Huawei ha negato di avere un coinvolgimento in una patch proposal per il kernel Linux che è stato dimostrato essere non sicura. La patch in questione secondo i ricercatori di sicurezza ha introdotto una vulnerabilità “banalmente sfruttabile“. Andiamo con ordine e riepiloghiamo quanto accaduto nelle scorse ore.
Una patch buggata è stata presentata attraverso una mailing list nella giornata di domenica 10 maggio. Chiamata HKSP (Huawei Kernel Self Protection), la patch avrebbe dovuto introdurre una serie di opzioni per rafforzare la sicurezza nel kernel Linux. Le grandi aziende tecnologiche che usano pesantemente Linux nei loro data center e servizi online (come Google, Microsoft, Amazon, etc), spesso preparano e presentano patch per il kernel.
Linux, vulnerabilità in HKSP: polemiche su Huawei
Domenica l’invio di HKSP ha suscitato subito interesse nella comunità Linux ed è stato visto, almeno inizialmente, come un contributo importante da parte di un gigante come Huawei. Per questo motivo la patch è stata sottoposta a un controllo immediato, anche da parte sviluppatori di Grsecurity, un progetto che fornisce il proprio set di patch per la protezione e la sicurezza del kernel Linux.
In un post sul blog pubblicato lo stesso giorno, il team di Grsecurity ha dichiarato di aver scoperto che la patch HKSP stava introducendo una vulnerabilità “banalmente sfruttabile” nel codice del kernel. Il codice è stato definito di bassa qualità e la falla è dovuta a un mancato controllo su una variabile che può essere sfruttata per generare un buffer overflow da parte di un malintenzionato.
Teorie complottistiche sono iniziate quasi immediatamente iniziate online. Huawei è stata accusata del tentativo di introdurre furtivamente una vulnerabilità nel kernel Linux. Nel complicato panorama politico di oggi, tali accuse non sono né nuove né sorprendenti.
Huawei: il dipendente ha agito per suo conto
Tuttavia, in una dichiarazione pubblicata lunedì, Huawei ha dichiarato che la società non ha alcun coinvolgimento ufficiale nel progetto HKSP, nonostante il progetto utilizzi il nome Huawei nel suo titolo e il progetto sia stato sviluppato da uno dei suoi principali ingegneri della sicurezza.
La società ha dichiarato che il progetto è stato creato e presentato al progetto del kernel Linux dall’ingegnere il quale avrebbe agito per conto suo.
È solo il codice demo utilizzato da un individuo per una discussione tecnica con la comunità open source Openwall. Il codice HKSP non è mai stato effettivamente utilizzato in nessuno dei prodotti ufficiali Huawei.
questa la difesa dell’azienda.
Ad alimentare le polemiche però è stato un commit aggiunto al file README del progetto che va a scagionare Huawei. Commit che è stato (intenzionalmente? a pensa male ci si azzecca…) retrodatato alla data di venerdì, data di creazione del repository. Chiaro tentativo di insabbiare tutto e derubricarlo come semplice errore da parte di un dipendente. La cosa ovviamente non è sfuggita agli analisti di Grsecurity che l’hanno subito messa in evidenza.
La reazione della comunità tecnologica in questo caso particolare mostra anche il sentimento globale contro l’azienda cinese, che è stato spinto negli ultimi anni da innumerevoli problemi di sicurezza nei prodotti dell’azienda, accuse di furto di proprietà intellettuale, accuse di nascondere backdoor segrete nel suo firmware e nei suoi dispositivi.
Cosa ne pensate?
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.