L'azienda nega tutto e scarica la responsabilità su un dipendente.
[ZEUS News - www.zeusnews.it - 16-05-2020]
La vicenda della patch per il kernel Linux inviata da un dipendente di Huawei è stata alternativamente classificata come una figuraccia per Huawei, un errore imperdonabile da parte del dipendente in questione, oppure un pericolo immane per il sistema operativo del pinguino. A guardare bene, però, sembra più una vittoria del modello open source.
Tutto ha inizio la scorsa domenica, quando viene proposta una modifica al kernel Linux denominata Huawei Kernel Self Protection: dalla descrizione si evince che essa dovrebbe migliorare la sicurezza del kernel stesso, e dal nome pare che sia Huawei stessa a sottoporla.
Poi le cose si complicano. L'analisi del codice prima di una sua eventuale accettazione, condotta da Grsecurity, mostra come in realtà l'effetto di quella patch sia l'esatto opposto di quanto dichiarato: il codice contiene un errore (un mancato controllo su una variabile) che può portare a un buffer overflow, situazione che può essere sfruttata anche con una certa facilità per violare, e non rafforzare, la sicurezza.
A questo punto Huawei, che all'inizio per l'opinione pubblica pareva aver iniziato una brillante carriera di partecipazione allo sviluppo del kernel Linux, in un attimo viene accusata di aver voluto introdurre di proposito una backdoor, e interviene ufficialmente per discolparsi.
Il codice denominato Huawei Kernel Self Protection (Hksp) - afferma - è stato sviluppato da un dipendente dell'azienda come hobby condotto nel proprio tempo libero: non c'è pertanto alcun legame ufficiale con Huawei stessa, che non ha sviluppato il codice né l'ha mai utilizzato nei propri prodotti.
Parlando di Hksp, Huawei ha inoltre spiegato: «Si tratta soltanto di codice dimostrativo usato da un singolo durante una discussione tecnica con la comunità open source Openwall».
Questa spiegazione, che potrebbe anche funzionare, sarebbe però più credibile se al lunedì - quindi a cose fatte - Huawei non avesse modificato il file Readme allegato al progetto introducendo una variazione che non solo scagionava completamente l'azienda da ogni responsabilità verso Hksp, ma era retrodatata in modo tale da sembrare che fosse stata inserita già il venerdì precedente.
Forse si è trattato soltanto di un modo maldestro di sottolineare la propria estraneità ai fatti, ma il sotterfugio adoperato non ha fatto altro che alimentare i sospetti verso il gigante cinese, che già nel mondo tecnologico è visto con un certo sospetto a causa di pratiche passate non del tutto trasparenti e che da tempo sulla lista nera di Fbi, Cia, e Nsa.
Al di là delle responsabilità, però, la morale della storia è davvero una vittoria per il modello di sviluppo open source: il fatto che il codice venga controllato da molti occhi prima di venire accettato ufficialmente ha fatto sì - come peraltro è già capitato in altri tempi - che una modifica potenzialmente pericolosa venisse rifiutata prima ancora di essere implementata.
Né bisogna dimenticare che Linux, per quanto praticamente irrilevante in ambito desktop, è stabilmente il sistema operativo più adoperato in ambito server e gira sulla stragrande maggioranza degli smartphone, dato che il suo kernel è alla base di Android.
Pertanto il sospetto che qualcuno possa essere interessato a inserirvi una backdoor non può essere semplicemente derubricato a teoria complottista: dopotutto, se crediamo a Linus Torvalds, la Nsa è stata la prima a chiedere di inserirne una.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator