti gli strumenti informatici. Forse sarebbe più opportuno iniziare a “pensare” che quando si costruisce qualcosa si dovrebbero tenere in considerazione non soltanto i requisiti di funzionamento (più veloce, più potente, più capiente, e via dicendo), ma anche gli altri (più stabile, più sicuro, più duraturo e via dicendo).
Si intuisce facilmente che un approccio di questo tipo non è propriamente compatibile con l’attuale filosofia di mercato, in cui i primi imperano, i secondi si adeguano oppure si tralasciano. Questo è uno dei motivi per cui faccio ormai una certa fatica a scandalizzarmi di fronte a una vulnerabilità, per quanto pervasiva. L’altro è un dato di fatto che la maggior parte dei non addetti ai lavori ignora: ogni giorno emergono nuove vulnerabilità che affliggono un pletora di sistemi, ma non arrivano agli onori delle cronache (giustamente un lettore potrebbe tediarsi leggendo sempre le stesse cose). Su questo tema, però, possiamo attenderci delle interessanti novità a breve perché la convention in cui è stata annunciato SwapGs non è finita, e tra pochi giorni ne inizia un’altra che ha sempre riservato le sorprese migliori.
Tuttavia siamo tutti pronti al “luminoso” futuro che ci aspetta, quel “Brave New World” garantito da algoritmi intelligenti e oggetti smart. Essi ci affrancheranno da tutti quei compiti tediosi che ci perseguitano: fare la spesa, ricordarci le scadenze, scegliere un programma televisivo, guidare un’auto, fare lavori ripetitivi.
Bene, adesso dobbiamo soltanto tenere presente che tutti questi sistemi si appoggiano a dei processori, e allo stato attuale essi sono realizzati sempre dagli stessi progettisti con la solita filosofia.
