lunedì 01 marzo 2021

Sicurezza informatica: Huawei nei guai per una patch su Linux

Domenica 24 maggio, viene proposta una modifica al kernel Linux denominata Huawei Kernel Self Protection: tecnicamente avrebbe dovuto migliorare la sicurezza del kernel.

L’analisi del codice, condotta da Grsecurity, mostra come in realtà l’effetto di quella patch sia l’esatto opposto di quanto dichiarato: il codice contiene un errore (un mancato controllo su una variabile) che può portare a un buffer overflow, situazione che può essere sfruttata anche con una certa facilità per violare, e non rafforzare, la sicurezza.

A questo punto Huawei, che all’inizio per l’opinione pubblica pareva aver iniziato una brillante carriera di partecipazione allo sviluppo del kernel Linux, in un attimo viene accusata di aver voluto introdurre di proposito una backdoor, e interviene ufficialmente per discolparsi.

Parlando di Hksp, Huawei ha inoltre spiegato: «Si tratta soltanto di codice dimostrativo usato da un singolo durante una discussione tecnica con la comunità open source Openwall».

Questa spiegazione, che potrebbe anche funzionare, sarebbe però più credibile se al lunedì – quindi a cose fatte – Huawei non avesse modificato il file Readme allegato al progetto introducendo una variazione che non solo scagionava completamente l’azienda da ogni responsabilità verso Hksp, ma era retrodatata in modo tale da sembrare che fosse stata inserita già il venerdì precedente.

Forse si è trattato soltanto di un modo maldestro di sottolineare la propria estraneità ai fatti, ma il sotterfugio adoperato non ha fatto altro che alimentare i sospetti verso il gigante cinese, che già nel mondo tecnologico è visto con un certo sospetto a causa di pratiche passate non del tutto trasparenti e che da tempo sulla lista nera di Fbi, Cia, e Nsa.

Al di là delle responsabilità, però, la morale della storia è davvero una vittoria per il modello di sviluppo open source: il fatto che il codice venga controllato da molti occhi prima di venire accettato ufficialmente ha fatto sì – come peraltro è già capitato in altri tempi – che una modifica potenzialmente pericolosa venisse rifiutata prima ancora di essere implementata.

Né bisogna dimenticare che Linux, per quanto praticamente irrilevante in ambito desktop, è stabilmente il sistema operativo più adoperato in ambito server e gira sulla stragrande maggioranza degli smartphone, dato che il suo kernel è alla base di Android.

Pertanto il sospetto che qualcuno possa essere interessato a inserirvi una backdoor non può essere semplicemente derubricato a teoria complottista: dopotutto, se crediamo a Linus Torvalds, la Nsa è stata la prima a chiedere di inserirne una.