Intel e la diffusione di notizie “pratica” di Spectre e Meltdown

Di come Intel non abbia gestito al meglio la situazione scatenata dalla scoperta delle falle note come Meltdown e Spectre abbiamo parlato parecchio.

Molte sono state le critiche, che vanno dal ritardo rispetto ai 90 giorni previsti dal Project Zero di Google (che avvisò Intel della falla a Giugno dell’anno scorso), fino a teorie più complottiste nate dalla vendita, da parte del CEO di Intel Brian Krzanich, di azioni societarie per oltre 39 milioni di dollari prima del rilascio pubblico di informazioni riguardo la falla.

Quello che è certo è che Intel ha deciso di attuare un processo molto più pratico di quanto ci si aspettasse: dovendo necessariamente avvisare qualcuno di quanto stava succedendo, ha deciso di avvisare solo gli attori che avrebbero potuto dare una mano a mitigare la larga diffusione di problemi riguardandi i due bug, facendo enforcing di sicurezza.

“I sette”, così vengono chiamate le aziende che erano a conoscenza dei bug, sono decisamente noti: si parte da Intel stessa, seguita da Amazon, AMD, Apple, ARM, Google e Microsoft.

Oltre ad una prima decisione da parte di questi di rilasciare pubblicamente informazioni a Gennaio, pur sforando i classici 90 giorni al fine di avere più tempo per preparare dei fix, la parte critica è che tra gli enti avvisati mancano completamente il Governo degli Stati Uniti così come il CERT (Computer Emergency Readiness Team) degli stessi.

Ora, a seguito di questo comportamento il congresso Americano ha richiesto spiegazioni ad Intel, rese pubbliche in questa lettera che mostra l’approccio:

Before the leak, Intel disclosed information about Spectre and Meltdown only to companies who could assist Intel in enhancing the security of technology users.

Prima della diffusione, Intel ha condiviso le informazioni riguardo Spectre e Meltdown solo a quelle aziende che avrebbero potuto assisterla nel migliorare la sicurezza degli utenti di quella tecnologia

Molto pratico, dunque: non puoi far nulla per darmi una mano? Non hai bisogno di sapere nulla a riguardo.

Molte di queste aziende comunque hanno rilevato che il dover mantenere segreta la cosa ha creato non pochi problemi. Tra queste Microsoft, ad esempio, ha visto che le fix implementate davano problemi con alcuni software anti-virus, ha tentato di avvisare i produttori di questi ma non poteva spiegare il motivo dei cambiamenti che stava apportando e che causavano questi malfunzionamenti.

Altre si sono attivate per la community e, di riflesso, per i loro stessi interessi, come Amazon che ha:

focussed our efforts on developing countermeasures for the Linux operating system and the Xen hypervisor

concentrato il nostro effort nello sviluppo di contromisure per il sistema operativo Linux e l’hypervisor Xen

Che ha potuto dunque proteggere i suoi sistemi basati fortemente su Linux, come AWS ad esempio, pur vestendo i panni del buon samaritano con la community (e non che le due cose siano per forza mutue esclusive).

Al momento il Congresso Statuintense non ha ancora reso pubblica una risposta a questa lettera, ma possiamo solo immaginare che l’essere tenuta all’oscuro del problema gli possa solo far storcere il naso.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , ,