Vai al contenuto
Home » E se la soluzione al problema dell’antivirus fosse avere il codice open?

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Sul mio profilo LinkedIN ho lanciato una provocazione, non fine a sé stessa: supportare ClamAV come antivirus.

Da quando è scoppiato il conflitto tra Russia ed Ucraina, si parla spesso del potenziale rischio che Kaspersky rappresenti per i paesi ostili a Mosca.

Non voglio tornare alla domanda “è veramente un rischio?” perché la risposta non è così netta, non è così facile da dare e perché non ho la sfera di cristallo. Va detto, che l’azienda russa, da anni consente ad università, governi e partner di visionare il codice nella sua sede in Svizzera.

Se questo non ha rassicurato i Governi, tanto che quello Italiano ne ha annunciato la dismissione, mi domando: ha veramente senso affidarsi ancora a qualcosa di commerciale, il cui codice è chiuso?

Certo, scegliere un antivirus europeo, o comunque alleato, o magari italiano, potrebbe essere una soluzione. Tuttavia il codice è sempre chiuso, non sai quello che può fare, quindi di fatto le stesse critiche che sono state mosse finora a Kaspersky possono essere replicate.

Modello opensource: problemi e soluzioni

Il codice aperto

Problema numero uno: il codice dell’antivirus, che gira con privilegi elevati sui nostri sistemi, è chiuso e non sappiamo quello che fa. Benissimo, apriamo il codice quindi.

Il codice liberamente disponibile permette a ricercatori, auditor indipendenti e agenzie governative, di verificare che non siano presenti backdoor, killswitch o meccanismi che possano consentire la compromissione dell’endpoint.

Mancanza di supporto

Effettivamente, le licenze opensource sono molto chiare: il codice lo prendi così com’è, non c’è un supporto o un helpdesk dietro. Non c’è chi fa dei servizi di post-vendita.

C’è solo la community. Questo vuol dire da una parte avere gente con passione che ci dedica del tempo e delle competenze, dall’altra però il tempo può mancare, le risorse possono mancare e quindi anche il supporto in termini di aggiornamenti. Questo però ci porta a…

Le sponsorizzazioni

I progetti opensource più importanti, penso a Firefox, al kernel di Linux, a LibreOffice, non sono abbandonati a loro stessi ma ci sono realtà private che ne sponsorizzano lo sviluppo.

Prendiamo anche le principali di distribuzioni Linux: accanto a versioni destinate al mondo enterprise, dove il codice del pacchetto opensource è lo stesso, ma vengono cambiate configurazioni e vengono forniti servizi a valore aggiunto, previo pagamento di una fee, ci sono versioni completamente prive di un supporto ufficiale ma praticamente gestite di fatto dalla community, spesso con l’aiuto di dipendenti di queste società che partecipano attivamente alle versioni open.

In particolare ClamAV, il principale antivirus opensource, ha alle spalle il gruppo Talos Intelligence, parte di Cisco.

Ok, ma quindi… nel concreto?

La PA sta sostituendo un antivirus e sta suggerendo alle PMI, alle accademie e ai privati di fare lo stesso. Perché non investire i fondi destinati a comprare un altro software chiudo e supportare un progetto come ClamAV? Nulla vieterebbe poi a società di consulenza o ad esempio all’agenzia che governa la sicurezza informatica in Italia, di offrire supporto, essendo parte attiva dello sviluppo stesso.

Investire quindi soldi in un progetto come questo, porterebbe a:

  • avere un antivirus dal codice open, su cui si possa fare audit e su cui si possano fare build riproducibili del software
  • creare lavoro in termini di team di specialisti dedicati allo sviluppo o alla gestione delle firme ad esempio
  • aiutare la comunità opensource ed in generale la comunità internazionale, rendendo bene comune un software così critico

Off by one

Mi rendo conto che la mia riflessione sia migliorabile e prenda di petto il problema. Mi piacerebbe si alimentasse un’accesa discussione sui punti e soprattutto su come i soldi pubblici possano essere utilizzati, finanziando un progetto che porta benefici a tutti, sia come utilizzatori che come persone che si affacciano al mondo del lavoro che quindi possano venir pagate per contribuire a questo antivirus.

Lasciami un commento per dirmi cosa ne pensi e cosa secondo te potrebbe essere migliorato.

Non vedo l’ora di leggere la tua opinione.

Enjoy it!

4 commenti su “E se la soluzione al problema dell’antivirus fosse avere il codice open?”

  1. Solo una considerazione a margine dell’opensource, gli AV ormai integrano prodotti di endpoint security, non è quindi il caso di Clamav che richiederebbe sicuramente un effort maggiore rispetto agli sforzi profusi attualmente.

    1. Io sono assolutamente d’accordo. Penso che in un libero mercato, chi conquista la vetta lo faccia per propri meriti.

      Il mio pensiero su clamav, è che risolve il problema del “chissà cosa fa quel codice e se può essere sovvertito”.

      Nel caso di un governo che voglia avere trasparenza, avere il codice aperto è la strada immediata secondo me

      1. Si, consideriamo anche che potremmo ricadere nel problema che a mio avviso affligge il codice open, chi effettivamente si metterà a controllare ? E in che misura ?.
        Avere un codice open che potrebbe non essere controllato per mancanza di skill, tempo etc ha veramente senso o è solo per avere un falso senso di sicurezza?

        Ricordo bug su codice open lasciati per anni e anni alla portata di tutti prima di essere fixati a seguito di exploit diventati pubblici. E’ vero che parliamo di Governo, ma i problemi oggettivi li conosciamo tutti anche su perimetri che dovrebbero essere sicuri by design.
        Non sto bocciando la tua idea attenzione, ma sarebbe da valutare sicuramente attentamente in tutte le sue sfaccettature

        1. Provo a rispondere per punti Andrea, intanto grazie per le riflessioni che hai condiviso:

          * “chi effettivamente si metterà a controllare ? E in che misura ?”
          Ottima domanda. Da una parte la community deve fare di più. Fare sicurezza informatica non è solo bucare o scrivere su twitter quanto siano inefficaci le difese di tizio o caio, occorre avere una parte attiva. Occorre fare.
          Dall’altra parte ci sono professioni, come la mia, per le quali ogni giorno facciamo revisione del codice opensource che va nelle nostre distribuzioni.

          * “Avere un codice open che potrebbe non essere controllato per mancanza di skill, tempo etc ha veramente senso o è solo per avere un falso senso di sicurezza?”

          Quali sono le skill che mancano secondo te? Saper leggere un codice? Io penso che una persona che è in questo settore, quello della sicurezza informatica ed ha una posizione legata alla tecnologia, quindi non un auditor o un venditore, deve per forza saper leggere un codice sorgente… come fai a bucarlo se no? Mica puoi lanciare il tool e sperare che faccia tutto da solo 🙂
          Ecco, invece il tempo è assolutamente un fattore da considerare. Io in media spendo un paio di settimane per l’audit di una piccola applicazione (5k-7.5k linee di codice, come idea).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.