Pubblicato il 15 Marzo 2022
La società russa Kaspersky è finita nell’occhio del ciclone con la guerra in Ucraina.
Qual è il pericolo reale e che cosa deve fare chi avesse installato, a casa o in azienda, un software o una soluzione di sicurezza Kaspersky?
Che cos’è Kaspersky e perché se ne parla?
Kaspersky Lab è un’azienda russa, con sede a Mosca, fondata nel 1997 da Eugene Kaspersky e altri soci. Non si tratta di un’azienda marginale: è tra le prime 5 al mondo ed è leader di mercato in Europa in un settore che oggi è diventato ancora più strategico, quello della sicurezza informatica. Inoltre, in Italia ha appalti con oltre 2 mila soggetti della pubblica amministrazione, inclusi ministeri e forze dell’ordine.
I suoi manager hanno legami diretti con il governo russo?
Eugene Kaspersky è un matematico che si è laureato nel 1987 presso la Facoltà di matematica dell’Institute of Cryptography, Telecommunications and Computer Science, all’epoca legata al Kgb, che lì formava i suoi esperti in crittografia. Eugene smentisce di aver mai prestato servizio del Kgb o nel suo successore Fsb e ricorda che lui è cresciuto nell’era sovietica (è nato nel 1965), «quando quasi ogni opportunità educativa era in qualche modo sponsorizzata dal governo». Anche altri top manager di Kaspersky hanno seguito lo stesso percorso di studi, nella stessa facoltà e negli stessi anni, al termine dell’era Sovietica.
L’ex moglie di Kasperksy, Natalya Kasperskaya, ha lavorato nell’azienda fin dall’inizio ma poi ne è uscita e ha fondato InfoWatch, che si occupa di temi simili a quelli di Kaspersky Lab ma è concentrata sulla «protezione delle aziende dalle minacce interne», sulle grandi aziende in particolare.
Come funziona un antivirus e perché è un software particolarmente delicato?
Un antivirus, a differenza di un altro software per scopi limitati (es: un elaboratore di testi per scrivere), ha un accesso “profondo” a un computer perché potenzialmente deve poter intervenire su qualsiasi file.
Oggi il termine antivirus è più propriamente sostituito da quello di antimalware. Malware (crasi di «Malicious software») include ogni tipo di software malevolo: virus, trojan, spyware, adware, keylogger, ransomware, rootkit, worm, etc. Per poter identificare i malware, un software di difesa deve effettuare un controllo sulla cosiddetta firma dei virus (“signature-based”).
Il concetto è simile a quello dell’impronta digitale. Ma i virus, proprio come quelli che infettano gli esseri umani, mutano rapidamente e c’è bisogno di aggiornare spesso il database delle firme. Così come c’è bisogno di tenere aggiornato l’elenco delle impronte digitale dei pregiudicati. Gli aggiornamenti dei database vengono inviati agli utenti con una frequenza giornaliera o anche più ravvicinata, più volte al giorno.
Il problema è in questo scambio di dati tra i nostri pc e i server di Kaspersky?
L’ipotesi sollevata negli allarmi di questi giorni è che, nei pacchetti di dati che i computer in Italia (e nel mondo) scambiano con i server dei russi, possa essere inserito del software malevolo. Malware creato appositamente in Russia che i software Kaspersky lascerebbero “volontariamente” passare. A quel punto il malware inizierebbe a lavorare in silenzio sulle macchine colpite, facendo quello che per cui è progettato (cioè quello che fanno tutti i malware: cancellare, bloccare o “esfiltrare” dati, oppure controllare in remoto il computer infetto e così via).
È uno scenario credibile? Kaspersky Lab non è una multinazionale indipendente?
L’azienda ha sempre rivendicato la sua indipendenza, anche negli ultimi giorni. Gli esperti di sicurezza che abbiamo sentito non escludono però che, nell’attuale scenario, diventato ancor più repressivo in Russia con lo scoppio della guerra, il governo non obblighi – in qualche modo più o meno brutale – l’azienda a collaborare.
C’è modo di capire se i software Kaspersky stanno facendo qualcosa di anomalo?
Gli esperti dicono di sì, ma serve una premessa.
Kaspersky dal 2017, quando finì nella black list Usa, ha avviato un’Iniziativa Globale di Trasparenza. I server che processano e archiviano i dati europei sono stati spostati in Svizzera.”
” Soprattutto, si è appoggiata a centri di certificazione a cui viene offerto il codice sorgente dei suoi software per analisi approfondite. Governi come quello spagnolo hanno fatto la revisione del codice e anche in Italia, per lavorare con la PA, è stata ottenuta una certificazione. Con un accesso al software di questo tipo, analisti esperti sono (o sarebbero) in grado di capire se nel software è stato aggiunto qualcosa di malevolo.
«Ma il software stesso è un antimalware e per sua natura dovrebbe rilevare se succede qualcosa di anomalo» (attraverso l’analisi euristica, un approccio «intelligente» che affianca ed evolve quello basato sulle firme dei virus, oggi implementato su tutti gli antimalware più evoluti). Uno spionaggio attivo attraverso i software Kaspersky, date queste premesse, risulta «non impossibile ma comunque molto difficile».
Resta l’ipotesi di usare lo scambio dati per l’attacco.
Sì, ed è il modo in cui potrebbe operare il governo russo. Negli ultimi anni è stato dimostrato come malware in grado di fare danni estesi, come i ransomware, abbiano sfruttato (anche) software che per la loro natura, proprio come gli antivirus, hanno ampia “libertà di manovra” sui computer (un esempio sono gli strumenti di supporto remoto, tipo TeamViewer o AnyDesk).
«Se non siamo tranquilli sul software nonostante gli approcci trasparenti al codice, abbiamo comunque modo di capire se succede qualcosa attraverso il monitoraggio dei pacchetti dati. Un’infrastruttura critica, come quelle pubbliche di alto livello, deve avere indirizzi Ip catalogati, con “whitelist”, indirizzi approvati, e “blacklist”, non approvati.”
“Resta la possibilità che i dati vengano deviati verso il sistema governativo russo. Ma a questo punto non bisognerebbe più fidarsi di nessun software russo. O extra-Ue in generale. Senza dire che, se fossi nei russi e avessi cattive idee, in questo momento ad esempio chiederei un aiuto alla Cina, che con i suoi apparati fa funzionare buona parte delle reti di telecomunicazioni europee».
È facile rimuovere Kaspersky e passare a un altro fornitore?
Non è complesso e lungo come fare a meno del gas russo, ma per la pubblica amministrazione e le aziende non è neppure semplice come rimuovere un antivirus dal nostro pc e installarle un altro.
Kaspersky vende software per singoli computer ma, come tutte le grandi aziende di sicurezza moderna, offre ai clienti business soluzioni molto più complesse che girano sui server e sulle infrastrutture. Una transizione a un altro fornitore richiederebbe un lavoro lungo e non banale, tanto di più da effettuarsi in una fase come questa, in cui l’allerta per i cyberattacchi è al massimo livello.
Con cosa si può sostituire Kaspersky?
L’Europa nel suo complesso sta già lavorando sui temi dell’indipendenza tecnologica. Ma resta legata a chi domina questi settori: Stati Uniti, Israele, Cina e Russia. Il consiglio, parlando di antivirus, è di affidarsi ad aziende europee.
Quali sono i migliori antivirus europei?
Qui potete trovare una panoramica completa. I più reputati sono la slovacca Eset, che produce l’antivirus Nod32, la finlandese F-Secure (con F-Secure Anti-Virus), la tedesca G-Data (G-Data Antivirus), l’altra tedesca Avira, la romena Bitdefender.
Alcune società europee di fama sono state acquisite negli ultimi anni da società extra-europee: la spagnola Panda dall’americana WatchGuard, la ceca Avast dagli altri americani di NortonLifeLock (già Symantec).
C’è qualche prodotto italiano?
Uno: Vir.it della padovana Tg Soft, piccola azienda con sede a Rubano, sul mercato da molti anni. Vir.IT eXplorer disponibile in una versione Lite e in una versione Pro.