Roma – Meltdown e Spectre sono tre gravissimi problemi di sicurezza da cui i principali protagonisti dell’industria informatica non riescono proprio a riprendersi, e almeno in questo caso l’oggetto del contendere sembra essere l’incapacità ad affrontare razionalmente e sistematicamente la questione piuttosto che il rischio concreto di attacco imminente da parte di malintenzionati.
O almeno è così che la pensa Linus Torvalds , creatore e curatore del progetto Linux che in questi giorni ha il suo bel da fare nel gestire le patch proposte per aggiornare il kernel del Pinguino . Sulla mail list ufficiale di Linux, Torvalds spolvera la sua solita parlantina colorita e senza peli sulla lingua definendo le patch di Intel come “completa e assoluta spazzatura.”
Chipzilla sembra aver fatto la cosa giusta con Meltdown, spiega Torvalds, anche perché è la falla più facile da chiudere; per quanto riguarda i due bug di Spectre, invece, dove la memoria virtuale del kernel può essere compromessa per via indiretta, la corporation ha seguito la strada di un “brutto hack” che sembra fare cose “folli” che “non hanno senso.” Anche la volontà di non seguire l’approccio di Google con Retpoline – una tecnica priva di effetti negativi sulle prestazioni – è per Mr. Linux inspiegabile.
Torvalds mette in croce Intel per le patch anti-Spectre, è Intel ha il suo bel da fare per risolvere le magagne introdotte con il nuovo microcodice inserito nei firmware dei produttori di schede madri: in seguito al “richiamo” delle ultime patch da parte del chipmaker, anche Dell e in seguito HP hanno rimesso on-line la vecchia versione dei rispettivi firmware in attesa di novità da parte di Intel.
La situazione è talmente confusa – e potenzialmente pericolosa – da aver spinto persino Apple a rilasciare nuovi aggiornamenti, e questa volta le patch riguardano (incredibilmente per le policy di Cupertino) la distribuzione di update anche per le versioni meno recenti di macOS (OS X 10.11 El Capitan e macOS 10.12 Sierra).
Si è infine rivelato essere un esperimento sociale l’annuncio di nuove vulnerabilità basate su Meltdown e Spectre, due falle a cui era stato dato il nome di due film di James Bond (Skyfall e Solace) e che sono servite a un ricercatore di Atos (Rob Leadbeater) per sottolineare la fascinazione pericolosa dell’industria IT con la nomenclatura (piuttosto che con la sostanza) delle falle di sicurezza più in vista.
Alfonso Maruccia