Nel caos che ha seguito la notizia delle vulnerabilità Meltdown e Spectre dei processori Intel, Amd e Arm, è successo un po’ di tutto. I bug è stato scoperto inizialmente lo scorso giugno dal giovane Jann Horn, security analyst del team di ricerca sulla sicurezza Google Project Zero, che ha avvisato Intel delle pericolose falle di sicurezza.

A gennaio 2018, dopo che i 3 produttori di processori hanno ammesso le vulnerabilità, la situazione si è complicata: le patches hanno creato problemi agli utenti, si sono rincorse voci di degradazioni delle prestazioni dei processori e, infine, potrebbero arrivare Class Action per tutti.

1 – Patch che creano ulteriori problemi

Le rassicurazioni fatte a milioni di persone che oggi utilizzano PC, smartphone, table e server dotati di processori con i bug Meltdown e Spectre non sono bastate. Non è bastato neanche dichiarare che sarebbero arrivate presto le patch di sicurezza: sfortuna ha voluto che, nella fretta di sistemare le cose, non tutto abbia funzionato proprio perfettamente.

Tanto per cominciare, Microsoft ha rilasciato una patch all’inizio di gennaio che, una volta installata, ha creato non pochi problemi ai possessori di PC con processori Amd, fino alla comparsa della schermata blu di errore (Blue Screen of Death, BSOD), più altri problemi che in definitiva impedivano il riavvio del sistema.

Microsoft ha quindi bloccato gli update per i sistemi Amd, e naturalmente, in uno “scaricabarile” che vedremo sempre più spesso, ha incolpato Amd affermando che i suoi processori non erano conformi alla documentazione “previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown”.

Subito dopo però è stata la volta dei problemi con gli Antivirus: le patches di Microsoft per Meltdown e Spectre non erano infatti compatibili per una serie di antivirus di terze parti. Per tutti questi PC, Microsoft ha dovuto quindi sospendere le patches, in attesa che gli altri provider avessero rilasciato prima i propri aggiornamenti.

Problemi anche per gli update del firmware rilasciati da Intel, che invece avrebbero causato, una volta installati, un maggior numero di riavvii dei sistemi. Un problema non da poco, soprattutto per gli ambiti lavorativi. Intel ha poi avvisato che sta cercando di risolvere il problema con gli update del firmware, avvisando anche di aspettare ad applicare le patches. Una querelle è nata però dal fatto che Intel avrebbe comunicato i bug delle sue CPU prima ad ALCUNI dei suoi partner mentre non avrebbe avvisato altri … tra questi anche società cinesi come Lenovo e Alibaba, come ha riportato il Wall Street Journal, tanto che si pensa che il Governo Cinese (che monitora le comunicazioni delle sue aziende high tech) abbia potuto essere informato delle vulnerabilità prima dello stesso Governo USA! …

Quello che si è vissuto in conclusione è stato un generale “far ricadere i problemi” sugli utenti, che hanno dovuto infine sostenere i danni causati dall’eccessiva fretta dei vendor, oltre che dalla mancanza di tutti i test preliminari al rilascio di un aggiornamento software (necessari per verificare tutti i diversi scenari di installazione delle patches).

2 – Prestazioni dei processori diminuite dopo gli aggiornamenti

Molta confusione è nata dopo le dichiarazioni contrastanti in tema di rallentamento delle prestazioni dei processori in seguito all’aggiornamento di sicurezza per risolvere i 2 bug: da un lato Microsoft ha messo in guardia su un possibile rallentamento, soprattutto dei server. Un suo manager, Terry Myerson, capo della divisione Windows and Devices, ha addirittura affermato che alcuni clienti avrebbero fatto meglio a non aggiornare il sistema operativo, perché i danni sulle prestazioni sarebbero stati troppo consistenti.

Di segno opposto le dichiarazioni di Intel: Navin Shenoy, vicepresidente esecutivo e general manager del Data Center Group della società, ha dichiarato che i test avevano dimostrato che l’impatto sulle prestazioni variava in base a carichi di lavoro e alle configurazioni specifiche. In generale, secondo Intel, i carichi che incorporano un numero maggiore di modifiche ai privilegi utente / kernel e passano una quantità di tempo rilevante in modalità privilegiata hanno un impatto più avverso. La situazione peggiora nei benchmark che chiamano in causa l’archiviazione. Le prestazioni nel peggiore dei casi si riducono al momento del 25%, e la società sarebbe al lavoro per risolvere questo inconveniente.

Per non parlare poi del rallentamento degli iPhone della Apple: secondo alcuni l’iPhone 6 dopo il fix Spectre sarebbe rallentato del 41% … – ma come noto la Apple non vive un momento felice per quanto riguarda le prestazioni dei suoi melafonini.

3 – E infine, Class Action per tutti …

Sul fronte delle Class Action, a quanto pare potrebbero arrivare per tutti.

Intel è stata la prima: almeno 4 studi legali USA hanno avviato azioni legali che potrebbero sfociare in Class Action, accusando da un lato l’azienda di aver tardato troppo nella disclosure del bug (da giugno 2017 a gennaio 2018), dall’altro lato criticandola per la degradazione delle prestazioni dei processori. Intel tra l’altro ha dichiarato di recente che i suoi ingegneri stanno lavorando a modifiche dell’architettura dei processori, ma che le prime CPU senza questo problema potranno essere pronte solo nel 2019. Nel frattempo le pacth sono l’unica soluzione – anche se non ottimale.

Amd deve invece rispondere per “materially misleading statement”: 2 studi legali americani – Rosen e Pomerantz – stanno cercando di ottenere lo status di class action per azioni legali contro Amd, accusata di non aver informato gli investitori dell’esistenza delle vulnerabilità. Nel documento depositato in un tribunale californiano, si legge che “a seguito di azioni e omissioni illecite degli imputati, e del precipitoso declino del valore di mercato delle azioni ordinarie della società, l’azionista che ricorre in giudizio (Doyun Kim) ha subito perdite e danni significativi”.

Una nuova azione legale è quella partita nello Stato d’Israele, nel tribunale del distretto di Haifa, dove è stata avviata una class action che vede coinvolte Arm, Intel, e anche Apple. Contemporaneamente anche nella corte del distretto di San Jose, in California, la Apple è stata accusata di non avere processori così sicuri come veniva dichiarato ai clienti, nei suoi iPhone, iPad e Apple TV. Nel frattempo, anche la House Energy and Commerce Committee degli Stati Uniti ha inviato una serie di domande formali ad Apple, Intel e altre società tecnologiche per avere maggiori dettagli sui problemi di sicurezza Meltdown e Spectre.

Il Comitato del Congresso chiede alle aziende interessate di condividere nuovi dettagli sui loro accordi e in particolar modo sulle modalità con cui dovrebbero tenere segrete le informazioni su queste vulnerabilità. I destinatari della lettera includono i CEO di Apple, Google, Amazon, AMD, ARM, Intel e Microsoft.

Cos’altro manca?

Per non farci mancare proprio niente, nell’ultimo mese 2 ulteriori notizie tra il ridicolo e l’allarmante sono state:

1. Una notizia ANSA riporta che in Germania (come resto noto dall’Ufficio federale per la sicurezza informatica) alcuni hacker starebbero approfittando della “corsa agli aggiornamenti” per inviare una falsa mail che, invece di far scaricare le patches di sicurezza, sarebbe invece un phishing progettato per infettare con malware PC e smartphone.
2. Qualcuno ha cominciato a parlare di altre due vulnerabilità dei processori: Skyfall (sempre inspirato a 007) e Solace (thriller del 2015 con Anthony Hopkins, Premonitions in italiano) …

Beh, in effetti è molto probabile che presto avremo notizia di nuovi bug delle CPU, però in questo caso, era soltanto una …  Fake New … e grazie a The Register che ha avvisato subito!