Umberto Rapetto

Si può stare tranquilli con Kaspersky?

Kaspersky: fatti e analisi. L'articolo di Umberto Rapetto, direttore di Infosec.news

7 Marzo 2022 07:11

Umberto Rapetto

Una settimana dopo che sulle impertinenti pagine di Infosec News si è tirata in ballo la storia dell’antivirus installato nei Ministeri a dispetto quanto meno di certi principi di “opportunità”, si sono scatenati tutti per puntare il dito contro un prodotto che aveva trovato fluida modalità di permeazione dell’infrastruttura tecnologica pubblica (Difesa e Forze dell’Ordine incluse).

Ogni testata – stavolta a dispetto del calendario – sembra rivendicare lo scoop e siccome dalle nostre parti nessuno legge nulla (soprattutto dove si dovrebbe far tesoro di determinati input provenienti dalle “fonti aperte”), attribuirsi la primogenitura è davvero facile.

L’onda emotiva raggiunge addirittura la cresta di una interrogazione parlamentare a risposta scritta (la numero 4/11474) presentata alla Camera dei Deputati dall’onorevole Paolo Nicolò Romano e da tre suoi colleghi il 28 febbraio scorso.

In questa vicenda saltano progressivamente fuori importanti documenti che dovrebbero sedare dubbi e preoccupazioni che il quisque de populo credeva di aver legittimamente in animo.

Tutti concentrati a dire che Eugene Kaspersky si è laureato alla Scuola Superiore del KGB, ma nessuno che vada a cercare la documentazione che “assolve” i prodotti software caduti in disgrazia per i sospetti di un legame tra l’imprenditore russo e il Governo del suo Paese.

Possibile mai che nessuno abbia preso in considerazione la circostanza (elementare) che i continui aggiornamenti (indispensabili per gli antivirus) comportino una connessione con la casa produttrice che viene autorizzata ad accedere a pc, tablet e smartphone con pieni poteri di scrittura sui “dischi” dei singoli dispositivi interessati?

Possibile mai che nessuno abbia fatto caso che il delicato pacchetto di programmi di sicurezza informatica arrivavano dalla terra di Putin?

Possibile mai che nessuno abbia ipotizzato la pur remota possibilità che tali interventi si andassero a trasformare in opportunità per inoculare malware o spyware magari da parte di un programmatore impazzito ma fedele agli ordini di un leader politico particolarmente volubile?

Possibile.

Ora però le immancabili malelingue e i grandi sacerdoti del retropensiero devono immediatamente placarsi. La sofisticata soluzione tecnologica che – irresistibile – ha attratto larga parte della Pubblica Amministrazione (anche quella fetta caratterizzata da maggiore criticità) è stata oggetto di severa disamina e valutazione da parte del Ministero dello Sviluppo Economico. E ad occuparsene non è stato – bau bau micio micio – un ufficio qualunque, ma la “Direzione generale per le tecnologie delle comunicazioni e la sicurezza informatica” e in particolare “l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione”.

“Apperò” esclama senza esitazione il lettore che finalmente vede fugata ogni sorta di perplessità.

Il tanto criticato Kaspersky Endpoint Security for Windows (version 11.6.0.394 AES256) vanta tanto di Rapporto di Certificazione rilasciato dall’Organismo di Certificazione della Sicurezza Informatica (OCSI) e protocollato come OCSI/CERT/CCL/02/2021/RC il 31 Gennaio 2022.

L’autorevole “papiro” n* 4/22 disponibile su Internet (questo il link nel caso sia sfuggito poche righe fa) sancisce che “Il prodotto indicato in questo certificato è risultato conforme ai requisiti dello standard ISO/IEC 15408 (Common Criteria) v. 3.1 per il livello di garanzia”.

Chi ha dubbi sulla competenza degli specialisti pubblici si fermi e taccia per sempre.

Il Certificato è stato firmato digitalmente dalla dottoressa Eva Spina il cui CV evidenzia che non si tratta del classico “gran commis” digiuno di queste cose e giustificato dal non essere nativo digitale.

A pagina 4 delle 7 (anche se quest’ultima è vuota) di cui è composto il curriculum pubblicato sul sito del Mise si legge chiaramente che chi ha rilasciato la complessa certificazione dichiara tra le sue “Capacità nell’uso delle tecnologie informatiche” ben quattro punti di forza: “Windows, Office, Uso posta elettronica e navigazione su Internet”.