Skip to main content

Microprocessori vulnerabili? Meno della tecnologia a basso costo. Il commento del prof. Colajanni

gdpr, colajanni

“L’annuncio dell’esistenza di importanti falle di sicurezza nei microprocessori dei più grandi produttori mondiali – gli americani Intel e Amd e il britannico Arm – è gravissimo. Ma se vi sono vulnerabilità in questi prodotti di fascia alta, figuratevi cosa può trovarsi nella tecnologia a basso costo, anche di provenienza asiatica, senza dubbio intrinsecamente molto più vulnerabile”. A rimarcare questo aspetto, finora sottovalutato dalle cronache, è Michele Colajanni (nella foto), professore dell’Università di Modena e Reggio Emilia, direttore della Cyber Academy e componente del Laboratorio Nazionale di Cybersecurity del Cini.

Professore, perché queste falle sono così pericolose? Cosa potrebbe accadere?
I sistemi informatici sono costituiti da molteplici livelli, dall’hardware fino alle applicazioni. Più le vulnerabilità sono in basso, più sono insidiose e più i rimedi sono complessi. La vulnerabilità dei processori Intel è gravissima sia per la sua durata decennale che implica innumerevoli prodotti immessi sul mercato sia perché la società è seria e ha al suo interno persone estremamente competenti. Quando crolla la fiducia in simili capisaldi che hanno fatto la storia dell’IT è tutto il nostro mondo che ne risente.

Se questi timori toccano compagnie considerate solide, controllate e affidabili, cosa aspettarsi da tutta la tecnologia a basso costo proveniente da mercati caratterizzati da minore trasparenza e soggetti per varie ragioni a scarsi controlli, come quello cinese?
L’unica cosa certa è che tutta la tecnologia a basso costo è certamente più vulnerabile. Non saprei se per motivi di spionaggio by design o perché la sicurezza non è proprio compatibile con il basso costo. Forse entrambe le motivazioni sono plausibili.

C’è il sospetto che proprio nell’hardware, ancor prima che nel software, possano annidarsi pericolosi bug?
Indipendentemente da questo episodio, il vero problema è la complessità di tutti i prodotti IT: l’hardware è sempre più spinto – e questa vulnerabilità ne è in qualche modo una conseguenza -, i sistemi operativi viaggiano verso cento milioni di righe di codice e le auto di fascia alta hanno numeri analoghi, le applicazioni più popolari arrivano alle decine di milioni, e Google è stimata gestire applicazioni per più di 2 miliardi di linee di codice. Francamente, l’uomo non ha strumenti per gestire tale complessità. È impossibile garantire l’assenza di errori. Fissato questo dato di fatto, ci sono altri aspetti da considerare.

Quali?
Nel mondo dell’ingegneria civile e industriale, carenze progettuali o realizzative che portano a gravi problemi di sicurezza e safety comportano responsabilità commerciali e legali, con conseguenti indennizzi. Nel mondo informatico questa cultura è lontana e forse non arriverà mai. Le aziende si sono tutelate in maniera molto intelligente: non vendono il software che rimane di loro proprietà; viene venduta la licenza di utilizzo dell’eseguibile, e dai ‘Term of Use’ è molto chiaro che ciascuno lo utilizza a proprio rischio e pericolo. Questo è anche il motivo per cui i proprietari del software possono aggiornarlo e modificarlo quando e come vogliono. Attenzione che, invece di far crescere la responsabilità del mondo informatico, è il mondo industriale più avanzato sta adottando simile approccio.

Basta cambiare regole e cultura, allora?
Serve, ma non è sufficiente. Il rischio deriva dal fatto che l’IT sta pervadendo tutto il mondo. IoT, Industria 4.0, oggetti smart sono tante definizioni per indicare la stessa cosa: componenti elettroniche, informatiche e di comunicazione inserite in prodotti, impianti, mezzi di trasporto e di controllo, sistemi sanitari. Quindi abbiamo miliardi di componenti vulnerabili per definizione a cui stiamo affidando il controllo del mondo. E non c’è alcuna ipotesi che qualcuno possa fermare questo trend.​

Come mitigare questi rischi, dunque?
Tra un prodotto certificato che costa il 20% in più e un prodotto più economico, il consumatore sceglierà sempre il secondo. Quindi, non si può riporre speranza nei consumatori anche perché non hanno alcun mezzo per valutare. La mia unica flebile speranza è riposta nei ‘grandi’: le grandi aziende, la Difesa e l’Intelligence, i grandi acquirenti come la Pubblica Amministrazione (tramite Consip), le aziende che gestiscono le infrastrutture critiche. Se questi, volontariamente o ‘stimolati’ da norme, cominciassero a pretendere e comprare solo prodotti certificati anche a un costo maggiore, si potrebbe auspicare di modificare un trend estremamente pericoloso.


×

Iscriviti alla newsletter