La societ russa Kaspersky finita nell’occhio del ciclone con la guerra in Ucraina. Un problema sollevato da Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega alla Sicurezza nazionale, in un’intervista e al Corriere e che abbiamo approfondito in questo articolo.
Ma qual il pericolo reale e che cosa deve fare chi avesse installato, a casa o in azienda, un software o una soluzione di sicurezza Kaspersky?

(Le risposte sono elaborate con l’aiuto di Corrado Giustozzi, esperto e divulgatore di sicurezza elettronica, co-fondatore di Rexilience, e di Riccardo Meggiato, informatico forense. Dove trovate un discorso virgolettato sono loro frasi che riportiamo).

Che cos’ Kaspersky e perch se ne parla?

Kaspersky Lab un’azienda russa, con sede a Mosca, fondata nel 1997 da Eugene Kaspersky e altri soci. Non si tratta di un’azienda marginale: tra le prime 5 al mondo ed leader di mercato in Europa in un settore che oggi diventato ancora pi strategico, quello della sicurezza informatica. Inoltre, in Italia ha appalti con oltre 2 mila soggetti della pubblica amministrazione, inclusi ministeri e forze dell’ordine.

I suoi manager hanno legami diretti con il governo russo?

Eugene Kaspersky un matematico che si laureato nel 1987 presso la Facolt di matematica dell’Institute of Cryptography, Telecommunications and Computer Science, all’epoca legata al Kgb, che l formava i suoi esperti in crittografia. Eugene smentisce di aver mai prestato servizio del Kgb o nel suo successore Fsb e ricorda che lui cresciuto nell’era sovietica ( nato nel 1965), quando quasi ogni opportunit educativa era in qualche modo sponsorizzata dal governo. Anche altri top manager di Kaspersky hanno seguito lo stesso percorso di studi, nella stessa facolt e negli stessi anni, al termine dell’era Sovietica.
L’ex moglie di Kasperksy, Natalya Kasperskaya, ha lavorato nell’azienda fin dall’inizio ma poi ne uscita e ha fondato InfoWatch, che si occupa di temi simili a quelli di Kaspersky Lab ma concentrata sulla protezione delle aziende dalle minacce interne, sulle grandi aziende in particolare.

Come funziona un antivirus e perch un software particolarmente delicato?

Un antivirus, a differenza di un altro software per scopi limitati (es: un elaboratore di testi per scrivere), ha un accesso “profondo” a un computer perch potenzialmente deve poter intervenire su qualsiasi file.
Oggi il termine antivirus pi propriamente sostituito da quello di antimalware. Malware (crasi di Malicious software) include ogni tipo di software malevolo: virus, trojan, spyware, adware, keylogger, ransomware, rootkit, worm, etc. Per poter identificare i malware, un software di difesa deve effettuare un controllo sulla cosiddetta firma dei virus (“signature-based”). Il concetto simile a quello dell’impronta digitale. Ma i virus, proprio come quelli che infettano gli esseri umani, mutano rapidamente e c’ bisogno di aggiornare spesso il database delle firme. Cos come c’ bisogno di tenere aggiornato l’elenco delle impronte digitale dei pregiudicati. Gli aggiornamenti dei database vengono inviati agli utenti con una frequenza giornaliera o anche pi ravvicinata, pi volte al giorno.

Il problema in questo scambio di dati tra i nostri pc e i server di Kaspersky?

L’ipotesi sollevata negli allarmi di questi giorni che, nei pacchetti di dati che i computer in Italia (e nel mondo) scambiano con i server dei russi, possa essere inserito del software malevolo. Malware creato appositamente in Russia che i software Kaspersky lascerebbero “volontariamente” passare. A quel punto il malware inizierebbe a lavorare in silenzio sulle macchine colpite, facendo quello che per cui progettato (cio quello che fanno tutti i malware: cancellare, bloccare o “esfiltrare” dati, oppure controllare in remoto il computer infetto e cos via).

uno scenario credibile? Kaspersky Lab non una multinazionale indipendente?

L’azienda ha sempre rivendicato la sua indipendenza, anche negli ultimi giorni. Gli esperti di sicurezza che abbiamo sentito non escludono per che, nell’attuale scenario, diventato ancor pi repressivo in Russia con lo scoppio della guerra, il governo non obblighi – in qualche modo pi o meno brutale – l’azienda a collaborare.

C’ modo di capire se i software Kaspersky stanno facendo qualcosa di anomalo?

Gli esperti dicono di s, ma serve una premessa.
Kaspersky dal 2017, quando fin nella black list Usa, ha avviato un’Iniziativa Globale di Trasparenza. I server che processano e archiviano i dati europei sono stati spostati in Svizzera. Soprattutto, si appoggiata a centri di certificazione a cui viene offerto il codice sorgente dei suoi software per analisi approfondite. Governi come quello spagnolo hanno fatto la revisione del codice e anche in Italia, per lavorare con la PA, stata ottenuta una certificazione. Con un accesso al software di questo tipo, analisti esperti sono (o sarebbero) in grado di capire se nel software stato aggiunto qualcosa di malevolo.
Ma il software stesso un antimalware e per sua natura dovrebbe rilevare se succede qualcosa di anomalo (attraverso l’analisi euristica, un approccio intelligente che affianca ed evolve quello basato sulle firme dei virus, oggi implementato su tutti gli antimalware pi evoluti). Uno spionaggio attivo attraverso i software Kaspersky, date queste premesse, risulta non impossibile ma comunque molto difficile.

Resta l’ipotesi di usare lo scambio dati per l’attacco.

S, ed il modo in cui potrebbe operare il governo russo. Negli ultimi anni stato dimostrato come malware in grado di fare danni estesi, come i ransomware, abbiano sfruttato (anche) software che per la loro natura, proprio come gli antivirus, hanno ampia “libert di manovra” sui computer (un esempio sono gli strumenti di supporto remoto, tipo TeamViewer o AnyDesk).
Se non siamo tranquilli sul software nonostante gli approcci trasparenti al codice, abbiamo comunque modo di capire se succede qualcosa attraverso il monitoraggio dei pacchetti dati. Un’infrastruttura critica, come quelle pubbliche di alto livello, deve avere indirizzi Ip catalogati, con “whitelist”, indirizzi approvati, e “blacklist”, non approvati. Resta la possibilit che i dati vengano deviati verso il sistema governativo russo. Ma a questo punto non bisognerebbe pi fidarsi di nessun software russo. O extra-Ue in generale. Senza dire che, se fossi nei russi e avessi cattive idee, in questo momento ad esempio chiederei un aiuto alla Cina, che con i suoi apparati fa funzionare buona parte delle reti di telecomunicazioni europee.

facile rimuovere Kaspersky e passare a un altro fornitore?

Non complesso e lungo come fare a meno del gas russo, ma per la pubblica amministrazione e le aziende non neppure semplice come rimuovere un antivirus dal nostro pc e installarle un altro.
Kaspersky vende software per singoli computer ma, come tutte le grandi aziende di sicurezza moderna, offre ai clienti business soluzioni molto pi complesse che girano sui server e sulle infrastrutture. Una transizione a un altro fornitore richiederebbe un lavoro lungo e non banale, tanto di pi da effettuarsi in una fase come questa, in cui l’allerta per i cyberattacchi al massimo livello.

Con cosa si pu sostituire Kaspersky?

L’Europa nel suo complesso sta gi lavorando sui temi dell’indipendenza tecnologica. Ma resta legata a chi domina questi settori: Stati Uniti, Israele, Cina e Russia. Il consiglio, parlando di antivirus, di affidarsi ad aziende europee.

Quali sono i migliori antivirus europei?

Qui potete trovare una panoramica completa. I pi reputati sono la slovacca Eset, che produce l’antivirus Nod32, la finlandese F-Secure (con F-Secure Anti-Virus), la tedesca G-Data (G-Data Antivirus), l’altra tedesca Avira, la romena Bitdefender.
Alcune societ europee di fama sono state acquisite negli ultimi anni da societ extra-europee: la spagnola Panda dall’americana WatchGuard, la ceca Avast dagli altri americani di NortonLifeLock (gi Symantec).

C’ qualche prodotto italiano?

Uno: Vir.it della padovana Tg Soft, piccola azienda con sede a Rubano, sul mercato da molti anni. Vir.IT eXplorer disponibile in una versione Lite e in una versione Pro.