Caso Superfish: lettera aperta di Lenovo dal CTO Peter Hortensius

Caso Superfish: lettera aperta di Lenovo dal CTO Peter Hortensius

Lenovo fa il punto della situazione inviando una lettera aperta rivolta a tutti i clienti della società, siano essi coinvolti o meno nel caso Superfish

di pubblicata il , alle 09:37 nel canale Sicurezza
Lenovo
 

Lenovo non ci sta ad essere considerata come una società intenta solo a monetizzare, ma vuole scusarsi apertamente di fronte a tutti i clienti che, per un errore - grave - di valutazione, si sono trovati coinvolti nel caso Superfish. Con questo nome, lo ricordiamo per l'ennesima volta, viene segnalato un adware che rende i sistemi vulnerabili ad attacchi man-in-the-middle. In breve, i dati dei computer Lenovo su cui veniva attivato Superfish erano pericolosamente a rischio.

A fare il punto della situazione è Peter Hortensius, CTO di Lenovo nonché lo stesso dirigente della società che durante un'intervista degli scorsi giorni si è assunto le responsabilità del caso, ammettendo di "aver fatto un casino" implementando Superfish all'interno di alcuni computer della società: "A partire dal mese di settembre 2014, abbiamo deciso di consegnare alcuni dei nostri notebook commerciali con Superfish. Il software non aggiungeva molto valore all'esperienza d'uso, così eravamo in procinto di rimuoverlo", recita la lettera aperta.

Lenovo era totalmente ignara del comportamento di Superfish e della sua capacità di estrapolare dati anche dalle connessioni sicure. La piena consapevolezza arriva solo dopo la diffusione della notizia per mezzo dei media americani: "Abbiamo visto molte notizie su una vulnerabilità di sicurezza creata da questo software e abbiamo subito preso provvedimenti per eliminarlo", scrive Hortensius. "Il problema ha provocato chiaramente preoccupazione fra i nostri clienti, partner e tutti coloro che hanno a cuore Lenovo, la nostra industria e il settore tecnologico in generale".

"Per questo, vorrei scusarmi di nuovo", continua Hortensius, specificando in seguito quanto fatto da Lenovo per arginare il fenomeno e quanto farà in futuro: "Abbiamo bloccato il preload e non includeremo Superfish in nessuno dei nostri dispositivi nel futuro", precisa il CTO di Lenovo. "Abbiamo lavorato in proprio e con i nostri partner per rendere i vostri PC sicuri da questa vulnerabilità nel modo più rapido e semplice possibile. Hortensius precisa che già il 19 febbraio la società aveva fornito una guida per applicare una correzione manuale, mentre venerdì 20 febbraio arrivava il tool per la rimozione automatizzata.

Lo stesso venerdì, Microsoft, McAfee e Symantec aggiornavano i loro software anti-virus per disabilitare e rimuovere qualsiasi traccia di Superfish dai sistemi infettati: "Grazie a questi elementi, tutti i nuovi prodotti che già sono in inventario saranno protetti. Subito dopo la prima accensione l'anti-virus inizierà a riconoscere per poi eliminare Superfish dal sistema. Superfish verrà rimosso nella stessa maniera anche sui sistemi che vengono ripristinati da partizioni di back-up. Anche sui prodotti già in uso, Superfish verrà rimosso con l'aggiornamento del software anti-virus", scrive Hortensius.

Il CTO di Lenovo ha specificato i prossimi passi che la società attuerà per proteggere i propri clienti anche in futuro: "Siamo nel bel mezzo dello sviluppo di un piano concreto per affrontare i problemi legati alla sicurezza del software, con azioni definite che divulgheremo entro la fine della settimana". Hortensius ha dato un assaggio di ciò che sta pensando la società, come ad esempio la creazione di una nuova "PC image più pulita", ovvero un sistema operativo pre-installato sui dispositivi senza Superfish ed altro "bloatware". In più, la società promette di collaborare con "utenti, esperti di sicurezza/privacy ed altri" per creare rapidamente una nuova strategia per il software pre-installato, valutando anche le opinioni più "critiche e severe", con l'obiettivo di migliorare ulteriormente la line-up di prodotti proprietaria.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gpat24 Febbraio 2015, 09:51 #1
Dopo la morte viene il giudizio... ai PC venduti senza bloatware ci crederò quando li vedrò
BulletHe@d24 Febbraio 2015, 10:11 #2
Sinceramente questa volta non mi sento di demonizzare Lenovo, altre ditte con lo stesso problema si sarebbero limitate a dire semplicemente che non è colpa loro, Lenovo invece si è adoperata il più velocemente possibile a risolvere definitivamente il problema, in più si è anche scusata pubblicamente senza troppe remore. E un comportamento da premiare perché ripeto non hanno cercato scuse hanno ammesso le loro colpe ed hanno rimediato facendo in modo che nessuna delle macchine incriminate subisse danni, questo a mio avviso denota la serietà di un azienda che sarebbe paradossalmente da premiare.
Axios200624 Febbraio 2015, 10:32 #3
Stiamo parlando di una multinazionale che produce pc da svariati anni.

Vogliono fare credere che inseriscono sw a caso senza sapere cosa fa?

Non c'è un processo decisionale? Chi ha avuto l'idea? Chi la approvata?

Dalla lettera di scuse, pare quella di una ditta di dilettanti allo sbaraglio.

I dirigenti che hanno fatto ciò andrebbero quanto meno trasferiti.
sbudellaman24 Febbraio 2015, 11:05 #4
Originariamente inviato da: BulletHe@d
Sinceramente questa volta non mi sento di demonizzare Lenovo, altre ditte con lo stesso problema si sarebbero limitate a dire semplicemente che non è colpa loro

Scusa ma come potrebbe una qualsiasi altra ditta dire che non è colpa loro? Qui non parliamo di un difetto che già c'era ma non te ne sei accorto, ce l'hai messo tu INTENZIONALMENTE. Non puoi neanche dire "aaaah ma pensavo fosse un software che potesse servirti per altro, non mi ero accorto facesse questo"... sarebbe patetico ,come se io ti sparassi e poi ti dico "ah no scusa pensavo che questo proiettile potesse servirti".Una volta che scoppia lo scandalo e quindi non puoi neanche far finta di nulla, che scusa potresti mai inventarti? Mica puoi dire "è stato quell'altro", quel poco che ci sta sul computer l'hai installato TU, appositamente con l'idea di darlo a ME. Ti rimane solo da dire "scusate son stato una merd@" e sperare che tutti si dimentichino in fretta.
aald21324 Febbraio 2015, 11:25 #5
Originariamente inviato da: gpat
Dopo la morte viene il giudizio... ai PC venduti senza bloatware ci crederò quando li vedrò


Il bloatware serve a scontare il prezzo dei laptop, dato che le software house pagano $$$ per avere le demo preinstallate.
I clienti sono sempre liberi di reinstallare il S/O in versione "vanilla".

I produttori di laptop tra l'altro non possono neanche permettersi di offrire versioni alternative "vanilla", in versione "non scontata", perchè l'esercito di criticoni ignoranti griderebbero allo scandalo.
aald21324 Febbraio 2015, 11:27 #6
Originariamente inviato da: BulletHe@d
Sinceramente questa volta non mi sento di demonizzare Lenovo, altre ditte con lo stesso problema si sarebbero limitate a dire semplicemente che non è colpa loro, Lenovo invece si è adoperata il più velocemente possibile a risolvere definitivamente il problema, in più si è anche scusata pubblicamente senza troppe remore. E un comportamento da premiare perché ripeto non hanno cercato scuse hanno ammesso le loro colpe ed hanno rimediato facendo in modo che nessuna delle macchine incriminate subisse danni, questo a mio avviso denota la serietà di un azienda che sarebbe paradossalmente da premiare.


Non è da premiare; i CTO esistono per motivi ben precisi.

Il CTO che ha scritto la lettera ha mentito, perché se una persona ha tale ruolo sa certamente per filo e per segno come i PC sono costruiti e configurati.
sl51024 Febbraio 2015, 11:27 #7
Lenovo, è stato bello finché è durato...
Gnaffer24 Febbraio 2015, 11:36 #8
Infatti.

@BulletHe@d
Queste sono aziende da miliardi di dollari, ogni singolo processo interno viene definito con una tale precisione che noi nemmeno possiamo immaginare. La lettera del CTO è una bufala bella e buona. Quando hai tra le mani un prodotto che sai già ne venderai a MILIONI ogni singolo dettaglio è studiato a tavolino, dall'hardware al software. Quando dici che non senti di demonizzare Lenovo gli stai dando corda credendo che "ops, ci è sfuggito". Ma come può sfuggire una cosa del genere quando hai interi piani di ingegneri che studiano ogni singola riga di codice? semplice, non può. Ci hanno provato e gli è andata male. Ora hanno tirato fuori il piano B.

Sono veramente curioso di conoscere gli scambi azionari della società nell'anno precedente al rilascio di questi portatili.
Marci24 Febbraio 2015, 12:27 #9
Originariamente inviato da: gpat
Dopo la morte viene il giudizio... ai PC venduti senza bloatware ci crederò quando li vedrò


Basta comprare pc business; ad esempio i portatili Dell Precision su cui ho messo mano non han su nulla e a corredo ti danno il DVD pultio di Windows, no partizioni di ripristino, no roba inutile e PC leggero e filante
Marci24 Febbraio 2015, 12:32 #10
Originariamente inviato da: Gnaffer
Infatti.

@BulletHe@d
Queste sono aziende da miliardi di dollari, ogni singolo processo interno viene definito con una tale precisione che noi nemmeno possiamo immaginare. La lettera del CTO è una bufala bella e buona. Quando hai tra le mani un prodotto che sai già ne venderai a MILIONI ogni singolo dettaglio è studiato a tavolino, dall'hardware al software. Quando dici che non senti di demonizzare Lenovo gli stai dando corda credendo che "ops, ci è sfuggito". Ma come può sfuggire una cosa del genere quando hai interi piani di ingegneri che studiano ogni singola riga di codice? semplice, non può. Ci hanno provato e gli è andata male. Ora hanno tirato fuori il piano B.

Sono veramente curioso di conoscere gli scambi azionari della società nell'anno precedente al rilascio di questi portatili.

La Samsung con i suoi fantastici aggiornamenti firmware ha appena accoppato migliaia di 850pro tra cui il mio su cui c'era parecchio lavoro
Secondo me ormai fanno scrivere il software a quattro scalzacani e nemmeno lo ricontrollano

Comunque, non so se avete mai preso in mano il PC di un cinese (intendo cinese della Cina, non italiano con gli occhi a mandorla) e c'è da mettersi le mani nei capelli in quanto a pattume spyware&co c'è preinstallato
Per non parlare degli smartphone venduti in Iran

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^