La Germania punta il dito contro Spectre Next Generation
Le nuove vulnerabilità segnalate da c't sono confermate dalla BSI, che invita i vendor e i cloud provider a intervenire
L'agenzia nazionale tedesca per la sicurezza informatica - Bundesamtes für Sicherheit in der Informationstechnik (BSI) - ha sostanzialmente confermato le vulnerabilità segnalate dal magazine tedesco c't. I test eseguiti dalla BSI, si spiega, hanno verificato che queste nuove vulnerabilità, genericamente indicate come Spectre Next Generation o Spectre-NG, permettono in teoria l'accesso a zone di memoria normalmente non accessibili e la consultazione di dati potenzialmente critici come password e chiavi di cifrature.
La BSI conferma anche che non sembrano esserci al momento exploit per queste vulnerabilità, ma anche che averle rese note (sia pure senza dettagli tecnici) potrebbe spingere qualcuno a capire come sfruttarle.
Secondo la BSI è lecito aspettarsi a questo punto, dopo casi come WannaCry e Spectre, che i vendor dell'IT agiscano in maniera più attenta di quanto visto sinora. Arne Schoenbohm, presidente della BSI, ha in particolare sottolineato che "Le necessarie misure di sicurezza devono essere esaminate da organismi indipendenti e i produttori e i provider devono aderire agli obblighi di reporting e trasparenza direttamente verso la BSI".
La BSI peraltro conferma che "una rivisitazione dei processori vulnerabili non è fattibile a breve termine" per il meccanismo stesso sfruttato dalle vulnerabilità come Spectre e Spectre-NG. E la sostituzione dei processori vulnerabili "è fattibile solo nel lungo periodo".
Dato che il massimo obiettivo possibile è minimizzare il rischio, la BSI invita in particolare i cloud provider e chi fornisce soluzioni di virtualizzazione a valutare l'impatto di Spectre-NG nelle loro infrastrutture. I problemi così evidenziati dovrebbero essere affrontati il prima possibile, per minimizzare il rischio per chi usa i servizi cloud, e i clienti devono essere informati su cosa è stato fatto e sui rischi che ancora permangono.
La BSI conferma anche che non sembrano esserci al momento exploit per queste vulnerabilità, ma anche che averle rese note (sia pure senza dettagli tecnici) potrebbe spingere qualcuno a capire come sfruttarle.
Secondo la BSI è lecito aspettarsi a questo punto, dopo casi come WannaCry e Spectre, che i vendor dell'IT agiscano in maniera più attenta di quanto visto sinora. Arne Schoenbohm, presidente della BSI, ha in particolare sottolineato che "Le necessarie misure di sicurezza devono essere esaminate da organismi indipendenti e i produttori e i provider devono aderire agli obblighi di reporting e trasparenza direttamente verso la BSI".
La BSI peraltro conferma che "una rivisitazione dei processori vulnerabili non è fattibile a breve termine" per il meccanismo stesso sfruttato dalle vulnerabilità come Spectre e Spectre-NG. E la sostituzione dei processori vulnerabili "è fattibile solo nel lungo periodo".
Dato che il massimo obiettivo possibile è minimizzare il rischio, la BSI invita in particolare i cloud provider e chi fornisce soluzioni di virtualizzazione a valutare l'impatto di Spectre-NG nelle loro infrastrutture. I problemi così evidenziati dovrebbero essere affrontati il prima possibile, per minimizzare il rischio per chi usa i servizi cloud, e i clienti devono essere informati su cosa è stato fatto e sui rischi che ancora permangono.
Notizie correlate
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
