Spectre & Meltdown spiegati alle “persone normali”

Patricia Aas di TurtleSec Norway ha lanciato una sfida alla community di cyber security:

Provate a spiegare Spectre e Meltdown alle persone comuni

Il nostro Fennel Aurora, Senior Technical Services Manager F-Secure, ha accettato la sfida. Ecco la sua spiegazione.

Computer e telefoni utilizzano molti trucchi intelligenti per eseguire le tue app più velocemente.

Un trucco è indovinare cosa succederà dopo e fare già delle cose, nel caso in cui poi le stesse accadano davvero.

È come cucinare del cibo extra nel caso in cui più persone del previsto si uniscano alla tua festa.

Se non succede, butti via l’extra.

Se succede, hai risparmiato tempo.

Le persone cattive possono scrivere app intelligenti per usare questo trucco contro di te.

Possono far sì che il tuo computer inizi a prepararsi per qualcosa che non accadrà mai, in un modo che poi si traduce in cose che non desideri.

Questo perché, a differenza degli esseri umani, i computer sono piuttosto stupidi in un certo senso.

[OK, in effetti, anche noi umani siamo perfettamente in grado di essere piuttosto stupidi, ma lo siamo in modo diverso.]

Se ti dico che mangio solo cibo a base di piombo, e potrei venire alla tua festa, non inizierai a toccare e respirare molto piombo per farmi una torta di piombo, nel caso venissi.

Se lo chiedi a un computer nel modo giusto, un computer lo farà.

Non importa se getti la torta di piombo nella spazzatura nel caso in cui non venga.

Sei già in avvelenamento da piombo.

Funziona approssimativamente allo stesso modo con Spectre/Meltdown.

Questa problematica è presente in circa il 100% dei computer e dei dispositivi mobili in tutto il mondo.

Non c’è bisogno di farsi prendere dal panico, però, è molto difficile e costoso far cuocere torte al piombo dal computer di qualcuno.

E le persone intelligenti stanno installando protezione aggiuntiva affinché sia più difficile per i cattivi far sì che il tuo telefono cucini torte di piombo.

Per chi è interessato ad approfondire ulteriormente, ecco il sito web per questi bug, insieme a documenti tecnici dettagliati.

Leggere questo genere di cose e fermarsi a cercare concetti a te nuovi è un ottimo modo per trasformarti in un esperto, se è quello che vuoi.

Si noti che la ragione di questa sfida è che Spectre/Meltdown è uno degli exploit di sicurezza più complessi e difficili da comprendere degli ultimi anni, e noi della sicurezza informatica siamo notoriamente pessimi nello spiegare le cose a chiunque sia al di fuori della nostra piccola bolla.

Questo tipo di sfida è un esercizio importante che vale la pena praticare per noi che vogliamo proteggere le “persone normali” dalle minacce alla sicurezza.

Non solo scopri dove non capisci abbastanza bene il concetto da solo, ma farti capire è anche una necessità per aiutare a proteggere la tua famiglia, i tuoi amici e la tua comunità.