Attenzione ai software dalla Russia. In Italia l’Agenzia per la cybersicurezza nazionale (Acn) avverte di tenere drizzate le antenne: programmi e prodotti tecnologici made in Russia potrebbero essere usati dal Cremlino come veicolo per un attacco cibernetico a enti pubblici o aziende occidentali dopo l'invasione dell'Ucraina e il muro di sanzioni contro Mosca. L’autorità nazionale incaricata di coordinare la cybersecurity nazionale l’ha messo nero su bianco in una raccomandazione interna, di cui Wired ha avuto visione e che anticipa di poche ore la notizia - ancora da confermare - che il governo sarebbe pronto a varare una norma ad hoc per consentire alle pubbliche amministrazioni di disinstallare il software.
L’invito dell’ufficio, guidato dal direttore Roberto Baldoni, è di analizzare l’evoluzione “della situazione internazionale e del quadro geopolitico”, che rende “in particolare, opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione russa”. “Tra queste, particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano - precisa l’Acn -. Stante la necessità di disporre di tali soluzioni tecnologiche, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, potendo per esempio influire sulla capacità delle aziende fornitrici legate alla Federazione russa di assicurare un adeguato supporto ai propri prodotti e servizi”.
Sebbene nel documento non si faccia esplicito riferimento a una tecnologia in particolare - si parla genericamente di “sicurezza dei dispositivi, ivi compresi applicativi antivirus e antimalware” - la discussione pubblica che da settimane agita il mondo scientifico riguarda Kaspersky, l’azienda con sede a Mosca che produce l’omonimo antivirus, uno dei migliori sul mercato. Il software è largamente adoperato dalla pubblica amministrazione in Italia, da ministeri e uffici centrali ai piccoli Comuni: il nome ricorre nei contratti pubblici di 2.384 enti, come emerge dalla banca dati di Contrattipubblici.org.
Contattata da Wired, Kaspersky respinge ogni addebito, dichiarando che mai permetterà “a terzi di accedere direttamente ai nostri dati o infrastrutture, e qualsiasi richiesta di funzionalità non documentata sarà sempre rifiutata”. L'Agenzia per la cybersicurezza nazionale invece non ha risposto a una richiesta di commento.
A poco servono le rassicurazioni fornite pubblicamente dal gruppo e dal suo fondatore, Eugene Kaspersky, sul fatto che il software non si presterà mai a condurre attacchi malevoli per conto del Cremlino. La tesi di numerosi esperti di sicurezza informatica è che la tecnologia stessa degli antivirus sia troppo invasiva per permettere che quelli installati in gangli vitali dell’amministrazione pubblica o delle imprese provengano da un paese con cui si è in aperta ostilità. Vedi Kaspersky e la Russia, che ha iscritto l’Italia nella lista dei paesi ostili dopo che Roma si è unita alle sanzioni internazionali per l’invasione dell’Ucraina.
Se in Italia il fraseggio è generico - in un’intervista a Cybersecurity360 Baldoni ha ribadito: “Non citiamo l’azienda [Kaspersky, ndr]. Riguarda tecnologie russe” - in Germania, nelle stesse ore in cui l’Acn diramava la sua nota, l’omologa organizzazione per la cybersecurity tedesca, Bsi, ha rilasciato un comunicato pubblico molto più esplicito, nel quale “consiglia di sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi”, si legge nel testo originale (tradotto con Google Translate). Quel che fino a ieri andava bene, non è più adatto per via delle mutate condizioni geopolitiche, per dirla in sintesi.
Nonostante le cautele dell’Acn, il nome di Kaspersky è già stato oggetto di dichiarazioni ufficiali anche in Italia. Prima in un’intervista al Corriere della Sera, del 12 marzo, quando il sottosegretario alla presidenza del Consiglio con delega alla sicurezza nazionale, Franco Gabrielli, ha affermato l’esigenza di rendere il paese meno dipendente dalla tecnologia russa, facendo riferimento diretto ai “sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco”. Poche ore dopo lo stesso Gabrielli ha annunciato che il governo varerà delle misure “per consentire che nelle pubbliche amministrazioni non solo l’antivirus così ampiamente citato (Kaspersky appunto, ndr), ma anche altre piattaforme informatiche, vengano poste fuori dall’ambito dell’attività delle Pubbliche amministrazioni”, come riportato da Repubblica.
In termini simili si è già espressa anche la Francia, che tramite il Centro governativo di sicurezza informatica (Anssi), negli scorsi giorni ha diramato un comunicato nel quale evidenzia come “nel contesto attuale, l'uso di alcuni strumenti digitali, in particolare gli strumenti della società Kaspersky, può essere messo in discussione a causa del loro legame con la Russia”. In ogni caso, l’Anssi precisa che, al momento, non ci sono “elementi oggettivi per giustificare una modifica della valutazione del livello di qualità dei prodotti e servizi forniti”.
“L'isolamento della Russia sulla scena internazionale e il rischio di attacchi contro attori industriali legati alla Russia possono influire sulla capacità di queste aziende di fornire aggiornamenti ai propri prodotti e servizi e quindi di mantenerli aggiornati - scrive l’autorità francese - Nel medio termine va quindi considerata una strategia di diversificazione delle soluzioni di cybersecurity”.
“Per loro natura, gli antivirus sono software che decidono cosa è bene e cos'è male, cosa può passare e cosa dev’essere fermato, e lo fanno sulla base di liste di malware che sono conosciute solo dagli sviluppatori del software", spiega a Wired Aaron Visaggio, professore associato del dipartimento di Ingegneria dell’Università del Sannio, da anni impegnato nell’analisi dei software di protezione dei computer. “Inoltre, gli antivirus acquisiscono la fotografia completa del dispositivo su cui lavorano: un processo che nasce per mantenere sicura la macchina ma che può diventare un’arma formidabile nelle mani di un malintenzionato”, aggiunge l’esperto.
Caratteristica comune degli antivirus, che ne garantisce il funzionamento, è di poter disporre del più elevato livello di permessi concesso dal sistema operativo. Questo aspetto li rende in grado di operare in qualche modo come se fossero in qualche modo proprietari della macchina su cui sono installati.
Troppo potere in poche mani. Gli antivirus sono ingegnerizzati per essere protetti da attacchi esterni, così che un criminale informatico non possa sfruttarli per diffondere un attacco. Tuttavia, nessuno può garantire - soprattutto in periodi eccezionali - la protezione dell’antivirus dai suoi stessi produttori, che possono subire specifiche pressioni “per convincerli a diffondere un malware in modo capillare”, chiosa Visaggio.
“Ribadiamo che Kaspersky non è soggetta al Russian system of operational investigative measures (Sorm, un sistema per le interfacce di intercettazione legale delle telecomunicazioni in Russia, ndr) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni (al governo russo, ndr)”, ha spiegato un portavoce dell’azienda a Wired. Il colosso russo ha completato a novembre del 2020 il trasferimento di tutti i suoi server in Svizzera e inaugurato un Centro per la trasparenza in Nord America, proprio per affermare la propria buona fede nei confronti di governi e utenti occidentali.
A questo si aggiungono numerosi sforzi nel certificare la postura giuridica di indipendenza dell’azienda nei confronti del Cremlino e diverse certificazioni e audit di terze parti che confermano la sicurezza del “processo di Kaspersky per lo sviluppo e il rilascio di aggiornamenti AV contro il rischio di modifiche non autorizzate”, spiega ancora l’azienda.
Ma il vero nodo è quello delle modifiche autorizzate o estorte. Riaffiora così in questi giorni dalle cronache la vicenda del rapimento di Ivan, figlio di Eugene e Natalya Kaspersky (programmatrice e co-fondatrice insieme al marito dell’omonima azienda), che nel 2011 è stato salvato pochi giorni dopo la richiesta di riscatto, grazie a una collaborazione rimasta opaca negli anni tra il colosso degli antivirus e i servizi segreti russi. La famiglia Kaspersky vive ancora ufficialmente nel paese e sotto il regime del presidente russo Vladimir Putin, che negli anni ha dato prova di saper trattare brutalmente con dissidenti e personalità contrarie alla sua visione. Val la pena di ricordare - una su tutti - la giornalista Anna Politkovskaja, uccisa dopo i suoi reportage estremamente critici sulla guerra in Cecenia. Sull’invasione in Ucraina Kaspersky si è pronunciato su Twitter con parole di circostanza ritenute accomodanti verso il Cremlino, parlando si “situazione in Ucraina”, dicendosi “sotto shock per i recenti eventi” e auspicando per un “compromesso”.
X content
This content can also be viewed on the site it originates from.
Kaspersky difende la sua posizione, precisando che “l’iniziativa dell’azienda sulla trasparenza – che mette a disposizione il codice sorgente e gli aggiornamenti disponibili per una revisione a chiunque lo desideri - renderebbe un tentativo di introdurre funzionalità indesiderate suicida per il business dell'azienda ovunque, non solo in Occidente”.
Oggi l’Europa si confronta con un problema già affrontato dagli Stati Uniti e dalla stessa Russia. Nel 2017 l’allora presidente americano Donald Trump - storicamente il più vicino a Mosca - ha ordinato alle sue agenzie governative di rimuovere i prodotti di Kaspersky, preoccupato che l’azienda potesse essere vulnerabile all’influenza del Cremlino. Una misura di prevenzione volta esattamente a evitare che, da remoto, la Russia fosse in grado di leggere il contenuto dei computer statunitensi o addirittura prenderne il controllo.
Tuttavia negli anni anche la Russia ha assunto una postura preventiva e difensiva nei confronti delle tecnologie occidentali, decidendo di investire sull’implementazione di software e sistemi operativi in grado di contrastarne lo predominanza sul mercato. Al di qua del confine russo le medesime perplessità mosse a Kaspersky sono indirizzate nei confronti di Windows, il sistema operativo più diffuso al mondo, che la Russia teme possa essere usato da remoto compiere operazioni di spionaggio.
È questa la ragione per la quale, nel 2019, il Servizio federale russo per il controllo dell’export e delle tecnologie (Fstec) ha certificato la sicurezza del sistema operativo Astra Linux, distribuzione personalizzata del sistema operativo open source su cui si basa anche Android, che da allora può essere utilizzato per la gestione degli apparati informatici del governo russo. Nella stessa direzione è da tempo andata anche la Cina, che con la Russia ha in comune la spinta ad affermare la propria sovranità tecnologica attraverso lo sviluppo di sistemi operativi e applicativi nati nel perimetro del paese, e dunque non soggetti al controllo di governi esterni. Sai mai che diventino ostili.
Ora anche l’Unione europea intende affermare una maggiore autonomia in ambito tecnologico: dal cloud ai chip, con ambizioni piani varati dalla Commissione europea, nuovi standard tecnici per contenere l’espansionismo di alcuni fornitori, come quelli cinesi, e regole più stringenti, che sulla scia del regolamento generale per la protezione dei dati, alzino per tutti l’asticella a livello internazionale.
