Intel: i nuovi attacchi alle CPU? Non servono nuove patch, ci sono già


Nelle scorse ore un gruppo di ricercatori della University of Virginia School of Engineering ha spiegato di aver scoperto tre nuovi attacchi alle CPU che non sarebbero coperti dalle mitigazioni in atto per Spectre e le altre varianti emerse finora. Non solo, un’eventuale patch potrebbe impattare in modo marcato sulle prestazioni di calcolo.

Ci aspettavamo la presa di posizione dei produttori di CPU, Intel in primis, e puntualmente è arrivata. L’azienda statunitense ci ha inviato una nota in cui ci fa sapere di aver analizzato le scoperte dei ricercatori e non ritiene che vi siano problemi di sicurezza tali da richiedere un intervento.

“Intel ha esaminato il report e ha informato i ricercatori che le mitigazioni esistenti non sono state aggirate e che questo scenario è affrontato dalle nostre linee guida sulla programmazione sicura. Il software che segue le nostre regole dispone già di protezioni contro i canali accidentali, incluso quello della cache micro-op. Non sono necessarie nuove mitigazioni o linee guida“.

Con regole o linee guida l’azienda statunitense fa riferimento a un metodo di scrittura del codice chiamato “constant-time programming” (programmazione a tempo costante), non vulnerabile agli attacchi side-channel.

I ricercatori dell’ateneo, tuttavia, appaiono “contenti a metà” della risposta di Intel. “Siamo d’accordo sul fatto che il software debba essere più sicuro e concordiamo come comunità sul fatto che la programmazione a tempo costante rappresenti un mezzo efficace per scrivere codice invulnerabile agli attacchi side-channel”, ha affermato Ashish Venkat, professore a capo della ricerca. “Tuttavia, la vulnerabilità che abbiamo scoperto è nell’hardware ed è importante progettare anche processori che siano sicuri e resilienti contro questi attacchi”.

“Inoltre, la programmazione a tempo costante non solo è difficile in termini di impegno da parte del programmatore, ma comporta anche un alto overhead prestazionale e significative sfide nell’implementazione legate all’aggiornamento di tutto il software sensibile. La percentuale di codice che è scritta usando i principi del tempo costante è infatti abbastanza ridotta. Farci affidamento sarebbe pericoloso. Questo è il motivo per cui dobbiamo continuare a proteggere l’hardware”, conclude Venkat.



Source link