La vulnerabilità scoperta da Vodafone in uno dei dispositivi forniti da Huawei, oggetto di un’inchiesta di Bloomberg, “non sarebbe sufficiente a creare particolari preoccupazioni, è stata scoperta e risolta. Ma il contesto raccontato nel documento”, ovvero “che era già stata identificata e rimossa in precedenza, ma è poi stata aggiunta di nuovo dà da pensare”.
A crederlo è Stefano Zanero, professore associato del Deib, il dipartimento di computer engineering del Politecnico di Milano, che in una conversazione con Formiche.net analizza la vicenda.

Professor Zanero, che cosa emerge dal report Vodafone-Huawei reso noto da Bloomberg?

Il documento riporta la scoperta, da parte di Vodafone, di una vulnerabilità in uno dei dispositivi forniti da Huawei. Nello specifico si tratta di un servizio Telnet – tipicamente usato in passato per l’amministrazione di dispositivi, e oggi largamente sostituito da SSH – aperto all’insaputa di Vodafone, cioè, non documentato, con credenziali “hardcoded”, ovvero fissate dal produttore.
Ciò che è più importante, però, non è questa specifica vulnerabilità – che non è nemmeno rara, è successa in dispositivi di molti produttori molte volte negli anni – ma ciò che il documento di Vodafone riferisce, ovvero che era già stata identificata e rimossa in precedenza, ma è poi stata aggiunta di nuovo.

Ci sono ragioni per considerare preoccupante, dal punto di vista della sicurezza, quanto contenuto nel report?

Da un lato, la vulnerabilità in sé non sarebbe sufficiente a creare particolari preoccupazioni, è stata scoperta e risolta. Ma il contesto raccontato nel documento, ovvero la costante ricomparsa di questi elementi, dà da pensare.

Vodafone ha risposto di essersi confrontata con bug e non backdoor. Qual è la differenza? Ed è corretta questa affermazione a fronte di quanto evidenziato dal report?

Intanto, è molto difficile ex post distinguere le due cose. Una backdoor ben progettata dovrebbe essere indistinguibile da una vulnerabilità (si chiama “plausible deniability”). Quindi l’affermazione “non è una backdoor ma una vulnerabilità” ha ben poco senso. E del resto, è proprio il documento di Vodafone che parla senza mezzi termini di backdoor.

La telco britannica, come lei ha ricordato, ha anche commentato che “la backdoor a cui Bloomberg fa riferimento è in realtà Telnet, che è un protocollo comunemente utilizzato da molti fornitori del settore per l’esecuzione di funzioni diagnostiche. Non sarebbe stato accessibile da internet”. Perché allora tanto clamore su questa vicenda?

L’affermazione è quantomeno ambigua. Il problema non è certo il protocollo, ma la sua presenza non documentata e ricorrente nei dispositivi. Di nuovo: è stata Vodafone stessa a considerarlo un problema di sicurezza da risolvere, lo ha scritto anche nella sua stessa dichiarazione.
Sul fatto che “non sarebbe stato accessibile” mi permetto di esprimere dei dubbi, ma in fondo su questo abbiamo soltanto la dichiarazione di Vodafone e nessun dato indipendente su cui basarci.

Secondo alcuni osservatori, la vicenda dimostrerebbe anche che alla base del successo e della indispensabilità delle apparecchiature di aziende cinesi come Huawei ci sarebbero i bassi costi che – anche grazie a politiche di sostegno statale vietate in Europa e negli Usa – mettono fuori mercato i loro competitor occidentali. Considera verosimile questa affermazione? E a che rischi espone una scelta orientata solo a parametri di costo, quando si ha a che fare con la necessità di alti standard di sicurezza?

Non ho elementi per valutare questa affermazione, che esula dalle mie competenze. Mi permetto di fare invece un’osservazione più ampia, in termini del tutto generali e non riferiti al caso Huawei/Vodafone, giacché altre istanze dello stesso problema sono già accadute con sostanzialmente tutti gli attori di riferimento.
Un carrier è un’azienda, e quindi ovviamente deve valutare attentamente i costi. Se i risparmi sono consistenti, è evidente il conflitto di interessi che si può generare nella valutazione della sicurezza degli apparati. Per questo ritengo (in via del tutto generale, e non riferita a questo specifico caso soltanto) che sia sbagliato attribuire soltanto ai carrier il ruolo di valutare la sicurezza degli apparati, in particolare per le infrastrutture critiche e di interesse nazionale. Deve esistereuna valutazione operata in base all’interesse pubblico. Mi pare interessante, in tal senso, quanto previsto dal Cybersecurity Act.

In relazione a questo caso, il professor Maurizio Mensi ha commentato ieri a Formiche.net che i timori sollevati da questo tipo di situazioni confermerebbero la bontà “dell’approccio restrittivo che gli Usa hanno sempre avuto finora sul tema” delle telecomunicazioni, e che ciò sarà ancora più vero con l’arrivo del 5G. Condivide questa valutazione?

Sono d’accordo solo in parte, perché alle legittime preoccupazioni di sicurezza, nel messaggio degli Usa, si sovrappongono (altrettanto legittimi) interessi commerciali. Secondo me il vero tema retrostante è quello della sovranità tecnologica. Per certi tipi di tecnologie abilitanti, i paesi europei non possono dipendere in modo critico da fornitori esteri. Deve esistere un’alternativa domestica e ben conoscibile per creare queste architetture critiche.