Logo ImpresaCity.it

La Germania punta il dito contro Spectre Next Generation

Le nuove vulnerabilità segnalate da c't sono confermate dalla BSI, che invita i vendor e i cloud provider a intervenire

Redazione Impresacity

L'agenzia nazionale tedesca per la sicurezza informatica - Bundesamtes für Sicherheit in der Informationstechnik (BSI) - ha sostanzialmente confermato le vulnerabilità segnalate dal magazine tedesco c't. I test eseguiti dalla BSI, si spiega, hanno verificato che queste nuove vulnerabilità, genericamente indicate come Spectre Next Generation o Spectre-NG, permettono in teoria l'accesso a zone di memoria normalmente non accessibili e la consultazione di dati potenzialmente critici come password e chiavi di cifrature.

La BSI conferma anche che non sembrano esserci al momento exploit per queste vulnerabilità, ma anche che averle rese note (sia pure senza dettagli tecnici) potrebbe spingere qualcuno a capire come sfruttarle.

Secondo la BSI è lecito aspettarsi a questo punto, dopo casi come WannaCry e Spectre, che i vendor dell'IT agiscano in maniera più attenta di quanto visto sinora. Arne Schoenbohm, presidente della BSI, ha in particolare sottolineato che "Le necessarie misure di sicurezza devono essere esaminate da organismi indipendenti e i produttori e i provider devono aderire agli obblighi di reporting e trasparenza direttamente verso la BSI".
meltdown spectre
La BSI peraltro conferma che "una rivisitazione dei processori vulnerabili non è fattibile a breve termine" per il meccanismo stesso sfruttato dalle vulnerabilità come Spectre e Spectre-NG. E la sostituzione dei processori vulnerabili "è fattibile solo nel lungo periodo".

Dato che il massimo obiettivo possibile è minimizzare il rischio, la BSI invita in particolare i cloud provider e chi fornisce soluzioni di virtualizzazione a valutare l'impatto di Spectre-NG nelle loro infrastrutture. I problemi così evidenziati dovrebbero essere affrontati il prima possibile, per minimizzare il rischio per chi usa i servizi cloud, e i clienti devono essere informati su cosa è stato fatto e sui rischi che ancora permangono.
Pubblicato il: 21/05/2018

Tag:

Speciali

speciali

Cybertech Europe 2018

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce