Il sensazionalismo generato dall’annuncio di CTS Labs in merito alle falle AMD, di cui abbiamo parlato recentemente, non convince Linus Torvalds. Nel corso di una discussione su Google+ il creatore di Linux si è così posto nei confronti della questione:

When was the last time you saw a security advisory that was basically ‘if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?’ Yeah.

Quando è stata l’ultima volta in cui avete visto un security advisory del tipo “se sostituisci il microcode del BIOS o della CPU con una versione malevola potresti avere un problema di sicurezza?” Sì.

Quindi il dubbio di molti si palesa in queste parole di un utente partecipante al thread:

I just found a flaw in all of the hardware space. No device is secure: if you have physical access to a device, you can just pick it up and walk away. Am I a security expert yet?

Ho riscontatro una falla in qualsiasi hardware. Nessun dispositivo è sicuro: se ne hai accesso fisico puoi semplicemente prenderlo e scappare. Sono già un esperto di sicurezza?

Le modalità e le tempistiche di questo annuncio paiono non convincere il papà del pinguino, sebbene CTS Labs abbia sottolineato come la motivazione principale per cui la notizia non è stata data in anticipo ad AMD risiede nel fatto che una soluzione non può esserci, quindi volente o nolente AMD deve accettare il fatto di non poter intervenire e prendere semplicemente atto del problema. Ed alla domanda diretta sul perché una società dovrebbe volere fare una mossa del genere Torvalds risponde così:

It looks more like stock manipulation than a security advisory to me.

Mi sembra più una manipolazione dei valori di borsa piuttosto che una questione di sicurezza.

Cosa si può concludere quindi? Probabile che la verità stia come sempre nel mezzo. C’è sempre enorme sensazionalismo intorno a queste falle ed il circo mediatico che vi si scatena intorno, piaccia o meno a Torvalds, è pubblicità gratuita. Quindi vien da se pensare che una società come CTS Labs cerchi di trarre vantaggio da una situazione simile per fare in modo che ai futuri potenziali clienti appaia chiaro come “Questi sono i tizi che han scoperto le falle AMD, meritano considerazione”. Al di là di questo rimane però un fatto: la modalità con cui gli attacchi possono essere perpetrati è reale, è stata dimostrata e non è nulla di nuovo, quindi ancora una volta, piaccia o meno a Torvalds, è qualcosa con cui tutti gli operatori IT dovranno confrontarsi.

La questione è lungi dall’essere conclusa, ma c’è da scommettere che di articoli come questo nel corso dell’anno ne vedremo parecchi.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.