Da dove viene il software che usiamo ogni giorno?

Da dove viene il software che usiamo ogni giorno? Questa è una delle domande che molti utenti di AskWoody.com hanno posto nelle ultime settimane e che, ovviamente, deriva da ciò che sta succedendo da ormai tre settimane in Ucraina. Per molti anni, un fornitore di software di sicurezza è stato etichettato come “sgradito” e già nel 2017 il governo degli Stati Uniti ha vietato l’uso dell’antivirus Kaspersky per paura che potesse spiare per conto della Russia i contractor della difesa USA.

Un anno dopo, nel 2018, il Pentagono ha stilato un elenco di società di software che chiunque lavori con appaltatori della difesa dovrebbe evitare. In particolare, i funzionari della difesa volevano assicurarsi che non venisse acquistato alcun software di provenienza cinese o russa. Spesso, per vendere software in un determinato paese, i fornitori devono fornire codice sorgente o informazioni aggiuntive. Ma spesso è difficile sapere esattamente dove è stato sviluppato il software, data la natura globale della tecnologia. Io stessa una volta ho utilizzato nella rete del mio ufficio un software venduto da Microsoft ma sviluppato in parte a Shanghai.

Più recentemente Kaspersky è tornata nell’occhio del ciclone per la sua mancata presa di posizione di fronte alla crisi ucraina. Per molti anni, i legami dell’azienda con il governo russo sono stati fonti di preoccupazione e proprio in questi giorni mi sono chiesta quali altri software ho acquistato nel corso degli anni.

Ad esempio, ci sono programmi di cracking delle password creati da sviluppatori (o anche intere aziende) con sede in Russia. Per molti anni, ho utilizzato alcuni strumenti di Elcomsoft per entrare in vari software per motivi legittimi. Nella mia azienda esaminiamo vari tipi di file senza accedere alle password necessarie per aprirli. Mentre alcune, come quelle dei documenti Word, potrebbero richiedere molto tempo per essere decifrate e potreste aver bisogno di attrezzature specializzate per rendere il processo più veloce, i software aziendali di base come QuickBooks sono relativamente facili da violare.

A tal proposito, non considerate mai i vostri file QuickBooks protetti se li perdete solo perché hanno una password. Alcuni strumenti online possono infatti rimuovere la password e richiederne una nuova da configurare e ciò dà comunque pieno accesso a un file che pensavate fosse protetto. Nel mio caso questi strumenti di cracking delle password servono per lavoro, non per fare hacking, ma il fatto che molti di questi tool provengano da aziende collegate alla Russia mi fa riflettere. E anche se Elcomsoft sembra essersi trasferita nella Repubblica Ceca, rimango comunque perplessa.

Altre società si chiedono se dovrebbero fornire servizi alle aziende russe. L’antivirus Avast, ad esempio, ha dichiarato apertamente che non offrirà più prodotti ai clienti russi. Microsoft ha affermato che non venderà nuovi servizi ai clienti in Russia, ma non ha ancora adottato il passo ben più drastico di interrompere gli aggiornamenti di Windows o il supporto e la manutenzione per i sistemi operativi esistenti.

Tra l’altro, nel corso degli anni, ci sono state diverse volte in cui gli hacker sono stati in grado di accedere al codice sorgente di Microsoft per studiare come funziona Windows a un livello più profondo. Quindi, anche il nostro sistema operativo Windows è stato attentamente esaminato da ingegneri di software russi nel corso degli anni, sebbene il software sottostante non sia stato sviluppato lì.

Cosa dovreste fare allora se siete preoccupati per un fornitore di software? In primo luogo, dovete scoprire dove si trovano i vostri fornitori e i loro dipendenti. Chiaramente, è una decisione personale supportare o sanzionare un fornitore in base alle sue azioni o ai collegamenti con il governo. Se però siete attenti e sensibili a certi comportamenti, trovate fornitori di tecnologia che agiscano in modo etico e responsabile.

In secondo luogo, disinstallate il software potenzialmente problematico dal vostro sistema e assicuratevi che non ne siano rimaste tracce. Ho dovuto spesso fare affidamento su Revo Uninstaller per ripulire completamente un software disinstallato. Molte volte infatti le chiavi di registro e alcuni file non vengono eliminati se non si utilizzano strumenti ad hoc. E anche se non è necessario eseguire il passaggio drastico della reinstallazione del sistema operativo, è relativamente facile “ricostruire” un computer da zero con Windows 10.

Anche l’hardware deve essere esaminato; potreste infatti scoprire che un laptop o un dispositivo specifico è stato costruito in un paese con cui non vi sentite a vostro agio nel fare affari. Io stessa uso un laptop Lenovo, anche se alcuni hanno espresso dubbi sul fatto che potrebbe essere una fonte di rischio informatico.

In conclusione, cercate di scoprire dove viene sviluppato il software che usate ogni giorno (o che vi accingete ad acquistare) e dove viene costruito il vostro hardware. Non è però sempre facile, visto che i fornitori possono nascondere l’ubicazione dei loro uffici e utilizzare una forza lavoro distribuita a livello globale. Dopotutto, al giorno d’oggi il software può, e di solito è, sviluppato ovunque e potreste essere sorpresi dal fatto che il vostro tool preferito non sia stato sviluppato dove pensavate.