{"id":3226,"date":"2018-02-01T02:38:09","date_gmt":"2018-02-01T07:38:09","guid":{"rendered":"https:\/\/www.praim.com\/?p=3226"},"modified":"2023-02-02T17:27:45","modified_gmt":"2023-02-02T16:27:45","slug":"gli-ambienti-vdi-sono-vulnerabili-a-meltdown-e-spectre","status":"publish","type":"post","link":"https:\/\/www.praim.com\/it\/news\/gli-ambienti-vdi-sono-vulnerabili-a-meltdown-e-spectre\/","title":{"rendered":"Gli ambienti VDI sono vulnerabili a Meltdown e Spectre?"},"content":{"rendered":"

Mai nella storia dell’hardware moderno sono stati scoperti problemi di sicurezza cos\u00ec importanti e di cos\u00ec vasta portata come quelli sperimentati con le recenti vulnerabilit\u00e0 Meltdown e Spectre. Un potenziale che pu\u00f2 comprendere letteralmente miliardi di CPU che si trovano in altrettanti dispositivi<\/strong>. Nelle scorse settimane produttori e aziende di software si sono mossi per trovare una soluzione a questo problema, che si rivela ancora pi\u00f9 complicato in quanto esiste a livello di logica hardware.<\/p>\n

Le organizzazioni oggi sono interessate non solo a livello di infrastruttura dei server, ma anche a livello di dispositivi in dotazione all\u2019utente finale<\/strong>: per non farsi mancare nulla, anche i dispositivi di rete contengono processori vulnerabili. Il problema potrebbe essere pi\u00f9 complicato dato che quando si utilizzano architetture client\/server tradizionali tramite workstation degli utenti finali, queste dovranno essere modificate da aggiornamenti del BIOS, patch software, ecc. Ma cosa sono Meltdown e Spectre? Pensando alle infrastrutture virtuali, gli ambienti VDI sono vulnerabili? In che modo l’infrastruttura VDI protegge le organizzazioni dalle recenti minacce provenienti da logiche errate hardware nei processori?<\/p>\n

\"meltdown-e-spectre\"

Meltdown e Spectre sfruttano le funzionalit\u00e0 di \u201cesecuzione speculativa\u201d delle moderne CPU<\/p><\/div>\n

 <\/p>\n

Cosa sono Spectre e Meltdown?<\/h3>\n

Entrambi gli exploit sono basati sul un concetto logico dei processori moderni chiamato “esecuzione speculativa”<\/strong>. Con l’esecuzione speculativa, i processori cercano di indovinare le istruzioni che dovranno elaborare successivamente, e nella maggioranza dei casi riescono a indovinare le operazioni imminenti e in quale ordine devono essere eseguite. Quando l’esecuzione speculativa \u00e8 stata introdotta con i primi processori Pentium, ha fornito grandi miglioramenti nelle prestazioni rispetto ai precedenti processori che non implementavano questa tecnologia.<\/p>\n

Tuttavia, di recente, \u00e8 stato rilevato che la tecnica di esecuzione speculativa presenta difetti di sicurezza che consentono ai processi utente di compromettere la memoria protetta<\/strong>. \u00c8 stato rilevato che i processori Intel consentono ai processi durante l’esecuzione speculativa di avere accesso a questo spazio di memoria protetto, cosa che non dovrebbe mai essere consentita. Apparentemente, i processori Intel non hanno controlli di sicurezza in atto per determinare se la memoria a cui accede il processo \u00e8 ad accesso protetto o meno. La memoria protetta contiene informazioni sensibili per la sicurezza come password, chiavi crittografiche e molte altre informazioni. Con l’attacco Meltdown, l’isolamento dello spazio degli indirizzi di memoria viene “fuso”<\/strong>. Ci\u00f2 espone lo spazio protetto degli indirizzi. In questo caso i processori Intel e ARM sembrano essere interessati da Meltdown, mentre non lo sono i processori AMD.<\/p>\n

Spectre ha un approccio un po’ diverso<\/strong> riguardo lo sfruttamento del mancato controllo sull’accesso alla memoria di esecuzione speculativa. Con Spectre, l’isolamento dello spazio degli indirizzi di memoria tra varie applicazioni \u00e8 compromesso. Quindi, ad esempio, l’isolamento dello spazio degli indirizzi che dovrebbe esistere tra diverse macchine virtuali, con Spectre potrebbe essere violato. Con Spectre il numero di CPU interessate \u00e8 ancora pi\u00f9 grande poich\u00e9 include Intel, ARM e AMD.<\/p>\n

Patch software per rimediare a Meltdown e Spectre<\/h3>\n

Per liberarsi del problema, i data center aziendali e gli utenti finali dovrebbero scartare i processori attuali della CPU dei loro dispositivi e installare qualcosa di nuovo. Il problema \u00e8 che “qualcosa di nuovo”, in realt\u00e0, non esiste ancora<\/strong>. I\u00a0produttori di CPU semplicemente non hanno un nuovo processore pronto per il mercato che non contenga la vulnerabilit\u00e0.<\/p>\n

A questo punto, l’unica vera soluzione del problema \u00e8 applicare le patch del sistema operativo rilasciate dal produttore<\/strong>, che cambiano il modo in cui il sistema operativo interagisce con la memoria del kernel. Microsoft, Linux, Apple, VMware e altri hanno gi\u00e0 rilasciato patch software per affrontare la vulnerabilit\u00e0. Molte organizzazioni si stanno cimentando per identificare l’ambito delle patch necessarie e il modo migliore per implementarle. Probabilmente il processo pi\u00f9 impegnativo da prendere in considerazione per le aziende sar\u00e0 quello di correggere le workstation client, le patch del BIOS, ecc.<\/p>\n

Per quelle organizzazioni che considerano il VDI o che hanno gi\u00e0 in esecuzione ambienti VDI, ci sono certamente dei vantaggi<\/strong>.<\/p>\n

Gli ambienti VDI sono interessati da Meltdown e Spectre?<\/h3>\n

Gli ambienti VDI sono interessati in vari modi: piattaforma hardware utilizzata per connettersi all’ambiente VDI back-end, hypervisor e sistema operativo guest. Ad esempio, in molti ambienti VDI sono in esecuzione macchine virtuali Windows per le quali Microsoft ha rilasciato patch per mitigare il problema. Tuttavia, ci sono aspetti dell’architettura VDI che aiutano a mitigare gli effetti<\/strong> degli attacchi di Meltdown e Spectre. Diamo un’occhiata a quali sono.<\/p>\n

Gli ambienti VDI aiutano a mitigare gli attacchi di Meltdown e Spectre<\/h3>\n

Le soluzioni VDI offrono vantaggi architettonici precisi che possono essere d’aiuto se pensiamo in modo specifico agli exploit Meltdown e Spectre e al processo di patching necessario per rimediare alle vulnerabilit\u00e0. I principali vantaggi del VDI relativi a Meltdown e Spectre sono i seguenti<\/strong>:<\/p>\n