Informazioni personali

Cerca nel blog

Translate

lunedì 24 agosto 2020

5G, huawei e la sicurezza

Lo so, lo so, se ne parla tanto, purtroppo a sproposito sempre più.

Non entro nella questione della sicurezza sul 5G, su cui mi sono espresso in passato, ma sul, a me, poco comprensibile botta e risposta tra Huawei (in luogo della Cina) ed il 5G.

Ultimo in famiglia il DPCM del governo in merito su cui ho letto di tutto e di più.

alcuni che affrontno la questione in maniera sensata vedi:

https://formiche.net/2020/08/dpcm-tim-huawei-superamento-del-nodo-cina-lopinione-del-prof-monti/

altri meno

http://247.libero.it/bfocus/718979/x200824070051512936/a-huawei-il-5g-italiano-grazie-al-dpcm-segreto-di-conte/

Ma neanche su questo voglio discorrere, vorrei mettere un punto a monte: di cosa stiamo parlando?

La sicurezza delle telecomunicazioni e dello sviluppo di una infrastruttura 5G, che solo chi non capisce nulla dell’argomento associa a stupidate tipo il frigorifero su internet o il telefonino più veloce, è un argomento cardine legato a doppio filo con lo sviluppo da un lato dell’IoT e dall’altro della covergenza tra LAN, WAN e telecomunicazione che consente di superare da un lato limitazioni geografiche implementative di servizi dall’altro di creare il cosidetto sviluppo smart (esempio smart city, smart industry) che sarebbe l’evoluzione della digitalizzazione corrente.

Questa sicurezza è lagata a un numero innumerevole di fattori di cui il 5G ricopre una parte importante anche se non esaustiva.

Messe da parte le stupidate del tipo Huawei ci spia l’argomento è il livello di sicurezza che lo stato italiano, e l’europa, vogliono dare allo sviluppo delle telecomunicazioni.

Questa sicurezza non si ottiene da discutibili ban di vendor che suonano più come un esigenza tattica o da geopolitica abbastanza miope.

Il meccanismo potrebbe ingenerare un circolo di pirlate autarchiche che sarebbe sopportabile solo se l’europa fosse tecnologicamente indipendente cosa che non è.

E visto che viene sempre messo in mezzo, il supporto della amministrazione americana verso gli alleati è compromesso dalle azioni della amministrazione stessa nei confronti degli alleati europei più che dall’accettare huawei nelle proprie reti. Un patner inaffidabile rimane inaffidabile anche se si cerca di compiacerlo.

Allora come costruiamo un rete sicura? E cosa vuol dire sicurezza?

Iniziamo dal secondo punto. Parlando di reti di telecomunicazioni i rischi vanno dalla interruzione dei servizi al monitoraggio delle informazioni.

L’interruzione di servizi è un probelma enorme, visto la dipendenza mondiale dai servizi di digitalizzazione. E i danni che ne risulterebbero sono di difficile computo. Unosviluppo non corretto e sicuro delle infrastrutture 5G non farebbe che moltiplicare i rischi in merito.

E lo so che la Bielorussia e la Turchia internet di tanto in tanto la bloccano, ma sono davvero gli esempi di sviluppo democratico ed economico che vogliamo prendere da esempio?

Il monitoraggio delle informazioni, invece, che sembra essere la bestia nera per cui i cinesi sono inaffidabili è invece già qui su larga scala e non per colpa delle backdoor di questo o quel vendor, visto che nella maggior parte dei casi (se si eccettuano le trovate simpatiche e dimostrate dei nostri amici Statunitensi e UK che spiavano i nodi di uscita dei cavi sottomarini da internet per fare mass surveillance) queste attività sono facilmente fattibili sugli endpoint più che sul backbone la questione ha valenze tecniche diverse.

Sempre sul secondo punto, per altro, i protocolli legati ai vari nG sono stati largamente bucati da tempo, e non per la introduzione di backdoor ma per pessima progettazione dei protocolli in termini di sicurezza.

Il 5G non fa differenza, con l’aggiunta che se si fosse capito cosa sia il realtà il 5G ci si renderebbe conto che le problematiche vanno dai protoclli di trasmissione al sistema di gestione dei servizi. Ok troppo complicato immagino, comunque a livello divulgativo ne ho scritto qui:

e

Ora il vero probelma del 5G è quello che i Telco si trascinano da anni: codice scritto senza tenere in considerazione le esigenze di sicurezza (che prima non si filava nessuno).

Migliaia di righe di codice da sanitizzare sono un lavoro titanico, e il 5G usa tanto di quel codice. E una infrastruttura telco usa non solo elementi nuovi ma anche vecchi.

Per capirci il governo cinese o quello statunitense non hanno bisogno di crearsi backdoor, basta che usino i bug di sicurezza di cui queste piattaforme abbondano in maniera esagerata.

Il ban ad un vendor o una nazione non servono in termini di sicurezza o qualità del codice, ma a soddisfare altre esigenze che con la sicurezza in termini informatici o di telecomunicazione non hanno nulla a che fare.

come facciamo allora sicurezza?

Ora il probelma risiede in 2 fattori chiave: la qualità del codice ed il suo controllo.

La qualità del codice è sempre stato punto dolente, qualità significa costi e sullo sviluppo meno si paga meglio è per troppi. Molte, troppe backdoor sono frutto in realtà di pessime abitudini di programmazione e allegra gestione dei controlli qualitativi.

Qualità significa anche, e sopratutto, avere parametri di riferimento oggettivi cui confrontarsi. Senza questi parametri ogni valutazione è arbitraria.

Ma questi parametri devono essere chiari e pubblici, altrimenti non funziona il meccanismo. Occorrono organismi seri e qualificati che questi parametri di qualità li mettano nero su bianco e li tengano aggiornati.

E la cosa dovrebbe essere fatta almeno a livello europeo.

La qualità però per essere verificata ha bisogno di controlli indipendenti da chi ha interessi in gioco. Vendor o Telco NON possono essere contemporaneamente i controllori ed i controllati, non funziona così. Occorrono elementi terzi, possibilmente governativi (avete presente l’ansi francese) o, meglio, europei che siano in grado di definire politiche di monitoraggio, controllo ed adeguamento, in maniera da gestire correttamente la questione in maniera trasparente ed oggettiva.

E che svolgano questa azione per tutti, non per un solo vendor.

Intendiamoci il codice se non lo controlliamo noi lo controllerano comunque i cybercriminali, il punto è venirne a capo prima di loro, per quanto possibile.

Un approccio di questo tipo potrebbe armonizzare il mercato con livelli di qualità e quindi di sicurezza più accettabili. E questo vale non solo per il 5G ma per qualsiasi componente che vada in una infrastruttura critica.

Ma un approccio di questo tipo consentirebbe anche all’europa di definire in fase di standardizzazione e di sviluppo l’orientamento di un fattore critico come quello delle telecomunicazioni con 5G di oggi, il 6G di domani e via dicendo.

La diatriba corrente di “la Cina è cattiva e ci spia con il 5G” è francamente tanto stucchevole quanto inutile.

Se si volessero realmente avere leve geopolitiche di contrattazione lo sviluppo tecnologico europeo e parametri di sicurezza stringenti farebbero la differenza, non un ban su questo o quel vendor.

Riprendo infine una considerazione che avevo fatto all’inizio sulle possibili conseguenze di un ban ad un vendor per ragioni geopolitiche. Nel regime di instabilità politica, sociale ed economica attuale, tra pandemia globale e crisi climatiche locali, il rischio è di creare una involuzione che danneggerebbe le nostre economie molto più di quanto guadagneremmo dal ban al 5G. Quindi c’è da chiedersi davvero che vantaggio ci sarebbe nel creare un precedente di questo tipo.

Per altro forse non molti sanno che la Cina è il primo esportatore di terre rare indispensabili alla creazione dei chip che costruiscono il nostro mondo digitale, una gestione al di fuori delle rule of law con ban verso la Cina arbitrari (perchè, sia chiaro, di prove non ce ne sono) potrebbe giustificare una reazione del genere.

Dopo tutto se non si può vendere certa tecnologia per motivi geopolitici (vedi i ban statunitensi verso i paesi che considera “nemici”) cosa impedisce alla Cina di fare altrettanto?

Un approccio strategico prima che tattico sarebbe da auspicarsi tra tutti i paesi europei, e non il corrente muoviamoci ogniuno come gli pare.

Peccato che politici che abbiano voglia di impegnare il cervello a capire la questione ne vedo sempre meno ovunque.



from WordPress https://ift.tt/3grDfAn
via IFTTT

Nessun commento:

Posta un commento