Vodafone ha trovato delle falle di sicurezza negli equipaggiamenti di rete di Huawei in passato. Gli episodi più importanti risalgono al 2011 e al 2012, e fanno riferimento a segnalazioni della divisione italiana; in entrambi i casi, le falle sono state risolte nel giro di qualche mese. L'indiscrezione proviene da Bloomberg, che dice di aver visionato documenti riservati di sicurezza dell'Operatore Rosso. Entrambe le società hanno confermato la notizia con dichiarazioni ufficiali.
Le vulnerabilità più gravi riguardavano i router per l'accesso alla linea internet fissa, che Vodafone aveva iniziato a comprare fin dal 2008 (prima in Italia e più avanti in altri mercati come UK, Germania, Spagna e Portogallo). In una presentazione di sicurezza risalente al 2009, Vodafone Italia identificava un totale di 26 bug nel firmware, 6 dei quali "critici" e 9 dei quali "importanti". In particolare, i router includevano un servizio per l'accesso remoto via Telnet, che fu chiesto di rimuovere. Huawei disse che l'avrebbe fatto, ma si limitò a disabilitarlo. Interrogata a riguardo da Vodafone, secondo cui esisteva la possibilità di riattivarlo (con conseguente accesso alla rete locale, ai computer e ai dispositivi degli utenti finali), Huawei disse che l'accesso Telnet le serviva per fare i test di qualità.
Vodafone aveva poi trovato vulnerabilità in alcune apparecchiature di rete come i nodi per la fibra ottica e i BNG (Broadband Network Gateway). La dichiarazione ufficiale secondo cui tutte le falle sono state risolte entro qualche mese sembra contraddire solo l'episodio del server Telnet: l'articolo originale non spiega come si è concluso.
Entrambe le dichiarazioni di Huawei e Vodafone vertono sul fatto che le falle di sicurezza sono un aspetto inevitabile (e piuttosto diffuso) di ogni sistema informatico e di rete. Tutte e due le società dicono che per loro la sicurezza è importante e che si impegnano per risolvere ogni problema il più rapidamente possibile. Ecco gli interventi integrali:
Vodafone:
Nel mondo delle telecomunicazioni non è raro che le vulnerabilità di un equipaggiamento vengano scoperte da operatori e terze parti. Vodafone prende molto sul serio la sicurezza ed è per questo che fa testare gli equipaggiamenti da terze parti indipendenti. Se una vulnerabilità esiste, Vodafone lavora con il produttore per risolverla rapidamente.
Huawei:
Le vulnerabilità software sono una sfida che interessa l'intero settore. Come ogni produttore ICT abbiamo un sistema di notifiche pubbliche e sviluppo di patch ben rodato, e quando una vulnerabilità viene identificata lavoriamo a stretto contatto con i nostri partner per correggerla nel modo più appropriato.
Huawei, come sappiamo, sta incontrando un'opposizione molto accesa (ne abbiamo parlato nel nostro approfondimento #prospettive), soprattutto in merito alla distribuzione di apparecchiature di rete 5G, da parte di diversi governi - primo tra tutti quello statunitense. La situazione è delicata perché si mescolano in un unico calderone reputazione, preoccupazione e fatti certi, con la conseguenza che è difficile capire chi ha fatto qualcosa, chi è sospettato e chi semplicemente "potrebbe". In questa ottica, è interessante osservare che Bloomberg tende ad alternare l'uso del termine "vulnerabilità" a "backdoor" con una certa agilità nel suo articolo. I due termini, però, non sono proprio sinonimi: la differenza tra l'uno e l'altro è l'intenzionalità. Quindi se una vulnerabilità può essere anche un errore in buona fede, una backdoor è piazzata di proposito, anche qui con obiettivi da capire: possono essere poco nobili e illegali oppure di semplice diagnostica, come per esempio nel caso del server telnet.
Naturalmente, come osserva nello stesso articolo il professore associato Stefano Zanero del Politecnico di Milano, una backdoor ben progettata è difficile da individuare, perché l'autore si impegnerà per farla sembrare un errore innocente. "Detto questo, le vulnerabilità descritte nei rapporti Vodafone del 2009 e del 2011 hanno tutte le caratteristiche di una backdoor: facilità di smentita, accesso e tendenza a ricomparire in versioni successive del codice". Riuscire a dimostrare la malafede con certezza, però, è tutto un altro paio di maniche.
https://www.hdblog.it/2019/04/30/vodafone-huawei-sicurezza-vulnerabilita-router/
2019-04-30 11:52:08Z
52781552919363
Bagikan Berita Ini
0 Response to "Vodafone Italia trovò vulnerabilità in dispositivi Huawei, che furono risolte - HDblog"
Post a Comment