Era ovvio che, per via dei miei trascorsi nell’industria delle TelCo, con la quale collaboro ancora sporadicamente, sarei finito per parlare della vicenda di Huawei. Perche’ effettivamente gli americani non la stanno raccontando giusta. Per niente.

La vulgata americana e’ che i prodotti di Huawei (parliamo di prodotti di rete, non di cellulari: parliamo cioe’ dei dispositivi che servono per fare i backbones, oppure di quelli usati nella rete di accesso, sia cellulare che cablata) siccome sono fatti dal malvagio Fu Manchu che li usera’ per spiarti, non vadano usati per il bene dell’interesse nazionale.

Ci sono diverse cose che non vanno in questa ricostruzione.

La prima e’ che NSA/CIA hanno tutti gli strumenti per comprare un qualsiasi dispositivo di Huawei, aprirlo, disassemblarlo completamente (software e hardware), analizzarlo e mostrare quali sarebbero le backdoor dei prodotti cinesi.

In realta’ se hai un bucget come quello di NSA/CIA , una simile operazione non e’ complicatissima: non ci vorrebbe molto per gli americani a dimostrare che i prodotti Huawei abbiano delle falle. Anche se fossero nascoste nel silicio, prendere un chip e spazzolare tutte le istruzioni in ingresso per trovare quelle documentate non e’ poi una cosa cosi’ complessa. Questa operazione ha una storia lunga, che annovera tra i pionieri proprio gli americani della NASA che fece uno scan completo dello Z80 e ci trovo’ molte istruzioni non documentate dal vendor

Ma di tutto questo non v’e’ traccia: tutto quello che gli americani dicono e’ che c’e’ rischio.

Cosi’ adesso arriva la seconda domanda: ma i prodotti Huawei sono sicuri o no? Beh, i prodotti di Huawei sono in rete come gli altri, e quindi sono sotto attacco quanto gli altri , da parte di hackers di tutte le nazioni.

Possiamo trovare una lista di CVE ordinati per gravita’, e notiamo la classifica:

QUI il link

blank

La risposta e’ che no, i prodotti Huawei , che sono estremamente venduti (hanno superato Apple , Cisco, Ericsson, ed altri) non sono piu’ pericolosi degli altri. Anzi, sidirebbe che , pur essendo al terzo posto per vendite, (dopo Samsung e Apple) , i prodotti Huawei si difendano fin troppo bene.

Warning: siccome alcune aziende sono molto piu’ vecchie, non dovete tener conto del numero di CVE, ma dalla gravita’ media, cioe’ dalla media pesata.(Weighted Average). Questo vi dice , tra gli errori noti, quanto erano gravi, e quindi e’ un possibile metro per la qualita’ nel settore della sicurezza.

Adesso vi chiederete per quale ragione non ci sia Samsung. L’ho cercata, ed eccola li’:

blank

E con questi numeri non puo’, chiaramente, entrare nella statistica dei primi 50. Anche se c’e’ da dire ch Samsung , non essendo molto forte nel campo dei dispositivi di rete di tipo Carrier o Access Network, non andrebbe paragonata. Ma era per dare un’idea: se la confrontiamo con Apple , che vende meno cellulari di Samsung, la situazione non e’ rosea per Apple.

Pero’ notiamo che Huawei e’ posizionata meglio di Cisco, ma c’e’ un punto strano: e’ posizionata molto prima di Symantec, che teoricamente si occupa… di sicurezza. Ma l’imbarazzo (per gli americani) non finisce qui, perche’ se guardiamo bene la classifica…

blank

Al posto numero 37 c’e’ Juniper. Juniper non e’ un’azienda a caso: e’ attualmente quello che il governo americano considera il non plus ultra, al punto da imporlo come requisito sia per il mondo della finanza, sia per avere a che fare con istituzione governative. E se consideriamo la Weighted Average del prodotto, quella di Huawei e’ di 6.50, e quella di Juniper… 6.60!

Questo e’ imbarazzante, vero?

Quindi smettiamola di dire che Huawei e’ insicuro. Di per se’, sul piano della sicurezza, non e’ niente male, visto che la media dei suoi prodotti risultano meno “bucati” dello standard americano per la sicurezza.

E questi sono i fatti.

Il consulente per la sicurezza che consiglia Huawei ad un cliente preoccupato ha ottimi FATTI da mostrare, e non tradisce il proprio mandato.

Punto.

Certo si potra’ obiettare sul fatto che Huawei sia piu’ restia ad ammettere i propri difetti, ma ci si addentra in un territorio minato, perche’ Apple e’ nota per essere la piu’ restia in assoluto. Non e’ un argomento di discussione.

Si potra’ obiettare sul fatto che questo non esclude che il governo cinese abbia delle backdoor nel prodotto: ma le backdoor possono venire scoperte ed usate anche dagli Hacker: e un prodotto pieno di backdoors e’ un prodotto che viene bucato dagli hackers. Se c’e’ una chiave sotto il tappetino di casa, funziona sia per il vicino di casa che per i ladri. Se c’erano backdoors, era piu’ facile che fossero nei prodotti di Microsoft, a quanto pare.

Ma adesso basta con le ipotesi. Perche’ abbiamo un fatto: i prodotti Huawei sono mediamente piu’ sicuri di quelli americani in termini di numero di vulnerabilita’ pesate per gravita’.

Questo puo’ essere espresso in due modi:

  • I prodotti di Huawei hanno una qualita’ molto alta.
  • I prodotti americani hanno dei seri problemi di qualita’.

La seconda e’ quella piu’ plausibile. Per una semplice ragione: monopolio de facto.

I prodotti americani sono cresciuti senza concorrenza rilevante, in una situazione nella quale gli USA avevano praticamente il monopolio dell’ IT. Ed e’ noto che uno degli effetti del monopolio sia proprio la fine della qualita’.

Questo puo’ essere una ragione per la quale l’industria americana e’ spaventata della crescita dei cinesi. Onestamente, se io fossi il CEO di Microsoft, mi cagherei sotto se solo domani in Cina qualcuno dicesse che intende fare gli stessi prodotti dell’azienda di Redmond, come un sistema operativo oppure una suite come Exchange, o altri prodotti per l’Office Automation.

E se fossi il produttore di Android, mi cagherei sotto se sapessi che Huawei intende farsi un proprio sistema operativo per cellulari , da zero. Idem se mi chiamassi Apple.

Una prima spiegazione molto piu’ plausibile della reazione di Washington e’ legata alla scarsa qualita’ dei prodotti americani in termini di sicurezza.

La seconda ragione puo’ essere la stessa, ma nel senso inverso: abbiamo saputo da Snowden che gli americani hanno immense campagne di spionaggio nei confronti di chiunque, compresi paesi “alleati”. Sappiamo che molti sfruttano vulnerabilita’ note di prodotti, guarda caso, americani. Non possiamo dire che quei prodotti americani abbiano delle backdoor fatte per consentire agli americani di entrare ovunque.

Tuttavia, dobbiamo chiederci se per caso essere praticamente buttati fuori dai prodotti cinesi non dia fastidio ai servizi segreti americani. Perche’ il punto e’ questo: l’adozione di prodotti piu’ sicuri renderebbe ciechi i servizi segreti americani MOLTO PRIMA di quelli cinesi.

E dico MOLTO PRIMA perche’ , a quanto se ne sa, NSA, CIA, FBI e tutta la galassia di agenzie americane hanno un budget enorme per lo spionaggio. Sappiamo che anche la Cina e la Russia ce l’abbiano, ma e’ noto che le cifre spese dal governo USA siano inarrivabili.

Quello che sappiamo sulla sicurezza dei dispositivi Huawei ci permette due ipotesi MOLTO piu’ plausibili:

  • Il governo USA e’ preoccupato per la propria industria, in seguito alla scarsa qualita’ dei prodotti americani quando si parla di sicurezza.
  • Il governo USA e’ preoccupato di venire accecato dall’adozione massiva di prodotti relativamente piu’ sicuri.

E qui siamo all’argomento principe: ma Huawei e’ partecipata dallo stato cinese.

E’ una scoperta-non-scoperta, direi quasi una tautologia, dal momento che in Cina ogni cosa e’ partecipata dallo stato e dal partito comunista cinese. Non e’ una sorpresa, e non mi sembra che questo fermi le aziende americane dal produrre in Cina, o che fermi le aziende USA dall’investire in Cina.

Ma c’e’ una cosa che non si considera: negli USA, tutte le aziende, (Apple compresa, e se avete creduto allo storytelling di FBI che non riesce ad entrare nei cellulari Apple ho un paio di colossei che mi avanzano) sono tenute per legge a consentire l’accesso delle autorita’ ai loro sistemi.

Secondo, non si considera che, come ho detto, gli USA sono il paese con il budget piu’ gigantesco di tutti quando si parla di spionaggio di massa. Sembra terrificante il fatto che i russi spendano ben Un Miliardo di dollari per ildipartimentoche si occupa di cyberwarfare e spionaggio, ma vorrei far notare che l’ultima stima nota di NSA, che nasce allo stesso scopo, e’ almeno ottanta volte piu’ alta. Dico “stima” perche’ tale budget non viene normalmente rivelato.

Come consulente europeo, se fossi preoccupato che uno stato straniero irrompa nelle mie comunicazioni, sarei molto piu’ preoccupato per gli americani, che per i cinesi o i russi.

Questo e’ il punto: non ci sono, sinora, motivi di pensare che una telco europea faccia male a comprare prodotti Huawei. Ce ne sono molti, anche ignorando il caso di Snowden, per diffidare di prodotti americani, canadesi e israeliani.

In piu’ , ci sono molti motivi per pensare che questi attacchi a Huawei siano la solita operazione del corporate industry americano e delle sue lobbies, per tre motivi:

  • Ad Agosto 2017 anche Huawei, dopo Samsung, ha superato Apple nelle vendite. Cosi’ Apple e’ terza, e non sembra piu’ capace di grande innovazione dopo la morte di Jobs.
  • I prodotti americani sul piano della sicurezza risentono di anni ed anni di monopolio, con tutte le conseguenze terribili che un monopolio ha sulla qualita’ dei prodotti. Le aziende americane non sono abituata alla concorrenza straniera.
  • I prodotti di Huawei non consentono al governo americano di spiare il traffico.

Se proprio dobbiamo fare ipotesi, voglio dire, facciamole sui fatti che conosciamo, come il numero di CVE, invece di usare le parole di Trump.