Tecnologia

La politica russa, i dubbi su Kaspersky e il Transparency Center in Svizzera

di Giancarlo Calzetta

Immagine non disponibile

(AFP)

Secondo quanto riportatoci da Kaspersky, nessun cliente italiano, inclusi quelli governativi, ha mai chiesto di accedere ai servizi dei transparency center.

21 marzo 2022

5' di lettura

Kaspersky è una delle aziende di sicurezza informatica più affermate al mondo e i suoi prodotti sono presenti in moltissimi uffici e istituzioni di tutto il mondo, Italia inclusa. Può il suo software essere usato come testa di ponte per attacchi informatici?
Alla luce della difficile situazione internazionale nata dall'invasione militare russa ai danni dell'Ucraina, questa domanda sta risuonando in buona parte degli uffici governativi di tutto l'occidente: è sicuro continuare a usare in ambienti strategici e potenziali obiettivi militari un software creato e gestito in Russia? Cosa accadrebbe se il governo russo iniziasse a far pressioni sull'azienda, ammesso che non abbia già iniziato, per usare i suoi prodotti come delle armi informatiche? La prima risposta messa in campo dalla maggior parte dei governi è quella della massima precauzione: molti, infatti, sono in procinto di emanare delle disposizioni di legge per vietare l'uso di software di origine russa nelle pubbliche amministrazioni, come si legge anche in una nota diffusa di recente da Consip.

Ma quanto c'è di sensato in questo tipo di iniziative e qual è il vero rischio a cui siamo sottoposti? Andiamo a vedere quello che sappiamo e quali precauzioni sono state prese per evitare problemi seri.Quali pericoli dagli antivirusI prodotti di sicurezza informatica, che è ormai anacronistico chiamare antivirus, sono software particolarmente sensibili. Il loro scopo, infatti, è quello di tenere sotto controllo ogni minimo dettaglio del software che gira sul sistema operativo per intercettare e bloccare l'opera di eventuali malware. Per farlo, devono girare con privilegi molto elevati e questo gli permette di avere “poteri” molto più ampi rispetto ad altri tipi di software. Inoltre, gli antivirus compiono tutta una serie di operazioni che sono perfette per chi vuole mascherare una operazione di spionaggio. Se un programma di contabilità, infatti, decide di leggere un file da un server e inviarlo all'esterno, chi controlla la sicurezza della rete noterà un comportamento sospetto, tipico da malware che sta rubando dati. Se la stessa cosa la fa un antivirus, invece, è abbastanza normale dal momento che tra i suoi scopi c'è proprio quello di inviare nel cloud per un'analisi più approfondita i file che risultino sospetti. Inoltre, mentre i normali software ricevono degli aggiornamenti regolari ma solitamente non urgenti, un programma di sicurezza riceve diversi aggiornamenti al giorno che devono essere installati velocemente per poter contrastare le operazioni più recenti dei criminali informatici. E questo è uno dei dettagli che preoccupa maggiormente gli esperti: dietro pressioni governative, Kaspersky potrebbe esser costretta a rilasciare un aggiornamento che trasforma i sistemi di sicurezza in spie informatiche. Ma potrebbe non essere poi così facile come molti sembrano pensare.

Kaspersky sa di essere russa e ha agito di conseguenzaNon è la prima volta che Kaspersky si trova al centro di una bufera a causa della sua nazionalità. Nel 2017, infatti, Trump firmò l'estromissione dell'azienda russa da tutte le forniture governative americane in seguito a paure molto simili a quelle che circolano in questi giorni. Il produttore di software decise di rispondere alle accuse istituendo alcuni “transparency center” a Zurigo, Madrid, Kuala Lumpur, São Paulo and New Brunswick (in Canada). In questi centri Kaspersky permette ai propri clienti di analizzare il codice sorgente delle proprie soluzioni di sicurezza in modo da eliminare qualsiasi sospetto su possibili operazioni illecite nascoste nei propri prodotti. Certo, l'analisi di una così vasta quantità di codice richiede competenze molto elevate, e quindi non tutti possono sperare di portarla a termine, ma non è una operazione impossibile, soprattutto se si ha un obiettivo preciso nella ricerca. Inoltre, Kaspersky ha dato mandato ad aziende esterne di compiere una revisione periodica del codice, degli aggiornamenti e delle regole di analisi per rassicurare i suoi clienti. L'operazione è decisamente riuscita dal momento che Kaspersky vanta una quantità di clienti notevole anche nel mondo occidentale, incluse circa 2700 PA italiane.

L'agenzia per la cybersecurity nazionale, diretta da Roberto Baldoni, si è espressa tempestivamente sulla vicenda consigliando di fare delle nuove valutazioni di rischio sulla sicurezza informatica alla luce della situazione attuale. Il cambiamento dello scenario riguarda soprattutto una eventualità che è stata per lo più sottovalutata ovvero che i software di sicurezza russi non vengano usati direttamente per spiare i computer su cui sono installati, ma che non vengano più aggiornati nella maniera corretta per cause contingenti e magari addirittura indipendenti dalla loro volontà. In altre parole, i sistemi di sicurezza potrebbero esser aggiornati in maniera meno efficace per evitare che vengano rilevate minacce e malware provenienti dalla Russia. Tramite il CSIRT, l'Agenzia ci tiene a sottolineare che finora non ci sono indizi relativi ad alcun malfunzionamento da parte dei sistemi di sicurezza creati in Russia, ma spinge su di un processo di diversificazione per poter far fronte a problemi derivanti da una soluzione

Dal canto suo, Kaspersky ha sempre difeso in maniera vigorosa la sua posizione. Eugene Kaspersky, fondatore e presidente dell'azienda, ha sempre dichiarato che se il suo governo gli ordinasse di compiere azioni illecite o di compromettere le funzionalità dei suoi prodotti lui rifiuterebbe perché significherebbe condannare comunque l'azienda all'oblio. Inoltre, sebbene le note diffuse dall'azienda ribadiscano che non ci sono indicazioni di un imminente isolamento della Russia dalla rete Internet globale, ci è stato confermato che tutte le funzionalità dei software di sicurezza continuerebbero a funzionare senza problemi, compresi l'aggiornamento e il lavoro del GREAT, il team Kaspersky che lavora sull'identificare le minacce. Inoltre, il processo di produzione, test, collaudo e pubblicazione degli aggiornamenti è segregato e viene svolto da personale di diverse nazionalità residenti in diversi paesi. L'ultimo passaggio di verifica e pubblicazione degli aggiornamenti avviene fuori dalla Federazione Russa. L'azienda russa, infine, ribadisce che offrono ai loro partner di fiducia e agli stakeholder governativi l’opportunità di esaminare il codice sorgente e gli aggiornamenti software dell’azienda nei Transparency Center, incluso quello di Zurigo, in Svizzera. Ai visitatori dei Transparency Center viene fornito l’accesso all'ambiente di compilazione, in modo che possano compilare il codice e ottenere lo stesso binario di quello presente nelle versioni distribuite dei prodotti Kaspersky. Una cosa che ci ha lasciati molto perplessi è che, secondo quanto riportatoci da Kaspersky, nessun cliente italiano, inclusi quelli governativi, ha mai chiesto di accedere ai servizi dei transparency center.

In assoluto, non ci sono mai state prove che un software Kaspersky sia mai stato usato direttamente o indirettamente per condurre o facilitare delle violazioni informatiche. E per dirla tutta, non sono mai stati viste neanche operazioni sospette in questo senso. Tutte le accuse mosse all'azienda russa finora sono state frutto di scelte politiche più che tecniche. Inoltre, lo sforzo profuso per rendere la propria infrastruttura resistente alle pressioni governative appare notevole. Senza contare che se il Cremlino davvero avesse avuto intenzione di usare Kaspersky, lo avrebbe fatto prima dell'invasione, in un momento in cui i livelli di guardia erano decisamente più bassi e quindi adesso staremmo discutendo di operazioni praticamente inutili. Del resto, se la stessa Agenzia di Cybersecurity Nazionale non invoca la corsa ad una disinstallazione di massa, è perché non ci sono attualmente prove di pericoli imminenti. Ma sappiamo che la fiducia è una componente indispensabile quando si crea una infrastruttura di sicurezza e le operazioni del Cremlino hanno creato una frattura della quale faranno le spese tutte le aziende russe e molte di quelle occidentali. Avendo il budget a disposizione, chi se la sentirebbe oggi di comprare un software russo, nonostante le mille rassicurazioni?