Kaspersky, non è solo russofobia: lo confermano gli esperti

Sembrava all’inizio far parte di quella serie di manovre ai limiti del buon senso contro tutto ciò che veniva dall’estremo est Europa: via le lezioni su Dostojevskij dall’università, via i moscow mule dai menù dei cocktail bar di tendenza… e via gli antivirus russi dai nostri computer. Il ciclone che ha travolto Kaspersky, uno dei nomi più noti per gli antivirus informatici (anche) domestici, è sì esploso con l’invasione dell’Ucraina da parte della Russia ma non sembra destinata a rientrare. Non nell’immediato almeno.

Per quanto infatti dalla casa produttrice siano arrivate forti e immediate le rassicurazioni sulla sicurezza dell’utente finale (questo articolo di Punto Informatico riporta chiaramente la posizione assunta dall’azienda verso l’esterno), il Garante per la protezione dei dati personali ha proprio in queste ore comunicato di aver aperto un’istruttoria con l’obiettivo di “valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani“.

“L’iniziativa intrapresa d’ufficio dall’Autorità – si legge nella nota diffusa – si è resa necessaria […] allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani“. Protezione dei dati personali certamente, ma non solo. Il rischio, volendo dirla in maniera forse fin troppo banale, è che sulle nostre macchine (e in quelle della Pubblica Amministrazione italiana) girino software “non amichevoli”. Ma quali sono i rischi reali?

Kaspersky e i rapporti con le istituzioni russe

“Kaspersky – spiega Simon Pietro Romano, professore ordinario di Sistemi di elaborazione delle informazioni dell’Università Federico II di Napoli – rappresenta, dal punto di vista tecnico, un eccellente antivirus, sia per quanto riguarda le funzionalità cosiddette base (rilevamento di malware), sia con riferimento ad alcune funzioni aggiuntive (anti-phishing, parental control, rescue disk eccetera). Il problema di questo strumento, recentemente emerso anche in seguito ai noti fatti legati alla cosiddetta guerra russo-ucraina, risiede nelle caratteristiche stesse della azienda che lo produce“.

“L’azienda Kaspersky – continua il docente – è infatti di proprietà russa ed è stata più volte menzionata in numerosi report di agenzie di intelligence (e di analisti indipendenti) per attività di reporting in tempo reale, verso il Federal Security Service (FSB) russo, di informazioni sensibili circa i computer degli utenti finali sui quali è installato il software. Il dominio di rete del Ministero Russo della Difesa è inoltre ospitato su infrastruttura Kaspersky, il ché indica chiaramente l’esistenza di rapporti ‘stretti‘ tra l’amministrazione russa e l’azienda il cui fondatore, Eugene Kasperskij, si è recentemente astenuto dal condannare le azioni militari intraprese dalla Russia nei confronti dell’Ucraina“.

“È dunque chiaro – conclude Romano – che, soprattutto in presenza di scenari geopolitici altamente dinamici quali quelli ai quali stiamo assistendo nelle ultime settimane, affidarsi ad un sistema altamente intrusivo quale un antivirus, senza essere certi della sua autonomia e indipendenza da qualsiasi forma di influenza, anche blanda, di tipo socio-politico, non appare assolutamente una buona idea. Questo è tanto più vero se le macchine ed i nodi di rete da proteggere appartengono a domini delicati, quali, ad esempio, quelli afferenti al settore della Difesa“.

“In Italia abbiamo un grosso difetto…”

“All’inizio sì, si poteva pensare a una sorta di moda anti-russa. Ma dopo due settimane, il consiglio degli esperti di cybersecurity è ‘signori, disinstallatelo‘”, conferma Pasquale Testa, presidente CIO Club Italia, che in questi giorni ha raccolto decine e decine di feedback dagli esperti di settore e dai membri del club dei CIO. “Qualcuno ha parlato anche di backdoor nel software, ma stiamo ancora verificando la veridicità di tale informazione”.

“Vari referenti di cybersecurity e di IT, che coprono anche cariche importanti, da un punto di vista nazionale e internazionale, nelle cosiddette spy story, confermano la presenza di ‘aspetti molto seri'”, li definisce Testa. Che aggiunge: “Pensiamo a quanto Kaspersky sia presente nella Pubblica Amministrazione italiana. Venissero confermati i dubbi, tante informazioni potrebbero essere già state carpite. Correre ai ripari dopo che i buoi sono scappati non è mai una buona soluzione. Ci si doveva pensare prima”.

“In Italia – e in questo Testa fa in qualche modo eco a Romano – abbiamo un grande difetto: crediamo sempre che i software stranieri siano migliori. Così come si pensa che i professionisti dell’IT siano più bravi all’estero rispetto agli italiani. Questo non è assolutamente vero, ci stiamo svegliando dal cosidetto sonno“.

Ok, ma allora perché non ce ne siamo accorti prima? “Perché – chiude Testa come tutte le cose che si fanno in Italia siamo stati molto superficiali. La cybersecurity non è mai stata avvertita come una problematica della P.A. italiana. Ora con l’incendio corriamo agli estintori. Siamo bravi a rincorrere il problema, ma mai a prevenirlo”.

“La cyberguerra ora per noi equivale a quanto accaduto alla sanità con l’avvento Covid”

L’errore più grande che potremmo compiere, in fase di valutazione, è legato alla dimensione del problema. Perché è vero che i più conosceranno Kaspersky come antivirus per i pc di casa, ma la verità è che Kaspersky – come altri software simili – è molto di più. Gianluca Izzo, esperto di cybersecurity della DevData, spiega: “Kaspersky, installato a dovere in una rete aziendale, è una vera e propria piattaforma di gestione degli endpoint“. Viene da sé che, se “sradicare un antivirus da un PC é un conto”, farlo per delle aziende “é una attività in alcuni casi drammatica, per il semplice fatto che non solo devi fermare utenti, server, operatività ma rivedere tutto quello che orbita attorno al tuning di Kaspersky che consta non solo in politiche da antivirus ma anche in politiche di gestione degli endpoint“. Un esempio? “Autorizzare o meno l’uso delle periferiche USB, consentire o meno il download di file, legare o meno il software alla posta elettronica, gestire la sicurezza del traffico di rete”.

Questo si ripercuote anche sull’attività lavorativa. Sebbene Kaspersky stia dichiarando (“e continuerà a dichiarare”) a più riprese la totale estraneità a tali dinamiche quasi da spionaggio, le aziende che utilizzano sistemi di sicurezza sembrano non nutrire più fiducia della casa russa. “I clienti – conferma Izzo – stanno tutti avvertendo la questione come pericolosa e, senza sé e senza ma, stanno chiedendoci di sostituire Kaspersky con altri sistemi il prima possibile; per alcuni stiamo già procedendo”.

Ma cosa accade dietro le nostre inconsapevoli paure? Il rischio esiste davvero? Secondo Izzo sì, eccome. “Il livello di phishing e di attacchi a UTM e a firewall si é moltiplicato a dismisura, al punto da suscitare più che qualche dubbio. Praticamente, tutti i nostri clienti Kaspersky + Microsoft 365 oggi sono bombardati da segnalazioni di mail di rimbalzo e di phishing“. Cosa che è accaduta mentre provavamo a cercare di parlare con Izzo, che ha dovuto attaccare il telefono in fretta e furia. Poi abbiamo scoperto perché: “Avevamo una piattaforma logistica completamtente bloccata. Dopo qualche ora abbiamo scoperto che il processo di Kaspersky bloccava l’accesso terminale. Semplice suggestione? Abbiamo killato (forzato la chiusura del processo, ndr) dell’eseguibile Kaspersky e, come per magia, si é sbloccato tutto”.

Kaspesky non è l’unico software attenzionato dagli addetti ai lavori in quanto sospetto filorusso. Ad esempio, nel mirino c’è Veeam, diffusissimo sistema di backup e replica con deduplica di macchine virtuali. E la lista si allunga ogni giorno.

“C’è molta frenesia e confusione, ma una dato é certo: quello che sta avvenendo adesso a livello cyber per noi IT é simile (con le dovute differenze) a quanto accaduto negli ospedali all’inizio del Covid. Siamo in guerra, anzi, in cyberguerra”.