giovedì, Novembre 7, 2024

Google e Amd hanno unito le forze per migliorare la sicurezza dei microchip

Must Read

Questo articolo è stato pubblicato da questo sito

Un’insolita collaborazione tra Google e Amd potrebbe mostrare all’industria tecnologica come affrontare in modo più efficiente i rischi legati alla sicurezza dei processori prima che diventino ingestibili. L’unico problema è che l’impostazione richiede un livello altrettanto raro di fiducia, che potrebbe essere difficile da replicare per altre aziende.

Martedì 10 maggio Google Cloud ha diffuso un audit dettagliato della tecnologia di Amd dedicata al confidential computing (un insieme di tecniche che permettono di criptare i dati durante l’elaborazione). Il rapporto è il risultato di una collaborazione tra Project Zero – l’unità di Google che si occupa di ricerca di vulnerabilità – due team all’interno di Google Cloud Security e il gruppo di Amd che si occupa di firmware. L’audit fa seguito ad anni in cui Google Cloud ha dato sempre più risalto alle offerte relative a Confidential Computing, una suite di funzionalità progettate per far sì che i dati dei clienti rimangano criptati in ogni momento, anche durante l’elaborazione. L’interesse intorno a questo tema è particolarmente elevato, dal momento che i clienti dipendono sempre di più dalla privacy e dalle protezioni di sicurezza garantite da questi servizi e dall’infrastruttura fisica sottostante, che si basa su speciali processori di Amd. Una vulnerabilità sfruttabile all’interno di Confidential Computing potrebbe avere conseguenze disastrose.

Una collaborazione proficua

Le falle nella progettazione e nell’implementazione dei processori rappresentano un enorme rischio, e possono trasformare i microchip utilizzati su larga scala in single point of failure per i computer, i server e gli altri dispositivi in cui sono installati. Le vulnerabilità all’interno dei microchip specializzati per la sicurezza hanno ramificazioni potenzialmente devastanti, perché questi processori sono progettati per essere immutabili e fornire una base affidabile su cui tutti gli altri componenti di un sistema possono appoggiarsi. Quando riescono a sfruttare una falla nei microchip di sicurezza, i cybercriminali sono in grado di compromettere un sistema ottenendo potenzialmente un  controllo non rilevabile. In quest’ottica, Amd e Google Cloud hanno sviluppato una partnership insolitamente stretta durata oltre cinque anni, lavorando congiuntamente all’audit dei processori Epyc – utilizzati nell’infrastruttura sensibile di Google Cloud – e cercando di tappare il maggior numero possibile di falle.

Nelly Porter, group product manager di Google Cloud, racconta che ciò che rende la partnership con Amd insolita è il fatto che le due aziende sono state in grado di costruire un rapporto di fiducia sufficientemente solido da far sì che il produttore di microchip consentisse ai team di Google di analizzare il codice sorgente dell’azienda. Brent Hollingsworth, responsabile dell’ecosistema software Epyc di Amd, sottolinea che la relazione tra le due aziende consente ai ricercatori di avere un più ampio margine di azione per quanto riguarda i tipi di attacchi da testare. Nel corso della verifica, per esempio,  i ricercatori di sicurezza di Google hanno usato un hardware specializzato per lanciare attacchi fisici contro la tecnologia di Amd, un’attività particolarmente importante su cui si stanno concentrando sempre di più anche altri produttori di microchip, ma che va oltre le tradizionali garanzie di sicurezza offerte dalle aziende.

“Chiunque abbia creato software o hardware, sa che è impossibile raggiungere la perfezione – spiega Hollingsworth –. Negli anni in cui abbiamo lavorato insieme, abbiamo fornito a Google tutto l’accesso possibile, cercando di pensare ai problemi da due prospettive diverse. [In questo modo, ndr] finiamo per trovare cose che vanno a beneficio di tutti“.

I risultati dell’audit

L’audit si è focalizzato in particolare sulle difese del Secure Processor di Amd (Asp) e sul firmware della tecnologia dell’azienda nota come “Sev-Snp“, o Secure Encrypted Virtualization-Secure Nested Paging. La tecnologia è alla base delle Confidential Virtual Machines di Google Cloud, un servizio premium all’interno di Google Cloud in grado di segmentare e criptare i sistemi di un cliente e gestire le chiavi di crittografia per fare in modo che l’azienda non possa accedere ai suoi dati.

Le due aziende non hanno specificato quante vulnerabilità sono state trovate e gestite nel corso dell’audit, ma il rapporto elenca diversi scoperte specifiche, scenari di attacco e ambiti generali in cui migliorare. Amd dice di aver diffuso correzioni al firmware per tutti i problemi rilevati dall’audit, mentre Google Cloud riporta di aver applicato tutte le patch.

Sia Porter che Hollingsworth sottolineano però che il vero valore della partnership sta nella ripetizione della collaborazione e delle revisioni nel corso del tempo. L’obiettivo è salvaguardare Google Cloud, ma anche migliorare la sicurezza di tutto il settore. La partnership, in generale, potrebbe rappresentare un modello per una maggiore trasparenza tra i produttori di microchip e i clienti. Il fatto che le organizzazioni si affidino in misura sempre maggiore ai provider di cloud per la maggior parte o anche la totalità delle loro infrastrutture comporta vantaggi notevoli dal punto di vista della sicurezza, ma c’è sempre il timore che qualcosa possa andare storto.

Bisogna partire dal presupposto che ci saranno violazioni; bisogna immaginare cosa potrebbe accadere – spiega Porter –. Ed è per questo che penso che sia così importante sistemare tutti i bug, ma anche parlarne continuamente in modo schietto. Non è una cosa che si fa una volta e basta. È un processo continuo“.

Questo articolo è comparso originariamente su Wired US.

- Advertisement -spot_img
- Advertisement -spot_img
Latest News

Trump, i nomi in lizza per entrare nel governo

Donald Trump non ha aspettato neanche la proclamazione ufficiale della vittoria per mettersi al lavoro sulla sua nuova amministrazione....
- Advertisement -spot_img

More Articles Like This

- Advertisement -spot_img