La notizia la conoscete. Come riportato anche sul Sole 24 Ore, in un report interno di Vodafone del 2012 c’è il riscontro di una serie di vulnerabilità e almeno una backdoor in alcuni prodotti usati nelle reti Vodafone in Italia. Tra questi, un modello di router casalingo venduto ai clienti Adsl e anche altri apparecchi di rete utilizzati nell'infrastruttura interna.
Nell’articolo di Bloomberg viene posto l'accento sul comportamento poco chiaro di Huawei, che dopo aver ricevuto una richiesta di rimozione della backdoor ha praticamente fatto finta di toglierla, per poi ammettere che non poteva farlo solo dopo che Vodafone si era accorta che il sistema Telnet di cui volevano sbarazzarsi era ancora al suo posto.

«Il sospetto che si possa trattare di una backdoor volontaria – ci dice Nicola Ferioli, Head of Engineering di Akamay Italia – sorge spontaneamente ed è assolutamente lecito, ma bisogna considerare il quadro complessivo. Quando si sviluppa un prodotto è comodissimo usare una connessione Telnet per controllarne il funzionamento e correggere gli errori nel software. Poi bisognerebbe eliminare i server Telnet nell'ultima versione e affidarsi a sistemi di configurazione più affidabili e, soprattutto, che tengano un registro degli accessi. A quanto pare, invece, non solo il sistema telnet fu mantenuto, ma rappresentava anche l'unico modo che Huawei aveva per configurare in fabbrica i dispositivi».
Ma perché dare l'ok a Vodafone e poi riproporre il servizio solo leggermente modificato? La risposta potrebbe apparire molto più semplice se si considera un elemento importante: si sta parlando di prodotti di otto anni fa. Ai tempi, Huawei era una società che cresceva a un ritmo spaventoso e, come spesso accadeva nelle aziende cinesi in quel periodo, i processi che ne gestivano le operazioni non erano ancora perfettamente a punto. Questo poteva causare confusione.
«Ho lavorato anche nella produzione di software – conferma Ferioli – e succede relativamente spesso che qualcuno chieda di togliere una funzione, ma questa venga poi reinserita o perché un altro pezzo del team stava lavorando partendo da una revisione del codice precedente all'eliminazione del servizio richiesto o perché qualcuno si accorge che quel pezzo è indispensabile. Ovviamente, il produttore dovrebbe sempre documentare le funzioni che fornisce, ma se la comunicazione non funziona bene può accadere di tutto».
Inoltre, la creazione di software sicuro è una cosa tutt'altro che scontata ancora ai giorni nostri, figuriamoci sette anni fa. «In effetti – ci dice Giorgio di Grazia, Solution sales engineer di F-Secure – servono programmatori di alto livello per avere software sicuro in partenza. Un recente studio dell'Università di Bonn ha dimostrato che se un programmatore riceve uno stipendio elevato il suo software sarà mediamente molto più sicuro di quello prodotto da un programmatore pagato di meno. Inoltre, se io dovessi compiere una operazione di spionaggio, eviterei di usare due volte lo stesso sistema, soprattutto se mi hanno appena chiesto di toglierlo».
Insomma, sebbene non si possa mai escludere l'ipotesi più negativa, la maggior parte delle prove sembra puntare in una direzione diversa dallo spionaggio. Ma c'è di più. Il problema delle backdoor e delle vulerabilità non è solo asiatico.
«Succede relativamente spesso – conferma di Grazia – che vengano rilevate backdoor e vulnerabilità negli apparati di rete di produttori di tutto il mondo. La maggior parte è sicuramente dovuta a distrazioni in fase di rilascio del software, che non viene ripulito da tutto quello che non dovrebbe più esserci, ma ricordiamoci che Edward Snowden ha fatto rivelazioni importanti su progetti di spionaggio a livello governativo che non erano cinesi».

È proprio di ieri, per esempio, la notizia che negli switch di rete Serie 9000 di Cisco erano state lasciate per errore due chiavi SSH di default, ovvero uguali per tutti, che permettevano a chiunque di collegarsi e prendere il controllo del dispositivo. In questo caso il problema è stato risolto tramite una patch, ma è tutt'altro che raro che delle vulnerabilità segnalate non vengano risolte perché il prodotto affetto è ormai obsoleto o semplicemente fuori dalle linee di produzione, anche se nel mercato è ancora ampiamente utilizzato.

Inoltre, è tutt'altro che raro che delle vulnerabilità segnalate non vengano risolte perché il prodotto affetto è ormai obsoleto o semplicemente fuori dalle linee di produzione, anche se nel mercato è ancora ampiamente utilizzato.
L'incidente tra Huawei e Vodafone sembrerebbe quindi essere per lo più legato a un problema di comunicazione e organizzazione del lavoro del produttore cinese, ma soprattutto non è un caso isolato e, anzi, solo uno dei molti casi simili che avvengono costantemente da anni. Allora, resta una domanda: perché a distanza di sette anni è stato tirato fuori un report che parla di un incidente tutto sommato banale?

© Riproduzione riservata