Spectre e Meltdown… chi se li ricorda più?

La non-notizia di un bug di progettazione di alcuni processori Intel ha scatenato il panico in tutto il mondo. Ma solo per qualche giorno, e ora nessuno ne parla più.
di Andrea Monti
– PC Professionale – Marzo 2018

Per qualche giorno – ma solo per qualche giorno – Meltdown e Spectre non hanno evocato incidenti nucleari e film di spionaggio, ma catastrofi informatiche degne di “Y2K”. Ma Spectre e Meltdown non hanno provocato la fine del mondo, e ora nessuno se ne ricorda più. Ma i problemi della responsabilità dei grandi attori del mondo IT rimangono tutti.

Quasi vent’anni fa, stando ai vaticini dei “guru” dell’informatica, la famigerata scadenza “Anno 2000” avrebbe dovuto provocare la fine del mondo per via dell’incapacità dei sistemi di gestire il cambio data da (19)99 a (20)00. Oggi, secondo i vaticini degli stessi “guru” (o dei loro eredi) il bug che affligge alcuni tipi di processori Intel potrebbe provocare catastrofi ben peggiori di quelle annunciate (e non accadute) nel passato.

Non entro negli aspetti tecnici della vulnerabilità perché non sono rilevanti ai fini di questo articolo che, invece, si concentra sull’impatto della diffusione di una non-notizia e delle sue non-conseguenze sulla sicurezza informatica in generale e sul comportamento di aziende e istituzioni.

Cominciamo dall’inizio.

Quella di Spectre e Meltdown è una non-notizia perché si tratta dell’ennesimo bug, questa volta relativo a un processore e non a un’applicazione (ma è irrilevante) che non ha avuto conseguenze pratiche in termini di danni per gli utilizzatori.

Non è stata sfruttata – come vorrebbe il luogo comune dei media generalisti quando si occupano di sicurezza – per “accedere abusivamente ai server della NASA o del Pentagono”, non ha consentito “di violare la privacy degli utenti” (altro tormentone del settore) e non ha provocato – come pure qualche commentatore ha improvvidamente suggerito – la rottamazione del parco hardware “circolante”.

Come nelle migliori tradizioni da dopopartita calcistico, ognuno ha detto la sua e dopo qualche accesa discussione l’attenzione è scemata e via verso il prossimo argomento sul quale esprimere opinioni “competenti” e “meditate”. Il tutto, secondo una consolidata dinamica da social-network caratterizzata da “picchi” di attenzione per limitati periodi, successiva caduta dell’interesse e totale assenza di impegno ad approfondire l’argomento che ha suscitato la reazione.

Il che ci porta al secondo punto sul quale riflettere: quello delle non-conseguenze della scoperta di Spectre e Meltdown.
Storicamente, il mondo IT è sempre stato esentato dall’assumersi le responsabilità di ciò che produce.

Qualsiasi licenza d’uso – anche se la clausola è nulla, quantomeno per i software a pagamento – prevede il concetto di “as is” (cioè di utilizzo a proprio rischio e pericolo) e quello di inadeguatezza del programma a soddisfare bisogni specifici dell’utente.

Inoltre, specie nei software licenziati con modello proprietario, non c’è alcuna evidenza sui metodi e criteri di progettazione delle applicazioni e, soprattutto, manca una reale attenzione alla robustezza del codice.

Un esempio clamoroso è costituito da Rust, il linguaggio di programmazione di Mozilla Foundation.

Parlando dei vantaggi di questo linguaggio, Dave Herman – direttore delle strategie di Mozilla dichiara: In traditional systems programming, there’s just an intense amount of discipline you need to learn in order to write production code. … But with Rust, you don’t have to master this discipline to start shipping production code; you know the language has your back.

Tradotto: è una battaglia persa sperare che i programmatori imparino a scrivere software in modo corretto e sicuro, quindi abbiamo realizzato un linguaggio che li affranca dalla fatica di studiare. Così anche i dilettanti possono rilasciare software senza dover passare anni a “farsi le ossa”.

Non discuto la buona fede di Mozilla Foundation, ma il presupposto culturale che sta alla base di Rust e le potenziali conseguenze del suo utilizzo sono ben peggiori di una vulnerabilità teorica che affligge un processore.

Questa, infatti, se non si può eliminare la si può controllare.

L’invasione di software scritto con i piedi “perchè tanto il linguaggio di programmazione è sicuro”, invece, può avere conseguenze devastanti: l’ignoranza al potere (non solo) IT.

Possibly Related Posts: