Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Di antivirus, etica e rischi pindarici

750 parole - Lo leggerai in 4 minuti

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro, abbia introdotto un rischio che un antivirus prodotto da una software house russa, possa essere usato come cavallo di troia, per un’offensiva informatica ai danni dei paesi che sono diventati ostili al Cremlino.

Rischio reale o totalmente immaginario?

Un software di protezione dell’endpoint, è eseguito con privilegi elevati sul sistema e può praticamente fare tutto. Un software nato per lavorare con del codice malevolo, può essere ovviamente anche istruito ad ignorare un exploit o un malware.

Questo rischio vale per qualsiasi software di questo tipo. Più genericamente, ricordiamo che qualsiasi software può presentare vulnerabilità che possono essere sfruttate da un attaccante.

Il rischio è, secondo la definizione, la probabilità che un evento accada moltiplicata all’impatto della stessa. Appare chiaro che la possibilità di sovvertire un programma ha un impatto devastante, ma la probabilità di accadimento non è nota. Ciononostante, la politica, consigliata anche da consulenti e persone del mondo della sicurezza informatica italiana, ha stabilito che il rischio fosse troppo elevato e con un decreto, ha chiesto alla pubblica amministrazione di “diversificare” la provenienza del software in ambito cybersecurity.

La polarizzazione della stampa

La stampa ovviamente ha raccontato il rischio legato alla presenza di quell’antivirus legato ad una società multinazionale nata in Russia. L’ha fatto a modo suo, quello che siamo abituati a vedere, ovvero con uno storytelling narrativo che cattura il lettore, lo seduce e, in questo caso, lo spaventa.

La persona comune ha metabolizzato che avere quel software a bordo, rappresenta per lui un rischio e quindi va rimosso.

Sui social è quindi partita la più classica delle caciare di farfallin86 e macho47 che si lanciano in analisi sull’efficacia del prodotto, sul pericolo che i russi accedano alla telecamera di quel pc.

Il prodotto in questione, che non cito solo perché non vorrei scadere in qualche problema legale, è:

  • in alto a destra del quadrante Gartner
  • leader di mercato
  • sviluppato da ricercatori di malware riconosciuti nella community

Si ma il rischio c’è o no?

Tecnicamente, mancando la probabilità di accadimento, non esiste un rischio quantificabile. Possiamo parlare di scenario plausibile, come è plausibile tuttavia che gruppi di criminali, politicamente vicini a Mosca, sfondino i nostri sistemi operativi preferiti. Ne hanno le capacità e gli strumenti, serve quindi davvero l’antivirus come cavallo di troia?

No, anche se poter fare un drop immediato facilita le cose. Rimosso l’antivirus, l’attaccante dovrebbe usare altri veicoli per attaccare la postazione di lavoro. Questo però è quello che succede ogni giorno: attacchi vanno a buon fine anche con il semplice allegato alla mail di gattini.

E ora la PA che fa?

Bhé, visto che deve diversificare immagino che la PA ora:

  • farà un bando di gara per una software selection per una nuova soluzione di protenzione antivirus;
  • comprerà giornate di system integration per le attività di rimozione del vecchio software e installazione del nuovo;
  • intestirà in rinnovamente dell’hardware, perché magari i requisiti di sistema possono essere diversi da una soluzione all’altra.

In poche parole: spenderà soldi.

Già perché, la nostra PA non è nota per avere delle procedure snelle circa l’approvvigionamento. Facciamo finta che in un mese, tutti noi sappiamo che è irrealisticamente poco, tutte le PA siano passate dal vecchio al nuovo software e la soluzione sia già a regime.

In questo mese, cosa ha protetto i server? Cosa ha impedito che il vecchio antivirus venisse usato in maniera malevola? Dopo questo mese, cosa impedisce ad un attaccante di usare altri vettori d’attacco?

Niente. Avremo speso soldi dei contribuenti per cambiare un software e non cambiare il profilo di rischio.

Quindi?

Credo che la decisione sia più politica che tecnica. Se questo fosse stato chiaro subito e non si fosse tirato in mezzo l’analisi del rischio, gli scenari d’attacco e si fosse detto “Signori, tagliamo qualsiasi prodotto che abbia origine russa per ragioni di opportunità” sarebbe stato tutto più onesto e chiaro. Assieme alle valutazioni sul particolare prodotto, sono apparse dichiarazioni su “cloud nazionale” e “algoritmi di cifratura nazionali” che fanno proprio pensare che si debba leggere tra le righe il vero motivo di tutto questo.

Se chi sta leggendo ha quell’antivirus, la mia personale opinione è che possa continuare ad essere usato.

Se avessero voluto colpirci con quello non avrebbero certo aspettato che ci svegliassimo con un decreto legge.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list