Muoversi nella giungla dei requisiti tecnici, delle certificazioni, dei test automatici che vengono fatti, è ancora più complesso che “leggere” il codice vero. E la lettura non basta, ovviamente, perché orientarsi in strumenti software estremamente complessi richiede giorni e giorni di lavoro e test automatici che consentano di vedere l’effettivo funzionamento dei singoli file. E il test finale di “paranoia pura”: compilare il sorgente che si è analizzato per vedere se il binario prodotto ha la stessa “firma” (lo stesso hash) dell’applicativo commercializzato.
“Nel 2023 – spiega a Wired Igor Kumagin di Kaspersky – tutti i codici sorgente di Kaspersky sono stati rivisti e sono tutti disponibili per gli analisti e gli esperti. Qui, con le garanzie di sicurezza sia per chi deve fare le analisi che per noi, che il nostro codice non venga trafugato. Facciamo tutte le certificazioni, ricertificazioni, i vari Iso a partire da 27001, e non solo“.
Kaspersky ha anche un programma di “bug hunting”, cioè di premi per chi trova dei bug nei suoi prodotti: 100mila dollari per quelli gravi, finora sono stati trovati 133 bug con 55 “premi” per un totale di 77.500 dollari erogati tramite la piattaforma specializzata Yogosha. I bug “grossi”, quelli che mettono in ginocchio i sistemi, o non ci sono o non sono stati trovati.
Nove centri per la trasparenza
Al di là dei centri localizzati in Europa e Medio Oriente, degli investimenti di 7,9 milioni di dollari dal 2018, 5,6 milioni solo in Svizzera, i nove centri per la trasparenza attivi, le 57 revisioni, la chiave sono gli “auditing”, cioè le verifiche sul campo condotte da società terze specializzate.
“Forniamo – dice Kumagin – accesso al cloud dove ci sono i sorgenti del nostro codice e i diagrammi per visualizzare e capire come funziona questo mare complesso di piccole parti”. I tecnici ci spiegano che Kaspersky lavora utilizzando un approccio di ingegneria del software chiamato DevOps, dove la scrittura del codice e la sua messa in produzione sono parti dello stessi ciclo e non separate, per sfruttare i vantaggi del cloud e della possibilità di mettere in produzione più velocemente le nuove funzionalità e i bug-fix.
Agli auditor viene spiegato c’è dentro il codice sorgente, com’è organizzato, e poi possono fare le loro analisi: statiche, dinamiche, fast testing, harden processes. Il lavoro dura solitamente da tre a cinque giorni. “Alla fine chi fa l’auditing capisce che il nostro codice non ha backdoors“.
In un’economia e in un mondo sempre più digitali, dove si scoprono nuove vulnerabilità e nuovi attacchi informatici sia automatici che “fatti su misura” a migliaia quotidianamente, vale sempre di più la massima di Giovenale: “Chi sorveglierà i sorveglianti stessi?”. La risposta secondo Kaspersky c’è, e da cinque anni sta nei Transparency Center.
Leggi tutto su www.wired.it
di Antonio Dini www.wired.it 2023-08-17 04:30:00 ,
