E se la soluzione al problema dell’antivirus fosse avere il codice open?
Sul mio profilo LinkedIN ho lanciato una provocazione, non fine a sé stessa: supportare ClamAV come antivirus.
Da quando è scoppiato il conflitto tra Russia ed Ucraina, si parla spesso del potenziale rischio che Kaspersky rappresenti per i paesi ostili a Mosca.
Non voglio tornare alla domanda “è veramente un rischio?” perché la risposta non è così netta, non è così facile da dare e perché non ho la sfera di cristallo. Va detto, che l’azienda russa, da anni consente ad università, governi e partner di visionare il codice nella sua sede in Svizzera.
Se questo non ha rassicurato i Governi, tanto che quello Italiano ne ha annunciato la dismissione, mi domando: ha veramente senso affidarsi ancora a qualcosa di commerciale, il cui codice è chiuso?
Certo, scegliere un antivirus europeo, o comunque alleato, o magari italiano, potrebbe essere una soluzione. Tuttavia il codice è sempre chiuso, non sai quello che può fare, quindi di fatto le stesse critiche che sono state mosse finora a Kaspersky possono essere replicate.
Modello opensource: problemi e soluzioni
Il codice aperto
Problema numero uno: il codice dell’antivirus, che gira con privilegi elevati sui nostri sistemi, è chiuso e non sappiamo quello che fa. Benissimo, apriamo il codice quindi.
Il codice liberamente disponibile permette a ricercatori, auditor indipendenti e agenzie governative, di verificare che non siano presenti backdoor, killswitch o meccanismi che possano consentire la compromissione dell’endpoint.
Mancanza di supporto
Effettivamente, le licenze opensource sono molto chiare: il codice lo prendi così com’è, non c’è un supporto o un helpdesk dietro. Non c’è chi fa dei servizi di post-vendita.
C’è solo la community. Questo vuol dire da una parte avere gente con passione che ci dedica del tempo e delle competenze, dall’altra però il tempo può mancare, le risorse possono mancare e quindi anche il supporto in termini di aggiornamenti. Questo però ci porta a…
Le sponsorizzazioni
I progetti opensource più importanti, penso a Firefox, al kernel di Linux, a LibreOffice, non sono abbandonati a loro stessi ma ci sono realtà private che ne sponsorizzano lo sviluppo.
Prendiamo anche le principali di distribuzioni Linux: accanto a versioni destinate al mondo enterprise, dove il codice del pacchetto opensource è lo stesso, ma vengono cambiate configurazioni e vengono forniti servizi a valore aggiunto, previo pagamento di una fee, ci sono versioni completamente prive di un supporto ufficiale ma praticamente gestite di fatto dalla community, spesso con l’aiuto di dipendenti di queste società che partecipano attivamente alle versioni open.
In particolare ClamAV, il principale antivirus opensource, ha alle spalle il gruppo Talos Intelligence, parte di Cisco.
Ok, ma quindi… nel concreto?
La PA sta sostituendo un antivirus e sta suggerendo alle PMI, alle accademie e ai privati di fare lo stesso. Perché non investire i fondi destinati a comprare un altro software chiudo e supportare un progetto come ClamAV? Nulla vieterebbe poi a società di consulenza o ad esempio all’agenzia che governa la sicurezza informatica in Italia, di offrire supporto, essendo parte attiva dello sviluppo stesso.
Investire quindi soldi in un progetto come questo, porterebbe a:
- avere un antivirus dal codice open, su cui si possa fare audit e su cui si possano fare build riproducibili del software
- creare lavoro in termini di team di specialisti dedicati allo sviluppo o alla gestione delle firme ad esempio
- aiutare la comunità opensource ed in generale la comunità internazionale, rendendo bene comune un software così critico
Off by one
Mi rendo conto che la mia riflessione sia migliorabile e prenda di petto il problema. Mi piacerebbe si alimentasse un’accesa discussione sui punti e soprattutto su come i soldi pubblici possano essere utilizzati, finanziando un progetto che porta benefici a tutti, sia come utilizzatori che come persone che si affacciano al mondo del lavoro che quindi possano venir pagate per contribuire a questo antivirus.
Lasciami un commento per dirmi cosa ne pensi e cosa secondo te potrebbe essere migliorato.
Non vedo l’ora di leggere la tua opinione.
Enjoy it!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progettoSimili a "E se la soluzione al problema dell’antivirus fosse avere il codice open?"
Se questo post ti è piaciuto, sono abbastanza sicuro che troverai questi contenuti altrettanto interessanti. Buona lettura.
GCC, analisi statica e warning mancanti
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima raccontare qui, nella mia versione digitale di un Bullet Journal.
Continua la lettura
Caro diario eccoci qui…
O mamma, è da maggio che non scrivo neanche un post. Vi starete chiedendo se il blog sia ancora attivo… ecco, sì e no.
Continua la lettura
Cosa fa un security engineer in SUSE?
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Continua la lettura
Non perdere neanche un post, iscriviti ora alla mailing list