Kdo je konec tedna posredoval luknjasto kodo v Linuxovo jedro?
Matej Huš
13. maj 2020 ob 23:34:05
V nedeljo je bil za Linuxovo jedro oddan popravek, ki se je imenoval Huawei Kernel Self Protection (HKSP). Popravek naj bi dodal vrsto varnostnih izboljšav v jedro, presenetilo pa je njegovo poimenovanje. Velika podjetja (Google, Microsoft, Amazon ipd.) neredko prispevajo popravke za Linuxovo jedro, saj ga sama veliko uporabljajo. Huaweijev popravek je bil zato deležen posebne pozornosti, ker je kazal, da se je za to prakso odločil tudi Huawei. Strokovnjaki iz Grsecurity, kjer se tudi ukvarjajo z istim poslom, so zato pod drobnogled vzeli novi popravek. Ugotovili so, da v njem mrgoli hroščev in ranljivosti, ki jih je zlahka mogoče uporabiti za napad.
Ni si težko predstavljati, da je to sprožilo ogromno polemik. Ali je želel Huawei v Linuxovo jedro vriniti ranljivosti? To bi bilo precej neumno, saj se koda pred vključitvijo temeljito preveri. Položaj se je zapletel, ko je Huawei v ponedeljek javno sporočil, da s popravkom nimajo nič. Poslal naj bi ga eden izmed zaposlenih na lastno pest kot del svojega popoldanskega projekta, medtem ko ga Huawei ni razvil niti ga ne uporablja v svoji opremi ali izdelkih. Da gre za lasten projekt, je v repozitorij kasneje dopisal tudi avtor kode. Ta koda je bila tudi antedatirana na petek, čeprav je bila dodana v nedeljo, kar je dodatna nenavadnost.
Javno dostopne informacije kažejo, da je avtor kode Huaweijev zaposleni, ki sodi v 20. plačni razred na področju varnosti izdelkov, kar je najvišji razred za inženirje. Gre torej za zelo izkušenega človeka. Koda ne bo vključena v jedro, je pa incident pokazal, da preverjanje popravkov deluje. Kaj točno je bil motiv, pa je težko ugotoviti. Strokovnjaki pa so prepričani, da Huawei ni namerno poskusil vnesti ranljivosti na tak način, ker je to naivno in neumno (koda je očitno hroščata, avtor je zaposlen v podjetju, Linuxovo jedro je najnatančneje preverjen del kode). In Huaweiju so se spodrsljaji z varnostjo kode že zgodili.