Cybersicurezza: quali rischi si corrono con Meltdown e Spectre

(Erc-Press) – Due nuovissime vulnerabilità dei processori, chiamate Meltdown e Spectre, potrebbero dare accesso alle aree più sensibili dei nostri computer ad utenti non autorizzati, mettendo a rischio la sicurezza dei nostri dati personali. A scoprirle è stato un team di ricerca internazionale, in cui ha giocato un ruolo centrale l’Institute of Applied Information Processing and Communications dell’Università tecnica di Graz (Ut Graz), grazie a un progetto di ricerca che dal 2016 ha ricevuto un finanziamento di due milioni di euro dall’European Research Council (ERC). Ne abbiamo parlato con Stefan Mangard, titolare del finanziamento Erc che ha coordinato il team dell’Università di Graz coinvolto nella scoperta delle vulnerabilità Meltdown e Spectre.

I nostri computer sono al sicuro?

“Quello che dobbiamo considerare è che il metodo tradizionale con cui vengono progettati i processori pone tutta l’attenzione sulle perfomance, e null’altro. Per capire di cosa stiamo parlando possiamo pensare alle automobili. Inizialmente venivano progettate unicamente per essere essere sempre più veloci, mentre oggi la nostra prima preoccupazione è diventata la sicurezza. Quando parliamo di processori invece li scegliamo ancora unicamente per la loro velocità. E nella situazione attuale, in cui continuano ad aumentare gli attacchi a computer e sistemi digitali, dovremmo accettare di modificare i nostri criteri di sviluppo per privilegiare la sicurezza. Quello che mi auguro è che la scoperta di queste due vulnerabilità, Meltdown e Spectre, possa dare il via a un nuovo modo di pensare allo sviluppo dei computer.”

Ed è questo l’obbiettivo del vostro progetto Erc?

“Precisamente. L’idea principale è che dobbiamo iniziare a sviluppare computer che hanno la sicurezza come priorità fin dalle primissime fasi di progettazione. Per riuscirci serve tanta ricerca di base: dobbiamo iniziare dal principio e vedere in che modo possiamo introdurre la sicurezza nella progettazione di un computer. E la scoperta delle due vulnerabilità non fa che confermare le nostre idee. A dirla tutta, anche noi siamo rimasti estremamente sorpresi quando le abbiamo scoperte nei nostri computer, e non immaginavamo potessero essere così gravi. Non potevamo credere a quello che stava succedendo.”

C’è il rischio che si tratti solamente della punta dell’iceberg?

“È probabile che esistano altri problemi di sicurezza, ma non su ampia scala, come questi due. Il problema è che al momento sacrifichiamo la sicurezza dei processori per migliorarne le performance. Fino ad oggi tutti i sistemi sono stati ottimizzati pensando solo alle prestazioni, e ogni volta che lo fai c’è il rischio che tu stia peggiorando la sicurezza del dispositivo. Non a caso ben quattro gruppi di ricerca – tra cui noi della TU Graz – hanno scoperto Meltdown e Spectre indipendentemente. Si è trattato di un processo durato dalla metà del 2017 fino ad oggi, ed è una ricerca estremamente importante per superare le sfide della moderna tecnologia dell’informazione, un’area in cui lavorano contemporaneamente moltissimi ricercatori. Si tratta solo dell’inizio quindi: abbiamo aperto una porta da cui dobbiamo aspettarci che arrivino molte altre sorprese in futuro.”

Le due vulnerabilità possono avere conseguenze anche per la cosiddetta internet delle cose?

“Oggi c’è la tendenza a collegare ogni cosa: da un lato abbiamo i centri in cui vengono immagazzinati tutti i dati, e dall’altro i nodi sul campo che raccolgono le informazioni. Questi nodi possono includere smartphone e device per la tecnologia dell’informazione come quelli presenti nelle nostre auto. Questi dispositivi sono diventati sempre più potenti, e oggi hanno spesso anche dei processori integrati che possono subire attacchi sfruttando vulnerabilità di sicurezza come quelle che abbiamo scoperto.”

In che modo i fondi dell’Erc vi hanno aiutato a sviluppare il vostro progetto?

“Un finanziamento dell’Erc è una grande opportunità, perché ti dona un’enorme libertà nelle ricerche che porti avanti. Puoi ingaggiare un gruppo di ricercatori molto ampio, senza la necessità di scrivere dei report mensili. L’Erc permette di focalizzare i propri sforzi unicamente sugli argomenti che ci interessano, ma anche a realizzare studi ambiziosi e su ampia scala. E tutto ciò si traduce in una probabilità molto maggiore di effettuare scoperte rivoluzionarie, perché hai tutto pronto per approfondire anche una scoperta che arriva magari per pura fortuna. In questo senso Erc è una risorsa incredibile per noi ricercatori.”

Via Erc