Pubblicazione iniziale: 2022/02/27. L’articolo è stato modificato estesamente per tenere conto degli ultimi sviluppi della situazione. Ultimo aggiornamento: 2022/03/16 21:00.
L’invasione russa in Ucraina ha attivato una serie di sanzioni internazionali che riguardano molte aziende russe o legate alla Russia, e fra queste c’è anche il noto produttore di software di sicurezza Kaspersky.
Mi stanno arrivando parecchie domande
su cosa fare in particolare con gli antivirus di Kaspersky. La tesi che gira maggiormente è che siccome il fondatore e CEO, Eugene
Kaspersky, è un ex membro del KGB, allora non ci si dovrebbe fidare dei prodotti della sua azienda. Inoltre si fa notare che il governo statunitense ha vietato già nel 2017 alle agenzie federali di usare software di Kaspersky.
È vero che Eugene Kaspersky ha studiato alla scuola del KGB e ci ha lavorato (Stefano Quintarelli), però temere che l'azienda annidi trappole pro-Russia nei suoi prodotti perché il suo CEO è un "ex KGB" suona un po' come dire "non mi fido dei consigli informatici di Edward Snowden, è un ex dell’NSA". Tantissimi dei migliori esperti del settore informatico sono passati dalle rispettive scuole tecniche militari.
Inoltre l'azienda non è composta solo dal suo CEO. Ci lavorano tecnici esperti
di moltissimi paesi del mondo, e in seguito alle accuse statunitensi Kaspersky ha attivato una serie di Centri di trasparenza o Transparency Center che consentono ai partner fidati e agli enti governativi di esaminare il codice dei suoi prodotti. Uno di questi Centri di Trasparenza si trova a Zurigo.
Alcuni giorni fa Kaspersky Lab Italia ha inviato una lettera ai suoi
clienti (di cui ho copia ma che non pubblico per tutela delle fonti), nella quale rassicura sui princìpi aziendali e sulle misure
prese per mantenere la continuità operativa nonostante gli embargo verso
la Russia. Queste misure comprendono i data center, che già da novembre 2018 sono stati gradualmente trasferiti in Svizzera e altri paesi.
Resta da vedere se tutto questo basterà a convincere i clienti.
Come sempre in questi casi, bisognerebbe basarsi sulle prove, non sui
sospetti. Ci sono prove? Bene, allora si può ragionare. Non ci sono prove?
Allora forse è meglio evitare decisioni di pancia. Anche il divieto statunitense è stato emanato senza fornire alcuna prova concreta, e anche il Centro per la cibersicurezza britannico (NCSC) nota che non ci sono motivi robusti (“no compelling case at present”) per sconsigliare l’uso del software di Kaspersky.
Fabio Pietrosanti ha fatto un’inchiesta su Kaspersky (l’azienda): leggetela. Leggete anche l’articolo di Stefano Quintarelli su Il Post che nota che Kaspersky è certificata per l’uso in ambiti classificati, ma solleva “la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano.” Ma sempre Quintarelli, nello stesso articolo del Post, nota anche che Kaspersky si occupa molto direttamente della sicurezza informatica delle infrastrutture governative russe.
Il problema, in effetti, è che un antivirus è un software che ha pieno accesso ai dati e al sistema operativo, per necessità, e quindi è indispensabile potersene fidare completamente.
Conviene insomma ragionare con calma per decidere se si vuole cambiare prodotto o no, quale prodotto scegliere e come fare bene una migrazione che non crei una vulnerabilità proprio in un momento delicato come questo. Le decisioni avventate raramente si sposano bene con la sicurezza informatica.
Nel passare a un prodotto alternativo, bisogna anche valutare quanta fiducia si può dare al paese dal quale proviene quel prodotto alternativo. Sarebbe ingenuo pensare che solo le aziende russe possano avere legami governativi scomodi. L’ente statunitense di sorveglianza NSA, per esempio, ha alterato di nascosto i router della Cisco, tanto per dire, e nel 2020 è emerso il caso della società Svizzera Crypto AG, che produceva dispositivi di cifratura venduti in tutto il mondo ma modificava quelli forniti ad alcuni paesi, in modo da consentire alla CIA e ai servizi segreti tedeschi di sorvegliare gli utenti di quei paesi.
In questa valutazione è opportuno considerare, per esempio, se il prodotto è open source e quindi liberamente ispezionabile. È più difficile annidare trappole in un prodotto open source che in uno a sorgente chiuso.
[2022/03/13: l’esperto di sicurezza informatica Corrado Giustozzi, sul Corriere, descrive un modo elegante in cui un antivirus, pur essendo open source e completamente trasparente e anche ispezionato da autorità terze affidabili, può agire per conto di un aggressore: è sufficiente che i creatori dell’antivirus intenzionalmente non gli facciano rilevare il malware usato dall’aggressore. Una tecnica, aggiungo, già usata in passato da alcuni antivirus nei confronti di malware commerciale e forse anche malware governativo.]
Infine non va dimenticato il contributo dei ricercatori di tutto il mondo che lavorano per Kaspersky Labs, che danno una mano importante da anni nella difesa contro il malware e pubblicano info preziose sui malware circolanti. Fra l’altro, la qualità del software antivirus di Kaspersky è ritenuta molto alta e superiore a molti prodotti alternativi come Norton o Trend Micro:
“Kaspersky’s malware scanner has been tested as recently as fall of 2020 by major testing labs. It performed extremely well, capturing 100% of zero-day malware and 100% of widespread malware, with fewer false positives than a close competitor Norton. SE Labs in London confirmed that this 100% record resulted from blocking the malware from being installed, rather than dismantling it once it had been installed. Only Trend Micro had a similarly perfect record, while top products like Norton and Microsoft allowed a few pieces of malware to be installed before neutralizing them.” (Cybernews).
C’è anche un altro aspetto pratico importante da considerare a proposito di Kaspersky: in caso di embargo sui prodotti russi potrebbero esserci problemi di supporto tecnico o di aggiornamento. E c’è anche la questione del messaggio politico di isolamento e di protesta che si potrebbe dare abbandonando un prodotto considerato “russo”.
Non è una situazione facile, insomma. Ma in sintesi: se usate Kaspersky e vi sentite più tranquilli a cambiare prodotto di sicurezza, è perfettamente comprensibile. Però pensateci bene e pianificate altrettanto bene l’eventuale sostituzione.
---
Full disclosure: non uso prodotti Kaspersky, a parte un porta-carte di credito schermato che ho ricevuto in omaggio. Ma se essere contigui è indice di colpa, preciso che sì, una volta sono stato a pochi metri da Eugene. Insieme a Neil deGrasse Tyson, Oliver Stone e Larry King. Allo Starmus Festival, a Trondheim, nel 2017. Non ci siamo parlati :-)
---
2022/03/15 23:10. L’ente di sicurezza informatica governativo tedesco BSI (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato un avviso ufficiale (in tedesco) sull’uso dei prodotti Kaspersky, mettendo in guardia non solo a proposito di quello che potrebbero fare, ma anche di quello che potrebbero essere costretti a fare da altri. Il BSI ha anche pubblicato una FAQ apposita dedicata a Kaspersky e altre info sono su Der Spiegel, sempre in tedesco.
Kaspersky ha pubblicato una replica.
---
2022/03/16 6:45. Il CSIRT italiano ha pubblicato una raccomandazione sulle “implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Non cita per nome Kaspersky, ma il senso è evidente. Consiglio di leggerla.
Fonti aggiuntive: SafetyDetectives, Wired UK.