TL;DR Il dibattito sull’uso, o meno, delle soluzioni antivirus Kaspersky sui PC dei paesi NATO ha aperto un dibattito che merita andare oltre la questione, importantissima, della sovranità nazionale e del perimetro cyber.
“Il senatore Gasparri citava il famosissimo antivirus Kaspersky. Signori miei, Kaspersky è nel mercato elettronico della pubblica amministrazione (MEPA) dal 2003 […]
Noi non possiamo renderci conto delle cose solo nel momento in cui si verificano”
Franco Gabrielli
È in corso un interessante dibattito sull’uso, o meno, delle soluzioni di protezione e antivirus Kaspersky, prodotte dall’omonima società russa. La questione si sostanzia nella possibilità, da parte di un possibile futuro “nemico”, di sfruttare anche questo prodotto per sferrare attacchi cyber alle infrastrutture informatiche dei paesi a lui ostili, Italia compresa.
Notizia odierna che il BSI tedesco, l’analogo della nostra Agenzia Cybersicurezza Nazionale, ha fortemente consigliato a tutti i cittadini di disinistallare dai propri sistemi il Kaspersky Antivirus, provocando una reazione abbastanza “stizzita” da parte di Eugene Kaspersky, fondatore dell’omonima software house.
Notizia che arriva a pochi giorni da quando, anche in Italia, il sottosegretario alla presidenza del Consiglio con delega alla sicurezza nazionale, Franco Gabrielli, ha dichiarato al Corriere della Sera che “Scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa” che anticipa di poco una nota ufficiale del CSIRT in merito: “L’evoluzione della situazione internazionale e del quadro geopolitico che ne consegue ha fatto emergere nuovi elementi che hanno ridefinito lo scenario di rischio tecnologico. Ciò ha reso, in particolare, opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa“.
Il tutto nasce da quando, a fine febbraio, l’esperto Stefano “quinta” Quintarelli, ex-deputato della Repubblica Italiana, ha firmato un interessante articolo su Il Post in merito al rapporto tra lo Stato Russo e Kaspersky, evidenziando ad esempio che il sito web del Ministero della Difesa russo corrisponde a un servizio offerto da Kaspersky Lab. Quella che potrebbe essere una coincidenza o, comunque, derubricato a semplice rapporto commerciale tra una entità statale e un fornitore di servizi, ha comunque acceso i riflettori l’annosa questione del “perimetro cyber” nazionale e la necessità di affidarsi, almeno per le infrastrutture critiche, a fornitori nazionali (come ha fatto la Russia, ad esempio).
In Italia, invece, come evidenziato nell’articolo sopra citato, a fine Gennaio il Ministero dello Sviluppo economico –Direzione generale per le tecnologie delle comunicazioni e la sicurezza informatica, Istituto superiore delle comunicazioni e delle tecnologie dell’informazione– ha certificato la soluzione “Kaspersky Endpoint Security for Windows“.
Niente di male, la certificazione è un dato oggettivo. Se in tempo di pace non c’è motivo di porsi il problema di utilizzare software prodotto da una nazione straniera sui propri sistemi informatici, quando si verificano conflitti che potenzialmente potrebbero scatenare una escalation, coinvolgendo anche altri Paesi, la questione diventa seria. Anche perché, secondo l’articolo firmato da Dario Fadda e Alessandro Longo su Cybersecurity 360, “Kaspersky è utilizzato da 2.700 amministrazioni, tra ministeri, Comuni, forze dell’ordine e grandi aziende private“.
A queste prese di posizione risponde anche Kaspersky Italia, attraverso il suo General Manager Cesare D’Angelo, che al Corriere della Sera ribatte che “Con i nostri antivirus le aziende non rischiano” e “l nostro obiettivo è sempre stato chiaro e trasparente, in questi anni abbiamo cooperato per un cyberspazio libero e sicuro. La nostra priorità è sempre stata la privacy e la sicurezza dei nostri utenti“.
Le guerre che vedono come “terreno di scontro” la tecnologia non sono affatto nuove: qualche anno fa, se ricordate, Trump mise al bando gli apparati Huawei in USA, di produzione cinese, forse nell’ottica di ridurre la dipendenza da apparati di progettazione e produzione estera delle infrastrutture strategiche ICT nazionali. Sempre Trump, già nel 2017, aveva firmato una ordinanza per escludere i prodotti della Kaspersky dagli uffici governativi americani.
Del resto, il bisogno di ridurre la dipendenza dalle tecnologie straniere, alla fine e con diversi anni di ritardo, inizia a sentirsi anche in Italia, attraverso quello che viene definito, come già ricordato, “perimetro cibernetico nazionale“: la frontiera digitale entro la quale sistemi, dati e infrastrutture restano sotto lo stretto controllo nazionale, secondo i criteri definiti da DL 105 del 21 settembre 2019 “il danno o pericolo di danno all’indipendenza, all’integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell’Italia, conseguente all’interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale”.
Cosa fare, quindi?
Vale la pena ricordare alcuni aspetti della faccenda, tra cui cosa è un software antivirus: un prodotto dedicato a monitorare continuamente il sistema operativo (e, quindi, spesso lavora al livello più profondo di esso, con privilegi elevati), analizzandone le attività per individuare eventuali minacce. Minacce le cui firme, insieme a eventuali aggiornamenti, sono scaricate a cadenza almeno quotidiana dai server del produttore, attraverso Internet.
Da qui sorgono spontanee alcune considerazioni sul livello di minaccia che potrebbe rappresentare un antivirus usato come vettore d’attacco, essendo un software che viene eseguito con privilegi elevati: significa la possibilità di operare a livello amministrativo sul sistema operativo, con tutte le conseguenze del caso. Ad esempio, per pura ipotesi, la possibilità di analizzare le attività del sistema e comunicarle a terzi, accedere a file e documenti riservati per esfiltrarli, installare rat, backdoor o trojan…
C’è la possibilità che un antivirus possa venir riprogrammato da remoto per non individuare un certo tipo di minacce, oppure per rilevare come minaccia elementi che non lo sono, come ad esempio altri antivirus o antimalware o EDR, impedendogli di funzionare adeguatamente.
In modo silenzioso, come abbiamo visto già accadere in passato con alcuni antivirus gratuiti, come AVG e Avast, ma anche altri software all’apparenza innocui, tutto ciò che installiamo sul nostro PC può rivelarsi un vettore di attacco, anche solamente inviando a un eventuale attaccante informazioni sulle nostre attività, come ad esempio navigazione in rete, abitudini di uso del PC, captare combinazioni di tasti (keylogger), suoni e immagini catturate dal microfono e dalla webcam etc
Chiaramente, per i motivi riportati sopra, più un software è progettato per lavorare a livello profondo e più le sue possibilità operative, anche malevole, sono maggiori. È forse questo il motivo per il quale l’attenzione di molte agenzie di sicurezza e ricercatori si è concentrato sulla nota soluzione antivirus, che non rappresenta certo l’unico software di produzione russa. Così come non rappresentano, i software russi, l’unica categoria di software potenzialmente pericolosi.
Per questi motivi credo che questa diatriba sia vera e falsa allo stesso tempo: è vero, a mio parere, che siamo davanti a un potenziale pericolo dettato dall’uso, sui sistemi informatici (anche critici) nazionali, di software di proprietà di una azienda di un Paese attualmente potenzialmente ostile. Dall’altra, la situazione generale dei sistemi ICT e delle infrastrutture nazionali non mi pare sia capace di reagire attivamente al pericolo, sia per un gap di competenze di una ampia fetta del personale delle PA che per una mancanza di progettazione coordinata a livello Nazionale in merito alla gestione degli stessi. Insomma, per dirla breve, pur con tanta buona volontà, i bollettini diffusi dal CSIRT rischiano di cadere nel vuoto, tra chi non ha le competenze per comprenderli e chi non ha neppure le risorse per mettere in piedi le adeguate contromisure. Siamo ben lontani, insomma, dall’essere in grado di governare quella sovranità tecnologica di cui, soprattutto in caso di un conflitto che vede il cyberspazio fortemente coinvolto, si sente improvvisamente un gran bisogno: la sicurezza informatica è un campo in cui la pianificazione, organizzazione e il coordinamento sono elementi essenziali per la buona riuscita delle strategie di difesa.
Concludendo, quindi, se disinstallare Kaspersky Antivirus vi farà dormire sonni più tranquilli, fatelo pure. Magari dopo aver sanato anche le altre vulnerabilità, però.