Huawei sotto accusa per la patch che rende Linux meno sicuro

L'azienda nega tutto e scarica la responsabilità su un dipendente.



[ZEUS News - www.zeusnews.it - 16-05-2020]

linux falla patch huawei

La vicenda della patch per il kernel Linux inviata da un dipendente di Huawei è stata alternativamente classificata come una figuraccia per Huawei, un errore imperdonabile da parte del dipendente in questione, oppure un pericolo immane per il sistema operativo del pinguino. A guardare bene, però, sembra più una vittoria del modello open source.

Tutto ha inizio la scorsa domenica, quando viene proposta una modifica al kernel Linux denominata Huawei Kernel Self Protection: dalla descrizione si evince che essa dovrebbe migliorare la sicurezza del kernel stesso, e dal nome pare che sia Huawei stessa a sottoporla.

Poi le cose si complicano. L'analisi del codice prima di una sua eventuale accettazione, condotta da Grsecurity, mostra come in realtà l'effetto di quella patch sia l'esatto opposto di quanto dichiarato: il codice contiene un errore (un mancato controllo su una variabile) che può portare a un buffer overflow, situazione che può essere sfruttata anche con una certa facilità per violare, e non rafforzare, la sicurezza.

A questo punto Huawei, che all'inizio per l'opinione pubblica pareva aver iniziato una brillante carriera di partecipazione allo sviluppo del kernel Linux, in un attimo viene accusata di aver voluto introdurre di proposito una backdoor, e interviene ufficialmente per discolparsi.

Il codice denominato Huawei Kernel Self Protection (Hksp) - afferma - è stato sviluppato da un dipendente dell'azienda come hobby condotto nel proprio tempo libero: non c'è pertanto alcun legame ufficiale con Huawei stessa, che non ha sviluppato il codice né l'ha mai utilizzato nei propri prodotti.

Parlando di Hksp, Huawei ha inoltre spiegato: «Si tratta soltanto di codice dimostrativo usato da un singolo durante una discussione tecnica con la comunità open source Openwall».

Questa spiegazione, che potrebbe anche funzionare, sarebbe però più credibile se al lunedì - quindi a cose fatte - Huawei non avesse modificato il file Readme allegato al progetto introducendo una variazione che non solo scagionava completamente l'azienda da ogni responsabilità verso Hksp, ma era retrodatata in modo tale da sembrare che fosse stata inserita già il venerdì precedente.

Forse si è trattato soltanto di un modo maldestro di sottolineare la propria estraneità ai fatti, ma il sotterfugio adoperato non ha fatto altro che alimentare i sospetti verso il gigante cinese, che già nel mondo tecnologico è visto con un certo sospetto a causa di pratiche passate non del tutto trasparenti e che da tempo sulla lista nera di Fbi, Cia, e Nsa.

Al di là delle responsabilità, però, la morale della storia è davvero una vittoria per il modello di sviluppo open source: il fatto che il codice venga controllato da molti occhi prima di venire accettato ufficialmente ha fatto sì - come peraltro è già capitato in altri tempi - che una modifica potenzialmente pericolosa venisse rifiutata prima ancora di essere implementata.

Né bisogna dimenticare che Linux, per quanto praticamente irrilevante in ambito desktop, è stabilmente il sistema operativo più adoperato in ambito server e gira sulla stragrande maggioranza degli smartphone, dato che il suo kernel è alla base di Android.

Pertanto il sospetto che qualcuno possa essere interessato a inserirvi una backdoor non può essere semplicemente derubricato a teoria complottista: dopotutto, se crediamo a Linus Torvalds, la Nsa è stata la prima a chiedere di inserirne una.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Anche Huawei beccata a barare nei benchmark degli smartphone
Fbi, Cia e Nsa: Non usate gli smartphone di Huawei e Zte
NSA chiese a Torvalds di mettere backdoor su Linux

Commenti all'articolo (ultimi 5 di 11)

A parte il fatto che una cosa del genere non è necessariamente negativa o, quantomeno, indicativa, poiché tutte le aziende e tutti coloro che non si adeguano alle richieste delle agenzie USA - ad esempio di inserire backdoor o di fornire il codice di applicazioni di sicurezza - automaticamente finiscono in quella lista. In questo caso... Leggi tutto
2-6-2020 11:10

@kenshir Sei messo un po' come me, anche se a me sui nuovi pc non chiedono un dualboot con W10+Linux e in quei casi o usano il pc come dico io con i software che dico io, senza fare nulla che non sia io a farlo, altrimenti io lavoro solo su ripristini e installazioni pulite di Windows. Con pc poco potenti, vecchi, che arrancano, anche... Leggi tutto
22-5-2020 11:38

Io di solito faccio proprio cosi' per i clienti, gli faccio acquistare una macchina con su un windows qualsiasi, e gli installo l'ultima ubuntu lts in doppio boot. O qualcosa di piu' leggero in casi estremi. Proprio in questo momento sto installando una mint 19.3 mate 32 bit su un notebook asus con un processore del 2009. E' comodo per... Leggi tutto
22-5-2020 03:19

Per me l'ideale sarebbe avere un dual boot anche con Windows, in un pc, perchè talvolta mi viene utile. Anche se, a tutti gli effetti uso Linux (Ubuntu,e altre a rotazione anche non Debian derivate). Se mi trovassi nella condizione di scegliere però non sceglierei Windows, per quanto possa essere performante e stabile nelle nuove... Leggi tutto
20-5-2020 17:33

dipende ancora molto dal notebook in questione - io ho uno degli ultimi Eee (EeeBook) che Asus aveva fatto (modello X205) e ci ho dovuto smanettare tanto sia per il wi-fi che per il touchpad che per l'audio. Il kernel Linux (all'epoca dei miei test) ne supportava ben poco.
20-5-2020 15:47

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
L'auto che si guida da sola... (completa la frase)
ci permetterà di sfruttare il tempo perso guidando, magari in coda.
ci toglierà l'ultimo brandello di privacy.
ci farà viaggiare più sicuri.
ci esporrà a nuovi pericoli, dovuti ai bug o agli attacchi degli hacker.
ci consentirà di ridurre l'inquinamento.
ci priverà dell'autonomia.
sarà accettabile solo se ci permetterà sempre di scegliere la guida manuale.
sarà sicura solo se non permetterà mai la guida manuale.

Mostra i risultati (5760 voti)
Luglio 2020
Hai installato Immuni?
Windows 10 rinnova il menu Start
Arriva Edge, e i computer rallentano
Giugno 2020
Favicon sfruttate per rubare i dati delle carte di credito
Windows 10, dov'è finita l'opzione per rimandare gli aggiornamenti?
Windows 10, l'ultimo aggiornamento riavvia i Pc a forza
La Casa Bianca e il video delle cataste di mattoni
Pornografia, il Parlamento prepara un filtro al web
La foto che paralizza alcuni smartphone Android
Il trucco che elimina la pubblicità da YouTube
L'Italia censura il progetto Gutenberg
Immuni, chiedete e vi sarà dato
Altro che Immuni: il Bluetooth va tenuto spento!
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Tutti gli Arretrati


web metrics