Premesso: vendo Kaspersky in modalità MSP, così come vendo altre soluzioni nella stessa identica modalità e con lo stesso identico grado di certificazione. Non sono professionalmente "sposato" con nessuno ed oggi non ho alcun vantaggio nel vendere Kaspersky rispetto al suo più acerrimo concorrente. La discriminante con cui oggi vendo i miei prodotti per me è basata su scelte architetturali: ogni soluzione si abbina molto bene ad uno scenario e ad un'esigenza specifica.
Francamente, tuttavia, sono abbastanza stufo di azioni governative che alterano il libero mercato senza alcun valido motivo. Come già accaduto con Huawei, vittima di un assedio statunitense, ora è toccato a Kaspersky. E con la trasparenza con cui ho sempre affrontato questi argomenti, senza mai seguire le mode ma andando a capire e toccare con mano i dati concreti, ho deciso di andare un po' più a fondo sulla vicenda.
Tralasciamo il responsabile IT del Comune Tizio in provincia Caio, che ha avuto il suo momento di piccola gloria annunciando al mondo che lui, a differenza di fior fior di SOC, ha trovato le backdoor in Kaspersky (senza addurre alcuna prova concreta, notizia purtroppo letta mentre prendevo un caffè e che mi ha fatto letteralmente quasi strozzare dalle risate) e tralasciamo pure l'annuncio del codice sorgente Kaspersky rivelato dagli hacker (che invece era semplicemente un crawler del sito con tutto materiale assolutamente reperibile online), così come tralasciamo il guizzo Italiano che ha portato al ban del prodotto nelle PA (dopo aver barbaramente lasciato transitare in passato il nostro routing nazionale in altri paesi senza battere ciglio), ma cerchiamo di guardare i fatti. Scusate il pragmatismo.
I fatti sono:
- Nel 2018 Kaspersky ha avviato un programma chiamato Global Transparency Initiative con lo scopo di aumentare il livello di trasparenza ed essere proprio resistenti a qualsiasi pressione esterna. Sono stati creati, quindi, dei Transparency Center in Svizzera, Spagna, Brasile, Malesia e Canada dove qualsiasi autorità pubblica, partner kaspersky o cliente può accedervi. https://www.kaspersky.com/transparency-center
- L'azienda è registrata in Gran Bretagna ed ha i Server in Svizzera... e comunque gli utenti Europei arrivano su server Europei... vediamo... è vero?
Queste sono le connessioni geolocalizzate della nostra console centralizzata Kaspersky (appena estratte dai firewall, fresche fresche):
Ma pensa te... nemmeno una riga di log che punti in Russia...
- Kaspersky ha ottenuto la certificazione OCSI e la certificazione SOC2 Type 1 EAL2+, Oltre alla ISO/IEC 27001:2013
https://media.kaspersky.com/en/recertification_IS0_27001.pdf
https://media.kaspersky.com/en/ISO_27001_Certificate_ENG_1-merged.pdf
https://www.kaspersky.com/about/compliance-soc2
Ok, ma che significa? Significa che il prodotto che arriva sulle nostre macchine viene preventivamente vivisezionato da organi di verifica terzi ed indipendenti (aziende "occidentalissime") al fine di garantirne, tra le altre cose, la sicurezza dei processi e che il prodotto non contenga robe strane.
- Le forze dell'ordine possono chiedere a Kaspersky il rilascio di informazioni sensibili? Si, come per ogni produttore. Ma queste vengono attentamente validate, ci deve essere un motivo concreto e legalmente consentito affinchè questo avvenga, e comunque queste informazioni riguardano casi specifici e non certo l'integrità del prodotto. Sono pubblicati inoltre dei rapporti di trasparenza, questo è uno: https://media.kaspersky.com/en/reports/law-enforcement-and-government-requests-report-h2-2021.pdf
- ...e la Russia può chiedere informazioni a Kaspersky o addirittura vantare un suo diritto ad utilizzare Kaspersky in maniera offensiva? Ovvero, la Russia può costringere Kaspersky a far qualcosa? Dalle FAQ ufficiali del produttore si legge di una valutazione legale indipendente che Kaspersky ha commissionato (reperibile qui https://media.kasperskydaily.com/wp-content/uploads/sites/92/2015/02/02060120/REPORT-OF-PROF-DR-KAJ-HOBER.pdf ) in cui emerge che Kaspersky, non essendo un'azienda che offre servizi di comunicazione, ma essendo un'azienda privata, non ha alcun obbligo in tal senso.
Qualche ulteriore dubbio è possibile approfondirlo qui alle FAQ ufficiali del produttore: https://support.kaspersky.it/faq/2022hotline
E' evidente, qualsiasi software di questo tipo lavora ad un livello di dettaglio così intimo da poter muovere qualsiasi azione sulla macchina che protegge. Qualsiasi software con privilegi elevati potenzialmente può far tutto. Cosa ci mette al sicuro, ad esempio, da un dipendente infedele all'interno della struttura del produttore? I processi certificati, le certificazioni esterne, gli audit indipendenti e la storia del produttore. Intendiamoci, gli incidenti di sicurezza capitano a tutti, ma da qui a considerare un prodotto alla mercè di un governo ce ne passa.
Personalmente, e ripeto che non ho alcun interesse di parte vendendo anche persino il maggior concorrente di Kaspersky, avverto il sentore di una profonda ingiustizia palesatasi davanti ai miei occhi. Non ritengo possibile che un'azienda sul mercato da 25 anni, con 4000 dipendenti e operante in 200 paesi si possa mettere a far scherzi come se fosse il ragazzetto che sviluppa il software XYZ che tutti scaricano alla leggera. Tutto questo mina un principio fondamentale: mina la libertà di poter comprare un server Huawei, mina la libertà di poter comprare un EndPoint Kaspersky. E domani che altra libertà verrà minata? Quella di utilizzare una distribuzione Linux? Quella di acquistare uno switch Tizio? Quella di utilizzare il software di CAD di Sempronio? Quella di poter acquistare lo smartphone Cinese?
A proposito... tutti i software che girano con privilegi elevati sui tuoi sistemi possono vantare gli stessi iter certificativi indipendenti di Kaspersky?
Se non lo vogliamo comprare, facciamolo perchè il sistema di lucchetti è più complesso delle GPO, facciamolo perchè i log a volte non sono totalmente esaustivi, facciamolo perchè le whitelist sono complicate o facciamolo perchè un altro prodotto ci da funzionalità particolari di cui sentiamo la necessità. Ma non facciamolo perchè abbiamo paura possa essere potenzialmente pericoloso, perchè a questo punto non dovremmo acquistare nessun antivirus, anzi, dovremmo spegnere i computer, spegnere i server e tornare a fare le fatture con la carta carbone. Fin quando qualcuno non ci dirà che la carta carbone è tossica, allora sì, lì saremo in guai seri.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.
