La FCC, l’agenzia federale statunitense per le comunicazioni, ha fatto una clamorosa marcia indietro sulla questione dei router stranieri e dei rischi cyber legati ai loro aggiornamenti software. Bloccare le patch e i firmware provenienti da produttori inseriti nelle liste di controllo americane sembrava una mossa logica per proteggere la sicurezza nazionale, ma nella pratica avrebbe generato un problema ancora più grosso: lasciare milioni di dispositivi connessi a Internet senza alcuna protezione contro le minacce informatiche.
La decisione è piuttosto netta. I dispositivi già presenti sul mercato, compresi router e droni prodotti da aziende come Huawei, ZTE, Hikvision e DJI, potranno continuare a ricevere aggiornamenti firmware fino al 2029. Una scelta che racconta bene quanto sia complicato tenere insieme due obiettivi che sulla carta dovrebbero andare nella stessa direzione, ovvero sicurezza nazionale e sicurezza informatica concreta, ma che nella realtà finiscono spesso per scontrarsi.
Il contesto è quello dello scontro tecnologico tra Stati Uniti e Cina, che ormai tocca telecomunicazioni, semiconduttori e dispositivi IoT. Washington negli ultimi anni ha imposto limitazioni crescenti contro queste aziende, accusate di rappresentare un pericolo per le reti critiche americane. Eppure i loro prodotti restano diffusissimi in abitazioni, imprese, università e amministrazioni locali. Tagliare di colpo gli aggiornamenti avrebbe significato creare un esercito di endpoint vulnerabili, praticamente un invito a nozze per qualsiasi attaccante.
Il paradosso che ha costretto la FCC a cambiare rotta
Il punto centrale della retromarcia è semplice, quasi banale nella sua evidenza. Un router senza aggiornamenti di sicurezza diventa in fretta un bersaglio facile per exploit pubblici, malware e compromissioni da remoto. Botnet come Mirai e le sue varianti hanno già dimostrato con quanta facilità si possano sfruttare firmware non aggiornati per mettere in piedi reti di attacco distribuite su larga scala. La FCC ha dovuto riconoscere un paradosso che era sotto gli occhi di tutti: impedire gli update per ragioni di sicurezza nazionale avrebbe di fatto ridotto la sicurezza reale delle reti americane.
Vale la pena ricordare che i router moderni non hanno più nulla a che fare con i semplici dispositivi NAT di vent’anni fa. Oggi integrano stack complessi con supporto WPA3, VPN, firewall avanzati, gestione mesh e funzioni cloud. Un firmware datato può nascondere vulnerabilità nei componenti OpenSSL, nei kernel Linux embedded o nei driver Wi-Fi. E il problema si moltiplica se si considera che tantissimi utenti non cambiano il proprio router per cinque, a volte dieci anni, spesso ben oltre il ciclo di supporto ufficiale del produttore. Anche per i droni la questione è seria: patch mancanti possono causare problemi sia informatici sia operativi, dal bypass delle restrizioni di volo fino alla compromissione del controllo remoto.
Una soluzione temporanea che lascia parecchie questioni aperte
Resta però sul tavolo un nodo tutt’altro che secondario. Continuare ad aggiornare dispositivi di produttori considerati potenzialmente rischiosi significa, nei fatti, continuare a fidarsi del loro software proprietario. Le autorità americane sospettano da tempo la possibilità che nei firmware di rete siano integrate backdoor o funzionalità di sorveglianza. Il firmware embedded moderno è estremamente difficile da analizzare a fondo: driver closed source, bootloader proprietari e componenti cloud risultano spesso inaccessibili a qualsiasi revisione indipendente. Non è un caso che stia crescendo l’interesse verso soluzioni open source come OpenWrt, anche se molti dispositivi commerciali non permettono con facilità la sostituzione del firmware originale.
