Intel conferma che non segnalò subito Spectre e Meltdown alle autorità USA

23 Febbraio 2018 39

Intel, insieme ad Apple e Google, ha confermato tramite alcune lettere inviate al Congresso USA, di non aver voluto informare tempestivamente il governo degli Stati Uniti dell'esistenza delle falle di sicurezza dei suoi processori, note come Meltdown e Spectre. I responsabili della sicurezza governativi hanno ricevuto comunicazioni da Intel un giorno dopo che l'informazione è stata resa pubblica dall'inchiesta di The Register.

Le lettere sono state inviate come risposta a una serie di domande poste dal Congresso sulla vicenda. Intel ha argomentato la propria scelta osservando che la falla non era all'epoca sfruttata da alcun hacker, quindi il rischio per la sicurezza nazionale era pressoché nullo - certo, un hacker o un gruppo avrebbero potuto scoprire la vulnerabilità indipendentemente, ma data la natura estremamente complessa sarebbe stata una coincidenza davvero difficile a verificarsi.

Nelle lettere, Google Project Zero ha anche detto di aver segnalato le falle a Intel, AMD e ARM a giugno e, come si usa fare nel settore, ha dato loro tempo 90 giorni per risolverle prima di rivelare tutti i dettagli pubblicamente. Data poi la gravità della situazione, sono state applicate diverse proroghe. Da osservare che anche Google avrebbe potuto decidere di avvisare le autorità, ma la pratica standard del settore è che questa responsabilità ricada su chi ha la falla, non su chi la scopre.


39

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Manny Calavera

internet explorer ci sarebbe arrivato dopo qualche mese, giusto ? :D

Top Cat

Mannaggia ar lamallo!

Gios

Prima che tutto il parco pc del mondo sarà sicuro ci vorranno minimo 7 anni......tempo che tutti sostituiranno i pc con nuovi senza falle.

Non è per dire ma chiunque oggi entri in un negozio o mediatore o sito internet può ancora comprare una CPU fallate e NESSUNO lo sta informando.

DeeoK

Per quanto ne sai potevano star pianificando un attacco massivo. Quella di Intel è un'assunzione bella e buona.

Federico

Boh... questa storia è sempre più surreale.
In quasi quarant'anni che mi occupo di informatica non mi viene in mente un altro casino simile. Casino che oltretutto non è che sia finito qui.

Gios

Il tuo presupposto è infatti sbagliato e non quello delle class action.

Le denunce sono riferite ad un fatto: intel sapeva del bug e ha continuato a vendere le CPU fallate sapendolo senza informare i clienti.
I clienti che hanno acquistato i prodotti fallati quando intel ne era a conoscenza e ora chiedono i rimborsi.

Qui si determinano il dolo e la colpa da te prima descritti, da quanto Google informò intel. La dimostrazione del dolo è anche la vendita delle azioni da parte del ceo prima dell'annuncio.

Gios

Sicuramente non sarebbero andati a dire in giro: per mesi ci avete spiato ;)

Edoardo Parolin

penso proprio che in quel caso avrebbero visto una fuoriuscita di dati. Un bug del genere permette di fare certi movimenti, ma non li fa di nascosto.

Gios

Ora perché intel si, Apple si, Google si e amd e arm informati da Google sulle falle No?

Gios

Cosa ne sappiamo! Per mesi potrebbero aver avuto accesso silente ad informazioni e dati sui server privati della cia...

Edoardo Parolin

no, però se l'avessero sfruttata sarebbe venuta fuori in quel momento

piervittorio

Allora vatti a leggere quel foglietto, chiamato EULA (End User Licence Agreement) che hai trovato nella scatoletta retail (perchè se hai preso le CPU OEM non vale, non hai alcuna garanzia, non essendo destinate al cliente end user).
In particolare dove dice: "Intel disclaims all express and implied warranties, as per EULA terms".

Francesco

Scusa eh, ma il desktop me lo sono assemblato da solo

piervittorio

La class action è una causa collettiva portata avanti da più soggetti che sono stati danneggiati, in modo oggettivo e quantificabile, da uno specifico comportamento doloso di un produttore di un bene, che ti è stato venduto contrattualmente con delle specifiche dimostratesi poi infedeli.
Nel caso specifico: assenza di legittimazione.
Puoi agire se sei azionista di intel (e ne hai avuto una perdita economica diretta conseguenza di mala gestio o mala fede nell'affrontare una vulnerabilità che affligge più o meno tutti i produttori di CPU e di cui nessuno si è accorto per anni) oppure se sei cliente diretto di intel (HP piuttosto che Dell, per intenderci). Se sei un utente di un PC o di altra soluzione basata su CPU Intel, tu non hai alcun rapporto con intel, loro devono solo rispondere di eventuali violazioni nel contratto di vendita con i loro clienti OEM diretti. Che espressamente li malleva da qualsivoglia responsabilità da lucro cessante o danno emergente, in caso emergano dei difetti di progettazione imprevisti ed imprevedibili. Nel caso, potrai far causa al produttore del bene (PC, Server ecc.), non del singolo componente.
Ovvero la tua class action verrà respinta per mancanza di legittimazione.

DeeoK

"Intel ha argomentato la propria scelta osservando che la falla non era all'epoca sfruttata da alcun hacker, quindi il rischio per la sicurezza nazionale era pressoché nullo"
Questa è un'assunzione: un hacker se scopre una falla del genere non necessariamente lo sbandiera ai quattro venti.

Leon94

Ovviamente "puLtroppo"!

Top Cat

E' vero pultroppo.

Top Cat

Hai ragione pultroppo.

Leon94

Direi che scusa lo dovresti dire per la grammatica. E non penso che centri Intel

Leon94

Ma perché, da quando Microsoft sviluppa processori? Lo vuoi capire che è una falla hardware e NON software!?

ZioRob

Pull troppo

Riccardo

ma cosa c'entra Microsoft???

Boronius

Avranno il baco anche le CPU open core per FPGA??

Boronius

Ah già, sono vecchio e mi era sfuggito

Boronius

Tutti coinvolti tranne Microsoft da quanto si legge

Francesco

spiega

piervittorio

Evidentemente non hai due nozioni basiche di diritto.
Quelle class action non sortiranno alcun effetto.

Federico

Si, probabilmente si... però a dover dare comunicazione di qualcosa a rigor di logica sarebbero i fabbricanti delle componenti e non gli OEM che li utilizzano.

Marco Scalerandi

Apple viene a sapere sempre tutto, specialmente se le interessa. Non a caso è tra i colossi insieme a Google e Amazon

c0s87

Tutte le cpu saranno a rischio sempre, le patch e i bios come i microcode non risolvono nulla, ma rendono ancora piu complicato usarle, per non avere falle dobbiamo aspettare le cpu next gen. dal 2019.
Per risolvere devi riprogettare una parte della cpu.

Top Cat

Pultroppo devo rimettere per l'ennesima volta il cartello.
https://uploads.disquscdn.c...

ErCipolla

Questo è vero, però c'è da considerare anche che molti veicoli di attacco "a valle" sono stati patchati... ad esempio, se non sbaglio tutti i motori javascript dei principali browser (uno dei veicoli di attacco più gettonati) sono stati aggiornati.

Questo ovviamente non risolve il problema di spectre dato che è un difetto generico del design della CPU stessa... fortunatamente se non sbaglio è il più "mite" dei due attacchi, nel senso che permette "solo" (tra pesanti virgolette) di accedere alla memoria del processo attaccato (es: browser), mentre Meltdown permette l'accesso all'intera memoria di sistema.

Federico

Sono degli ARM quindi è ovvio che lo siano, ma se tutti i produttori di dispositivi basati su ARM o Intel avessero dovuto avvertire qualcuno la pila di comunicazioni avrebbe raggiunto il soffitto.

Marco SoC

meltdows è mitigata ma spectre no, o lameno non in tutti perchè per farlo ci vuole un aggiornamento del firmare e deve essere lac asa che produce la scheda madre a fornire bios aggiornati. Quindi il problema con spectre è piuttosto serio dato che moltissimi oem se ne fregheranno come al solito. Questo è il motivo perchè forse a questo punto in futuro è meglio rivolgersi per un eventuale nuovo pc ad Apple o Microsoft che fanno hardware e software insieme e che hanno un supporto più serio rispetto ai vari asus, lenovo etc etc.

luca

Anche i suoi processori sono fallati

Federico

"Intel, insieme ad Apple e Google"

Capisco Google che è l'azienda che ha trovato le vulnerabilità, ma Apple che c'entra?

Alessandro

Io non ho ancora capito se hanno fatto uscire delle patch per risolvere il problema su windows o se ho ancora il pc a rischio

M_90®

non devono meravigliarsi poi delle class action..

aigor1

autorità che tanto le conoscevano e usavano già da anni

Recensione MateBook 14: è il migliore tra i notebook Huawei

Apple annuncia i processori proprietari per Mac basati su architettura ARM

PlayStation 5 ufficiale: due versioni, design grintoso e futuristico | Caratteristiche

Recensione Honor MagicBook, al pari di MateBook D14 ma costa meno!