Da anni si parla di backdoor (segmenti di codice nascosto che consentono un accesso privilegiato e non documentato a un’apparecchiatura) negli apparati usati dagli operatori di rete e nel cloud. Ed in particolar modo quando ci si riferisce alle tecnologie abilitanti di ultima generazione, quali il 5G e l’Edge computing.
Da tempo le istituzioni Europee ed internazionali, compresa l’italiana ACN, si sono poste il problema, arrivando ad escludere da alcune gare i costruttori cinesi. L’ultima segnalazione è del Financial Times.
Il timore è che le aziende cinesi, essendo a partecipazione statale, possano vendere la tecnologia sottocosto (dumping) in modo da avere poi la possibilità di usare alcune vulnerabilità inserite in base a particolari normative nazionali, per penetrare le nuove reti ad alta velocità e violare i sistemi ad esse connessi in relativa tranquillità. Analoga
problematica esiste anche al livello inferiore dell’infrastruttura di comunicazione, quello degli apparati radio.
In realtà, lo stesso discorso è potenzialmente applicabile a qualsiasi fornitore tecnologico che utilizzi software proprietario. Proprio per questo motivo ACN ha creato il Centro di Valutazione e Certificazione Nazionale e sta incentivando, anche attraverso i fondi PNRR, la creazione di laboratori di prova accreditati per valutare il software e l’hardware.
Infrastrutture di comunicazione: la via open source
Esiste da alcuni anni una via open source che potrebbe apportare un significativo
vantaggio architetturale. L’approccio infatti è la separazione dall’hardware (ossia il livello bare-metal che può presentare comunque vulnerabilità, ma più complesse da sfruttare) dal software di gestione a bordo degli apparati stessi.
Partendo da apparati hardware con il supporto a software open source, si potrebbe ridurre al minimo il rischio di backdoor grazie alla completa ispezionabilità del software e si aumenterebbe l’efficienza.
In aggiunta, soluzioni open-source basate su Linux possono fruire di community molto numerose e attive, e sono da anni all’avanguardia nell’identificazione di vulnerabilità e di soluzioni per rafforzare la sicurezza del software.
Dal 2018, esiste una fondazione Open Radio Access Network (Open RAN) e alcuni Stati stanno attualmente sovvenzionando lo sviluppo di sistemi Open RAN, come per esempio la Gran Bretagna.
Per il livello degli apparati di rete, Microsoft è stata un’apripista con la creazione della Sonic Foundation. L’intera infrastruttura del suo cloud è infatti basata sul
NOS Sonic (altrimenti detto Network Operating System – NOS) che è liberamente scaricabile come sorgenti dal relativo GitHub. Sonic non è l’unico NOS open-
source, esistono anche Open Switch e Open Network Linux per citare altri due progetti molto conosciuti.
Esistono soluzioni open-source anche al livello superiore, quello dei sistemi di gestione e virtualizzazione dell’infrastruttura di centri dati (Infrastructure as-a-Service – IaaS): il più diffuso è OpenStack, che consente di suddividere le risorse su più progetti da
dedicare a diversi “tenant” a seconda della necessità allo stesso modo di un cloud provider.
Ad un livello ancora più alto è possibile inserire soluzioni di sicurezza avanzata sempre open-source (come per esempio Falco.org) per proteggere le soluzioni “containerizzate” che costituiscono l’architettura a microservizi che ormai fa parte integrante delle reti cloud e 5G e gli host di virtualizzazione che li ospitano.
Le criticità
In questo modo si otterrebbe la totale ispezionabilità dell’intero stack, un livello di sicurezza di certo migliore e una riduzione dei costi in quanto si avrebbero tecnologie in massima parte non soggette a copyright.
Bisogna però tener conto di almeno tre problematiche. Si deve partire dagli standard internazionali riconosciuti ed ove questi non esistessero è necessario crearli come primissima cosa.
Entità come la Fondazione Open RAN, infatti, assolvono a questo compito. Considerata la velocità di sviluppo di queste tecnologie, non ci si può basare solo sugli sforzi degli enti internazionali che si occupano di standardizzazione (ISO, IEC, EN).
Sia le Fondazioni sia i software open source hanno un costo, e gli sforzi delle comunità di sviluppatori vanno ricompensati con sufficienti capitali pubblici e privati. Le iniziative citate in precedenza non potrebbero esistere senza le sovvenzioni dei vari stakeholder, e la gestione dei fondi deve essere pubblica e trasparente in modo che prevalga l’interesse generale sul particolare.
Il software open source può essere manipolato ad arte in modo da inserire vulnerabilità, quindi i laboratori di verifica del software sono ovviamente i benvenuti.
Essere open source non è di per sé un rimedio universale a ogni problema, ma di certo agevola l’ispezione del codice, e lo sforzo congiunto di una fondazione sviluppatrice che può firmare digitalmente i pacchetti e un ente pubblico che li valida è, inoltre, un sistema che va nella direzione di una corretta gestione delle criticità di sicurezza.
