La notizia la conoscete. Come riportato anche sul Sole 24 Ore, in un report interno di Vodafone del 2012 c’ il riscontro di una serie di vulnerabilit e almeno una backdoor in alcuni
prodotti usati nelle reti Vodafone in Italia. Tra questi, un modello di router casalingo venduto ai clienti Adsl e anche altri
apparecchi di rete utilizzati nell’infrastruttura interna.
Nell’articolo di Bloomberg viene posto l’accento sul comportamento poco chiaro di Huawei, che dopo aver ricevuto una richiesta di rimozione della backdoor ha praticamente fatto finta di toglierla, per poi ammettere
che non poteva farlo solo dopo che Vodafone si era accorta che il sistema Telnet di cui volevano sbarazzarsi era ancora al
suo posto.


Il sospetto che si possa trattare di una backdoor volontaria – ci dice Nicola Ferioli, Head of Engineering di Akamay Italia – sorge spontaneamente ed assolutamente lecito, ma bisogna considerare il quadro
complessivo. Quando si sviluppa un prodotto comodissimo usare una connessione Telnet per controllarne il funzionamento e
correggere gli errori nel software. Poi bisognerebbe eliminare i server Telnet nell’ultima versione e affidarsi a sistemi
di configurazione pi affidabili e, soprattutto, che tengano un registro degli accessi. A quanto pare, invece, non solo il
sistema telnet fu mantenuto, ma rappresentava anche l’unico modo che Huawei aveva per configurare in fabbrica i dispositivi.
Ma perch dare l’ok a Vodafone e poi riproporre il servizio solo leggermente modificato? La risposta potrebbe apparire molto pi semplice se si considera un elemento importante: si sta parlando di prodotti di otto anni fa. Ai tempi, Huawei era una societ che cresceva a un ritmo spaventoso e, come spesso accadeva nelle aziende cinesi in quel
periodo, i processi che ne gestivano le operazioni non erano ancora perfettamente a punto. Questo poteva causare confusione.
Ho lavorato anche nella produzione di software – conferma Ferioli – e succede relativamente spesso che qualcuno chieda di togliere una funzione, ma questa venga poi reinserita o perch un
altro pezzo del team stava lavorando partendo da una revisione del codice precedente all’eliminazione del servizio richiesto
o perch qualcuno si accorge che quel pezzo indispensabile. Ovviamente, il produttore dovrebbe sempre documentare le funzioni
che fornisce, ma se la comunicazione non funziona bene pu accadere di tutto.
Inoltre, la creazione di software sicuro una cosa tutt’altro che scontata ancora ai giorni nostri, figuriamoci sette anni
fa
. In effetti – ci dice Giorgio di Grazia, Solution sales engineer di F-Secure – servono programmatori di alto livello per avere software sicuro in partenza. Un recente studio dell’Universit di Bonn
ha dimostrato che se un programmatore riceve uno stipendio elevato il suo software sar mediamente molto pi sicuro di quello
prodotto da un programmatore pagato di meno. Inoltre, se io dovessi compiere una operazione di spionaggio, eviterei di usare
due volte lo stesso sistema, soprattutto se mi hanno appena chiesto di toglierlo.
Insomma, sebbene non si possa mai escludere l’ipotesi pi negativa, la maggior parte delle prove sembra puntare in una direzione diversa dallo spionaggio. Ma c’ di pi. Il problema delle backdoor e delle vulerabilit non solo asiatico.
Succede relativamente spesso – conferma di Grazia – che vengano rilevate backdoor e vulnerabilit negli apparati di rete
di produttori di tutto il mondo. La maggior parte sicuramente dovuta a distrazioni in fase di rilascio del software, che
non viene ripulito da tutto quello che non dovrebbe pi esserci, ma ricordiamoci che Edward Snowden ha fatto rivelazioni importanti
su progetti di spionaggio a livello governativo che non erano cinesi.

proprio di ieri, per esempio, la notizia che negli switch di rete Serie 9000 di Cisco erano state lasciate per errore due chiavi SSH di default, ovvero uguali per tutti, che permettevano a chiunque di collegarsi e prendere il controllo del dispositivo. In questo caso
il problema stato risolto tramite una patch, ma tutt’altro che raro che delle vulnerabilit segnalate non vengano risolte
perch il prodotto affetto ormai obsoleto o semplicemente fuori dalle linee di produzione, anche se nel mercato ancora
ampiamente utilizzato.

Inoltre, tutt’altro che raro che delle vulnerabilit segnalate non vengano risolte perch il prodotto affetto ormai obsoleto o
semplicemente fuori dalle linee di produzione, anche se nel mercato ancora ampiamente utilizzato
.
L’incidente tra Huawei e Vodafone sembrerebbe quindi essere per lo pi legato a un problema di comunicazione e organizzazione del lavoro del produttore cinese, ma soprattutto non un caso
isolato
e, anzi, solo uno dei molti casi simili che avvengono costantemente da anni. Allora, resta una domanda: perch a distanza di sette anni stato tirato fuori un report che parla di un incidente tutto sommato banale?

© Riproduzione riservata



Sorgente – ilsole24ore.com