Kaspersky è sicuro? La domanda che tutti pongono in questo periodo

Quando le tensioni geopolitiche si fanno più aspre o si verificano conflitti come quello in essere tra Russia e Ucraina è lecito porsi delle domande, specie se si parla di sicurezza informatica e di soluzioni software che possono avere impatto sulla sicurezza di interi Paesi.
Non si pensi soltanto alla Pubblica Amministrazione e agli enti governativi: ognuno di noi utilizza dispositivi che in un modo o nell’altro trasferiscono dati verso società che hanno sede in altri Paesi, spesso al di fuori dell’Unione Europea.

È quindi fondamentale essere consapevoli di dove e come si muovono i dati, per quali finalità possono essere utilizzati ed entro quale perimetro opera il soggetto che effettua il trattamento.

Ognuno di noi utilizza strumenti software e servizi che spesso non sono messi a disposizione da soggetti con sede legale in Italia: si pensi al sistema operativo e alle funzioni telemetria integrate, agli account cloud dei vari gestori, al servizio di backup dei propri dati offerto dal produttore dello smartphone, agli strumenti che consentono di stabilire dove si trovano i propri device e molto altro ancora.

Sul versante business ed enterprise il 2021 è stato l’anno della Cloud Transformation in Italia e nel 2022 si continuerà sulla strada già imboccata.
Si parla però sempre di più di sovranità digitale ovvero della capacità di un Paese di gestire risorse e workload senza la necessità di appoggiarsi a soggetti che operano fuori dai propri confini.
In un mondo così globalizzato, tuttavia, è cosa assai frequente appoggiarsi a vendor stranieri.

Tra le soluzioni per la sicurezza informatica più utilizzate in Italia ci sono sicuramente quelle a marchio Kaspersky: l’invasione dell’Ucrania voluta dal governo russo ha acceso in molti la spia… Kaspersky Lab è infatti un’azienda con sede principale a Mosca che svolge importanti attività di ricerca e sviluppo in Russia anche se il suo principale centro R&S è stato spostato in Israele nel 2017.
Così, anche in forza dei presunti legami del fondatore dell’azienda con Vladimir Putin, la polemica è montata – fortissima – in Italia. Da più parti è stato infatti ipotizzato che a fronte di un ordine ricevuto dal governo russo, Kaspersky possa potenzialmente distribuire – attraverso un aggiornamento rivolto alla sua intera base di utenti o a specifici soggetti – codice utile a sottrarre informazioni riservate o monitorare sistemi informatici altrui.

La sicurezza delle soluzioni Kaspersky nel contesto attuale

Dopo il vespaio sollevato in questi giorni da più parti, abbiamo voluto confrontarci con l’azienda per conoscere meglio il suo punto di vista. Di seguito le domande che abbiamo inviato a Kaspersky e le risposte ricevute per ogni quesito.

L’Italia ha un forte legame con le soluzioni di sicurezza Kaspersky che sono utilizzate anche in molti enti pubblici, compresi Ministeri e agenzie di sicurezza. Come si comporta Kaspersky nel garantire la sicurezza di informazioni riservate e di dati che hanno evidenti legami con la sicurezza nazionale?

Kaspersky Lab: I dati dei clienti italiani, elaborati dai prodotti Kaspersky sono sicuri e protetti. I nostri clienti possono stare certi dell’integrità e della sicurezza delle soluzioni di Kaspersky, delle sue pratiche ingegneristiche e dei data service. Questi sono stati confermati anche da valutazioni indipendenti di terze parti.

La sicurezza e l’integrità dei nostri data service e delle pratiche di ingegneria sono state confermate da valutazioni di terze parti indipendenti, due organizzazioni di audit esterne indipendenti: attraverso il SOC 2 Audit (Service Organization Control for Service Organizations) da un revisore, Big Four, che ha confermato la sicurezza del processo di Kaspersky per lo sviluppo e il rilascio di aggiornamenti AV contro il rischio di modifiche non autorizzate. I data service di Kaspersky sono stati anche certificati da TÜV AUSTRIA secondo ISO/IEC 27001:2013. Il link alla certificazione può essere trovato qui. Su richiesta forniamo il rapporto finale con la descrizione ai nostri clienti e partner.

Gestiamo inoltre Transparency Center in tutto il mondo che servono come strutture per i partner fidati e le parti interessate del governo per esaminare il codice dell’azienda, gli aggiornamenti del software e le regole di rilevamento delle minacce. Attraverso di essi, forniamo ai governi e ai partner informazioni sui nostri prodotti e sulla loro sicurezza, compresa la documentazione tecnica essenziale e importante, per una valutazione esterna in un ambiente sicuro. I servizi del Transparency Center sono disponibili anche per l’accesso remoto su richiesta.

L’azienda è a conoscenza dell’interrogazione parlamentare presentata in Italia? Quali sono i commenti rispetto ai vari punti che sono stati sollevati in aula?

Kaspersky Lab: Siamo a conoscenza dell’interrogazione parlamentare. Contiene informazioni errate e speculazioni. Un esempio è l’affermazione secondo la quale Eugene Kaspersky sia un ex agente del KGB. Eugene Kaspersky non ha mai lavorato per il KGB. Inoltre, Kaspersky non è soggetta al Russian System of Operational Investigative Measures (SORM) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni. Questo è stato confermato da una valutazione legale indipendente di terzi sulla legislazione russa in materia di trattamento dei dati. I risultati sono liberamente disponibili online e forniscono una valutazione legale imparziale ed equa.

Nella stessa interrogazione si legge che il fondatore dell’azienda, Eugene Kaspersky, sarebbe “ex-agente del Kgb, dove sembrerebbe abbia acquisito le sue competenze informatiche“. Volete chiarire questo punto con una serie di riferimenti alla storia personale del CEO?

Kaspersky Lab: Eugene Kaspersky non ha mai lavorato per il KGB. Eugene è cresciuto nell’era sovietica, quando quasi ogni opportunità educativa era sponsorizzata dal governo in qualche modo. Dopo essersi diplomato in un prestigioso liceo sovietico con una specializzazione in matematica, ha studiato crittografia in un’università sponsorizzata da quattro istituzioni statali, uno dei quali era il KGB. Dopo la laurea nel 1987, è stato collocato presso un istituto scientifico del Ministero della Difesa (MoD), dove ha lavorato come ingegnere del software. Contrariamente a fonti disinformate, servire come ingegnere del software è stato il limite massimo della sua esperienza militare, e non ha mai lavorato per il KGB.

Gli Stati Uniti, sotto l’amministrazione Trump, hanno deciso per il “ban” nei confronti dei prodotti Kaspersky e il Parlamento europeo ha utilizzato la terminologia “classified as malicious” a giugno 2018 per riferirsi a Kaspersky. Ad aprile 2019 un membro della Commissione Europea ha risposto alle richieste di chiarimenti nel frattempo pervenute affermando che “The Commission is not in possession of any evidence regarding potential issues related to the use of Kaspersky Lab products“. Qual è la posizione dell’azienda rispetto a queste procedure e valutazioni?

Kaspersky Lab: Negli ultimi 25 anni, Kaspersky ha mantenuto i più alti standard del settore in termini di etica e pratiche commerciali e di trattamento dei dati degli utenti. La risposta pubblicata dalla Commissione europea nell’aprile 2019 ha confermato pubblicamente ciò che abbiamo sentito molte volte da diversi regolatori e politici: i nostri prodotti sono sicuri. Speriamo anche che le pubblicazioni di tali dichiarazioni aiutino le parti interessate a prendere decisioni basate su prove, non basate su voci e cattivi rapporti.

Conosciamo bene i motivi per cui tante aziende spostano fisicamente i loro server in Svizzera. Come rispondete, quindi, a chi ha scritto che gli aggiornamenti dei prodotti Kaspersky vengono prelevati da server situati a Mosca? Potete chiarire perché è stata scelta proprio la Svizzera?

Kaspersky Lab: La Svizzera ha una lunga e famosa storia di neutralità, simile alla nostra politica per il rilevamento di malware: rileviamo e rimediamo a qualsiasi attacco malware. Ha anche un approccio forte nei confronti della legislazione sulla protezione dei dati.

Nell’ambito della Global Transparency Initiative, abbiamo trasferito l’infrastruttura di elaborazione dei dati a Zurigo, in Svizzera: i file dannosi e sospetti (dati relativi alle minacce informatiche) condivisi volontariamente dagli utenti dei prodotti Kaspersky in Europa, Stati Uniti, Canada e diversi Paesi dell’Asia-Pacifico vengono elaborati e archiviati in due data center svizzeri che offrono strutture di livello mondiale per garantire i massimi livelli di sicurezza. Inoltre, la Svizzera è tra i pochi paesi ad avere una decisione di adeguatezza con l’UE, il che significa che è stata riconosciuta dalla Commissione Europea come paese in grado di fornire un’adeguata protezione dei dati personali.

Kaspersky è stata più volte accusata di supportare il governo russo in azioni di spionaggio. Quali sono i rapporti dell’azienda con la Russia e quelli fra il suo CEO e Vladimir Putin?

Kaspersky Lab: Kaspersky è una società internazionale privata e non ha legami con nessun governo o agenzia governativa. È orgogliosa di cooperare con le autorità di molti paesi e con le forze dell’ordine internazionali nella lotta contro il crimine informatico. Kaspersky collabora con le autorità nell’interesse della sicurezza informatica internazionale, fornendo consulenza tecnica o analisi di esperti di programmi malevoli per supportare le indagini sul crimine informatico e nel rispetto delle leggi applicabili.

Qual è la struttura di Kaspersky? Cos’è il GReAT e perché, nonostante l’azienda abbia deciso di spostare i suoi server in Svizzera, il team opera ancora dalla Russia? Come Kaspersky intende eventualmente rivedere la sua struttura in futuro?

Kaspersky Lab: In questa fase non sono previsti cambiamenti strutturali nell’azienda. Questo potrebbe cambiare, se la direzione dell’azienda concludesse che la sua struttura richiede un miglioramento. Il nostro team è composto da più di 4.000 specialisti altamente qualificati. Più di un terzo degli specialisti altamente qualificati che lavorano in Kaspersky sono specialisti di ricerca e sviluppo (R&S) che sviluppano e mantengono tutte le nostre soluzioni in-house, il che è fondamentale per fornire un approccio olistico alla sicurezza. Global Research and Analysis Team (GReAT) è un gruppo d’elite di più di 40 esperti di sicurezza che operano in tutto il mondo, non solo in Russia: in Europa, Medio Oriente, Nord America, APAC. Forniscono intelligence e ricerca di alto livello sulle minacce. Il team è noto per la scoperta e la dissezione di alcune delle minacce più sofisticate del mondo, tra cui lo spionaggio informatico e le minacce di cyber-sabotaggio. Maggiori informazioni sugli esperti di GReAT e la sua scala internazionale possono essere trovate qui.

Spostare parte dei suoi asset in Svizzera protegge Kaspersky e i suoi clienti da eventuali richieste provenienti dal governo russo? Il governo russo o qualunque altre ente o agenzia di altri Paesi potrebbero obbligare Kaspersky (potere di coercizione legale o istituzionale) a veicolare, inserendolo negli aggiornamenti, eventuale codice con finalità malevole al fine di attaccare risorse informatiche e asset di altre nazioni?

Kaspersky Lab: Kaspersky è un’azienda privata internazionale con la sua holding registrata nel Regno Unito. Le nostre pratiche di sviluppo del software sono organizzate secondo i più alti standard industriali. Kaspersky ha ottenuto il rapporto SOC 2 Type 1 in conformità con lo standard SSAE 18 (criteri di sicurezza) rilasciato da un revisore indipendente di terze parti “Big Four“. L’ambito della valutazione include i controlli interni sugli aggiornamenti automatici regolari dei database antivirus creati e distribuiti da Kaspersky per i suoi prodotti operanti su server Windows e Unix.

In pratica, tra le altre cose, questo significa che ogni volta che viene preparato un aggiornamento del software di un database antivirus per i nostri prodotti, questo viene controllato da un gruppo di esperti interni per verificarne l’integrità, la mancanza di errori o altri problemi prima della distribuzione di tali aggiornamenti. Dato che Kaspersky è un’azienda internazionale, i dipendenti coinvolti nella creazione e nel controllo degli aggiornamenti si trovano nel quartier generale di Mosca, in Europa e in Nord America.

Infine, ogni build di software distribuita ai nostri clienti è disponibile per la revisione nei Transparency Center Kaspersky in tutto il mondo, così i nostri clienti e partner sono in grado di confermare la legittimità del codice che produciamo. Il nostro principio fondamentale è che non permetteremmo mai a terzi di accedere direttamente ai nostri dati o alle nostre infrastrutture, e le richieste di funzionalità non documentate saranno sempre rifiutate.

Con un semplice controllo sugli indirizzi IP pubblici (WHOIS) utilizzati dal Ministero della difesa della Federazione russa per erogare ad esempio il sito mil.ru si vede che essi sono riconducibili a gruppi di IP gestiti da Kaspersky. Con un semplice reverse lookup si vede che tra i siti che puntano a IP Kaspersky c’è anche fancy.beer. Citando Wikipedia Fancy Bear sarebbe il “gruppo di criminali informatici russi che si ritiene sia affiliato con il servizio segreto russo GRU“. Qual è la posizione dell’azienda in proposito?

Kaspersky Lab: Il sito mil.ru non è ospitato sull’infrastruttura di Kaspersky.

Kaspersky DDoS Protection ha protetto le risorse del Ministero della Difesa russo per diversi anni, così come una serie di altri clienti in settori quali i trasporti, i media, la vendita al dettaglio, la tecnologia e così via. Le risorse di questa organizzazione sono protette secondo lo schema del reindirizzamento del traffico tramite reverse proxy: per pubblicare una risorsa su Internet, viene utilizzato l’indirizzo del server proxy di Kaspersky, a cui punta il record di risorsa DNS di tipo A.
Il record di tipo A (dove “A” sta per “Address” ovvero “Indirizzo”), è uno dei principali record DNS, e viene utilizzato per tradurre i nomi di dominio in indirizzi IP.
Per esempio, al momento, il record per mil.ru punta all’indirizzo IP 82.202.190.92 che è l’indirizzo del server proxy di Kaspersky DDoS Protection.
In questo schema, l’indirizzo effettivo della risorsa viene nascosto agli utenti di Internet: le loro richieste di connessione vengono ricevute dal server proxy di Kaspersky, che le rimanda all’indirizzo effettivo della risorsa. Anche le risposte provenienti dal server della risorsa, vengono inviate ai client tramite il proxy. Pertanto, la soluzione Kaspersky si occupa esclusivamente di reindirizzare le richieste, filtrandole preventivamente dal traffico spurio e nascondendo l’effettivo indirizzo della risorsa che si trova dietro il filtro. È così che funziona lo schema di protezione di una risorsa tramite reverse proxy, non soltanto per la nostra soluzione, ma anche per quelle di qualsiasi altra azienda che utilizzi uno schema analogo di reindirizzamento del traffico. La soluzione Kaspersky DDoS Protection non modifica le richieste indirizzate alle risorse protette o le risposte che esse restituiscono ai client, ma si limita a filtrarle dagli attacchi.
La gestione delle risorse protette è affidata interamente ai clienti che le detengono, e Kaspersky non vi prende parte in alcun modo.

Quali sono gli organismi indipendenti che verificano le attività di Kaspersky? E come funziona la certificazione?

Kaspersky Lab: L’integrità del processo di Kaspersky per lo sviluppo e la distribuzione degli aggiornamenti di sicurezza è stato confermato dal report SOC 2 Type 1:

• Kaspersky ha superato con successo la valutazione di terze parti indipendenti e ha ricevuto il report SOC 2 Type 1. L’audit conferma che lo sviluppo e il rilascio di database antivirus di Kaspersky (further – process) sono protetti da modifiche non autorizzate attraverso solidi controlli di sicurezza.
• Kaspersky ha ottenuto il report SOC 2 Type 1 in conformità con lo standard SSAE 18 (criteri di sicurezza), e l’audit copre lo sviluppo e l’implementazione dell’antivirus basato sul servizio Windows e Unix OS di Kaspersky. L’audit ha lo scopo di fornire una ragionevole garanzia che il processo di Kaspersky soddisfi i criteri dei servizi fiduciari (Sicurezza, Disponibilità, Integrità del trattamento, Riservatezza e Privacy).
• Il report viene fornito ai nostri clienti e partner su richiesta, e maggiori informazioni possono essere trovate qui.
  I data service di Kaspersky sono stati certificati con la certificazione ISO 27001 e da poco certificati nuovamente da TÜV Austria.
• Il sistema di gestione della sicurezza delle informazioni di Kaspersky è stato certificato secondo lo standard internazionale ISO/IEC 27001:2013 da TÜV Austria.
  Dall’8 febbraio 2022 un ambito della certificazione copre Kaspersky Data Services (KSN), tra cui: Sistema KSN per l’archiviazione sicura e l’accesso a questi file (chiamato KLDFS); i sistemi KSN per l’elaborazione delle statistiche (chiamati database KSNBuffer).
• La certificazione è valida per i data service dell’azienda situati nei data center di Zurigo, Francoforte, Toronto, Mosca e Pechino.
• La conformità a ISO/IEC 27001:2013 – riconosciuta a livello internazionale come best practice di settore e standard di sicurezza applicabile – è al centro dell’approccio di Kaspersky per l’implementazione e la gestione della sicurezza delle informazioni. La certificazione, rilasciata dall’ente di certificazione accreditato TÜV Austria, dimostra il nostro impegno per una solida sicurezza delle informazioni e che il Data Service di Kaspersky è conforme alle migliori pratiche del settore.
• Il link alla ricertificazione si trova a questo link e forniamo il report finale con la descrizione ai nostri clienti e partner su richiesta.
• Certificazioni Common Criteria (CC) per il prodotto aziendale di punta di Kaspersky e la key control console per i prodotti enterprise dell’azienda: Kaspersky Endpoint Security (KES), il prodotto di punta dell’azienda per le enterprise, ha ottenuto anche la certificazione Common criteria (CC); Kaspersky Security Center (KSC), una console di controllo per i nostri prodotti enterprise, ha anche ottenuto la certificazione per i common criteria (CC).
  Infine, l’azienda gestisce Transparency Center a livello globale e siamo pronti a fornire i nostri prodotti, il loro codice sorgente, i processi e tutte le altre documentazioni necessarie per un esame esterno virtuale e in loco. Maggiori informazioni.

Altre realtà, ad esempio Telegram, mettono a disposizione il sorgente dei loro prodotti software. Kaspersky sta facendo lo stesso? E come permette di controllare che le versioni compilate dei suoi prodotti corrispondono al codice sorgente?

Kaspersky Lab: Invitiamo gli esperti governativi e i clienti aziendali a rivedere il codice sorgente di Kaspersky, gli aggiornamenti del software, le regole di rilevamento delle minacce e altri processi tecnici e aziendali presso i Kaspersky Transparency Centers aperti in tutto il mondo: a Zurigo, Svizzera, a Madrid, Spagna, a Kuala Lumpur, Malesia, a San Paolo, Brasile, e a New Brunswick, Canada in collaborazione con l’associazione CyberNB. Nei Transparency Center l’azienda offre la possibilità di compilare il software dell’azienda dal suo codice sorgente e confrontarlo con quello pubblicamente disponibile.
I servizi del Transparency Center sono disponibili anche per l’accesso remoto su richiesta.

Quali sono state, in questi anni, le evoluzioni del mercato Criminals to Criminals (C2C) come lo ha chiamato lo stesso Eugene Kaspersky?

Kaspersky Lab: Negli anni passati, abbiamo documentato ampiamente la struttura dell’ecosistema criminale e abbiamo notato come sia composto da attori indipendenti che forniscono servizi gli uni agli altri per costruire una sorta di “catena criminale di valore”. Tra i vari ruoli che abbiamo identificato ci sono sviluppatori di ransomware, specialisti di penetrazione, analisti, negoziatori, riciclatori di denaro e così via.
Recentemente, abbiamo osservato un consolidamento di questo ecosistema in cui i gruppi più grandi hanno iniziato a concentrare nuovamente diverse di queste funzioni, e a fornirle come un pacchetto all-in-one agli aggressori solitari sotto quello che loro stessi descrivono come un “modello di affiliazione”. Questo ha abbassato la barriera d’ingresso per i criminali informatici emergenti che in alcuni casi hanno persino ricevuto intere procedure che documentano i modi più efficienti per prendere il controllo delle reti.

Come cambiano gli attacchi APT e come Kaspersky offre risposte efficaci agli obiettivi maggiormente sensibili?

Kaspersky Lab: Una delle tendenze più sorprendenti che abbiamo osservato di recente è la recrudescenza del malware che infetta i livelli più bassi del sistema operativo. Kaspersky investe molto nella Threat Intelligence, che ci permette di scoprire gli ultimi strumenti e tecniche utilizzati dagli attaccanti. Le nostre scoperte informano direttamente le protezioni implementate nei nostri prodotti, in modo che gli utenti beneficino sempre delle ultime conoscenze a nostra disposizione.