Le tensioni geopolitiche si scaricano anche sull’industria IT. La tendenza, da parte di alcuni governi, ad adottare misure per accertarsi che i software provenienti da Paesi in qualche modo “ostili” (sul piano economico, delle alleanze politiche internazionali, militari e così via) siano “sicuri”, sta passando da un livello ragionevole a uno parossistico. Per riuscire a vendere i loro software in alcuni mercati, quindi, diversi vendor si stanno vedendo imporre esami preventivi dei codici (code review) per verificare che all’interno non vi siano backdoor (parti del codice di un sistema operativo o di un applicativo, solitamente sconosciuti agli utenti, che permettono agli sviluppatori o agli amministratori di accedere al software già installato a scopi di manutenzione) o altri codici maligni nascosti in grado di permettere furti di dati e altri tipi di attacchi.
La code review è una prassi già attuata da diverso tempo e alla quale, volendo per esempio vendere le proprie soluzioni di cybersecurity sul sempre più redditizio mercato russo, non si sottraggono molti colossi IT americani e europei. Secondo la società di ricerca IDC, nel 2017 il mercato IT della Russia dovrebbe raggiungere le dimensioni di 18,4 miliardi di dollari. Per vendere i loro prodotti di sicurezza informatica, aziende come IBM, Cisco, SAP, Hewlett Packard Enterprise (HPE) e McAfee hanno dovuto consentire l’esame del codice sorgente delle loro soluzioni. Symantec, invece, ha deciso di non accettare più queste condizioni perché non è sicura che le “agenzie” incaricate di condurre i code review dei software importati in Russia (enti che devono essere accreditati dal FSB, Federal’naja služba bezopasnosti, il servizio di sicurezza della federazione russa), siano pienamente indipendenti dal governo del paese presieduto da Vladimir Putin. A condurre queste analisi può essere anche lo stesso FSTEC Russia (il servizio federale per i controlli tecnici e dell’export), che invece è un vero e proprio dipartimento del ministero della Difesa russo incaricato di contrastare il cyberespionage e di proteggere i segreti di Stato. Da un report della Reuters risulta che dal 1996 al 2013 il FSTEC ha condotto code review finalizzati all’approvazione di soli 13 prodotti tecnologici provenienti da aziende occidentali. Nei soli ultimi tre anni ha invece eseguito 28 review.
Dal code review alle messe al bando
Da parte loro, gli Stati Uniti prevedono spesso il code preview sui software inclusi in contratti stipulati nell’area della Difesa o in altri settori sensibili. Gli enti incaricati di compiere questi esami sono sottoposti ad audit molto stringenti e periodici. Per fare un esempio che testimonia questo scrupolo, solo per soddisfare le richieste dei vendor che desiderano certificare i loro prodotti come compliant al Federal Information Processing Standard (FIPS) Publication 140-2 (un requisito previsto dal governo Usa per i sistemi informatici, inclusi i device mobili, che adottano la crittografia per usi “non classificati”, cioè militari o governativi) questi laboratori devono essere accreditati nel Cryptographic Module Validation Program. Questo programma è gestito in collaborazione dal NIST (National Institute of Standards and Technology) statunitense e dal Communications Security Establishment (CSE) canadese.
Un requisito affinché un vendor decida che valga la pena sottoporre i propri software ai code review è la fiducia (trust) nei confronti di chi eseguirà questo esame. Dettaglio non da poco. Del resto, non è una caratteristica peculiare del software open source quella di rendere disponibili, insieme alle versioni eseguibili dei programmi, anche i codici sorgenti, affinché tutta la comunità dei programmatori possa accedervi ed, eventualmente, apportarvi correzioni o migliorie? E non si definisce, invece, closed source il software sviluppato dalle aziende IT che investono tutto sulla capacità dei propri laboratori di ricerca e sviluppo, e preferiscono tenere “segreti” i source code dei loro software come proprietà intellettuale (IP, intellectual property) da tutelare con la massima cura?
In generale, le aziende che lasciano ispezionare i sorgenti dei loro software, pretendono però che ciò avvenga in locali attrezzati per prevenire sottrazioni di dati e che i tecnici della controparte si limitino a svolgere solo i test indispensabili.
Soprattutto a seguito di casi eclatanti di reali o presunte violazioni della cybersecurity nazionale, negli ultimi mesi si è inasprita la sospettosità di parti dei mondi della politica, della difesa e della sicurezza americani nei confronti di aziende IT di paesi con cui i rapporti non sono stati sempre tranquilli. Solo per fare tre esempi, negli ultimi mesi nell’America di Trump sono stati adottati provvedimenti che si traducono in limitazioni di fare business e in lesioni di immagine nei confronti della russa Kaspersky Lab e delle cinesi Huawei e ZTE. A farne le spese non sono solo queste aziende, ma anche i loro clienti e i loro partner americani, che vedono sfumare opportunità di acquisti o di accordi commerciali redditizi. E forse questi problemi non si risolveranno attraverso code review. La mancanza di trust è ad altri livelli.