Vulnerabilità dei dispositivi informatici (hardware)

Delle lacune di sicurezza possono essere contenute sia da programmi (software) sia da hardware. Quando dei programmi contengono delle falle, gli editori mettono a disposizione, di norma appena possibile, degli aggiornamenti che permettono di sanarle. Una rapida esecuzione degli aggiornamenti disponibili è perciò una delle misure centrali per garantire la sicurezza dei sistemi. La situazione si complica quando le lacune non concernono un software bensì la componente fisica di un computer e cioè un hardware (per esempio un microprocessore, un router o un altro dispositivo connesso). Questa problematica è stata dimostrata esemplarmente con la pubblicazione, all'inizio di gennaio 2018, delle lacune di sicurezza nominate «Spectre» e «Meltdown» che affliggono praticamente ogni microprocessore attualmente in circolazione.

Rischi e conseguenze

Le lacune di sicurezza di un hardware possono differire in termini di criticità e di facilità di sfruttamento della stessa. In alcuni casi, come in quelli «Spectre» e «Meltdown», lo sfruttamento delle lacune può permettere a un abile criminale informatico di accedere a dati confidenziali contenuti nella memoria del processore.

A livello tecnico sono ipotizzabili i seguenti scenari d'attacco:

  • Accesso a settori protetti della memoria (ad es. attraverso codice JavaScript eseguito nel contesto di un browser). Questi settori della memoria possono contenere password o chiavi di crittazione.
  • Aumento dei privilegi attraverso codice eseguito localmente
  • Accesso a una macchina virtuale (ad es. nel cloud) o ad una sandbox. Lettura di settori della memoria appartenenti ad altre istanze virtuali o addirittura all'hypervisor.

Quando viene scoperta una simile lacuna, vengono generalmente pubblicati gli aggiornamenti corrispondenti, tuttavia essi non risolvono completamente il problema, bensì tentano, per quanto possibile, di minimizzare i rischi. Se la lacuna è a livello della configurazione stessa dell'hardware, l'unica soluzione definitiva, sul lungo periodo, sarà una sostituzione di questa componente, per esempio in seguito allo sviluppo di una nuova generazione del prodotto.

Nonostante ciò l'installazione degli aggiornamenti disponibili resta una misura di sicurezza centrale. L'installazione di un update non è sempre facile e può talvolta causare dei problemi, in particolare in sistemi complessi. Gli aggiornamenti possono ad esempio avere come conseguenza un peggioramento della prestazione della componente hardware. In altri casi possono insorgere disturbi causati dall'incompatibilità con altre componenti dell'hardware o con programmi istallati nel sistema (ad esempio programmi antivirus).

Raccomandazioni

Per gli utenti:

  • Aggiornamenti regolari del sistema operativo e dei programmi. Non dimenticate di aggiornare, oltre al sistema operativo, tutti i vostri programmi e plugin (tra cui ad esempio il browser, Flash, Acrobat Reader o Quicktime). Alcuni fornitori di prodotti mettono a disposizione una funzione di aggiornamento automatico di cui si raccomanda vivamente d'approfittare.
  • Quando un programma o un plugin non viene più utilizzato è consigliabile disinstallarlo.
  • Assicuratevi di installare solo prodotti supportati da aggiornamenti di sicurezza.
  • Alcuni aggiornamenti richiedono anche un update del BIOS e del firmware. Informatevi sulle pagine web dei fornitori di sistemi operativi e dei produttori di hardware.
  • Anche quando gli aggiornamenti vengono effettuati sistematicamente, consigliamo ad ogni utente di attenersi alle regole di comportamento in materia di sicurezza: https://www.melani.admin.ch/melani/it/home/schuetzen.html

Per amministratori e dirigenti:

  • Assicuratevi di aver definito un Life Cycle Management per tutte le componenti, cosi che tutte ricevano dai rispettivi fornitori gli aggiornamenti di sicurezza necessari.
  • L'esecuzione degli aggiornamenti in un ambiente complesso non è priva di rischi (conflitti con altre componenti, problematiche legate alla prestazione). Delle verifiche preliminari permettono di accorgersi anticipatamente di eventuali difficoltà, evitando che l'aggiornamento generi più problemi di quanti ne risolva.
  • Definite un processo d'emergenza che permetta l'installazione di aggiornamenti urgenti tra le 24 e le 48 ore.
  • Le vulnerabilità in componenti hardware possono avere delle ripercussioni sui sistemi virtuali. Ad esempio una lacuna concernente un microprocessore (come nel caso di «Spectre») può permettere ad un criminale informatico di spostarsi, in alcune circostanze, sui singoli sistemi virtuali presenti sul dispositivo. Per i dati più sensibili è perciò consigliabile una segmentazione fisica.
  • Gli utenti di soluzioni cloud e le imprese che elaborano dei dati in un centro di calcolo devono accertarsi che il fornitore del cloud, rispettivamente il centro di calcolo, abbia messo in atto tutte le misure necessarie a diminuire l'impatto delle vulnerabilità. Già in fase di stipulazione del contratto si possono esigere delle garanzie rispetto alle misure prese in situazioni di questo tipo.
  • Fornitori di soluzioni di virtualizzazione devono installare gli aggiornamenti urgenti e salvare le componenti virtuali su sistemi fisici. Sviluppate strategie che permettano di dissociare i sistemi virtuali anche a livello della rete.
  • Più generalmente, la consapevolezza che lo stesso hardware presenti o possa presentare delle lacune dimostra che nessun elemento di un sistema informatico possa essere considerato come assolutamente sicuro. Una politica di sicurezza dovrà quindi essere composta da differenti misure, sia organizzative sia tecniche, così da limitare l'impatto nel caso di vulnerabilità di una componente.

Ultima modifica 12.01.2018

Inizio pagina

https://www.melani.admin.ch/content/melani/it/home/themen/hardwareluecken.html