Shuttleworth: il firmware è il trojan universale

Qual è il punto più debole di computer, telefoni, tablet, router, e di tutti quegli apparecchi che si possono programmare, dalle Smart TV agli elettrodomestici intelligenti?

Secondo Mark Shuttleworth, il fondatore di Ubuntu, si tratta del firmware. Anzi, Shuttleworth si spinge a dire che il firmware è una minaccia.

«Discutere sull'ACPI per il vostro dispositivo di nuova generazione è discutere se installare un cavallo di Troia di proporzioni monumentali in soggiorno e nel centro dati. Sono stato a Troia, non è rimasto molto» ha scritto in un recente post sul proprio blog.

Articoli suggeriti:

Xz, Solarwinds e l'Armageddon prossimo venturo

Android, quando il trojan è direttamente nel firmware

Una backdoor minaccia i router Linksys e Netgear

Autore di trojan minaccia in chat ricercatori di AVG

Il fatto è che, secondo Mark Shuttleworth, i firmware proprietari che contengono codice eseguibile spesso sono scritti in maniera poco accurata, quando non addirittura da qualche «incompetente». Il fatto che il loro codice non sia pubblico non significa che i malintenzionati - spesso molto competenti - non sappiano sfruttarne le debolezze.

Diversi casi accaduti in passato danno ragione a questa visione: basti pensare alla vulnerabilità scoperta nei router Linksys, al bug delle stampanti HP che pareva addirittura poterle fare esplodere, o la pessima abitudine di scrivere le password dei sistemi SCADA direttamente nel codice. E l'elenco potrebbe continuare

La soluzione alternativa proposta dal creatore di Ubuntu è l'adozione di firmware che non includano più codice eseguibile: «Un firmware dichiarativo che descriva i collegamenti e le dipendenze dell'hardware ma non includa codice eseguibile è la migliore occasione di ottenere una vera sicurezza bottom-up».

Sarebbe quindi compito del sistema operativo - Linux, nella visione di Shuttleworth - occuparsi del codice eseguibile: «Il kernel sarebbe il posto adatto per fornire la parte software dell'innovazione che si sta vendendo».

Ciò non potrebbe essere fatto con Windows, che è chiuso e terze parti non vi possono aggiungere funzioni: la natura aperta di Linux lo rende invece disponibile ad accogliere le esigenze dei produttori, che non devono più affidarsi al firmware se vogliono aggiungere caratteristiche da far utilizzare al sistema.