Completando un lavoro di più di quattro anni nel quasi totale anonimato, Kaspersky Labs ha annunciato il rilascio del proprio sistema operativo. Sono ancora poche le informazioni disponibili per chi non parla russo ma quello che si sa è che nel 2012 l’A.D. Eugene Kaspersky ha descritto il nuovo sistema operativo come costruito dall’inizio per proteggere i sistemi di controllo industriale.

In un’altra analisi che è stata pubblicata in quell’anno, il sistema veniva descritto come orientato alla protezione delle infrastrutture strategiche come le centrali elettriche e le relative infrastrutture ed i network di telecomunicazioni. In quella analisi venivano anche descritti i criteri di base per lo sviluppo:

non può essere basato su codice esistente ma deve essere scritto partendo da zero; per garantire un livello di sicurezza adeguato, non deve contenere errori o vulnerabilità nel kernel. Per ottenere questo obiettivo, il cuore del sistema deve essere verificato al 100% in modo da non contenere difetti o codice che possa essere utilizzato per scopi diversi; per la stessa ragione, il kernel deve contenere una quantità minima di codice e questo significa che la stragrande maggioranza del codice deve essere eseguito nella modalità a basso privilegio; in questo tipo di ambiente ci deve essere un potente e affidabile sistema di protezione che supporti diversi modelli di sicurezza.

La descrizione sembra quindi descrivere un sistema operativo con il massimo livello di sicurezza ed affidabilità, progettato per i sistemi industriali, apparecchiature ospedaliere e l’infrastruttura IoT. Sembra che il nuovo software sia destinato ad essere inizialmente utilizzato sui router prodotti dall’azienda russa Kraftway, una azienda che sembra occuparsi della vendita di vari sistemi di controllo industriale e che opera anche in mercati verticali che includono i governi, la Sanità e l’Istruzione. In questo senso il sistema è stato paragonato a IOS di Cisco o VRP di Huawei.

I report dalla Russia parlano di 1000 unità dei nuovi router Kraftway già prodotti con KasperskyOS, ognuno al costo di 3082 dollari statunitensi.

La notizia del nuovo sistema operativo si inserisce in un dibattito molto animato che coinvolge i principali attori della rete Internet. Nell’era del post-Snowden, molti produttori statunitensi, i principali fornitori di sistemi operativi sia a livello consumer che a livello di appliance o industriale, sono sospettati a vario titolo di avere inserito backdoor o vulnerabilità per consentire l’accesso per finalità di spionaggio al Governo USA. La scoperta di queste vulnerabilità è ormai quasi settimanale e sta diventando devastante per la fiducia di governi e aziende private, oltre che dei consumatori.

Non è un caso quindi che Kaspersky, azienda con base in Russia – il primo obiettivo di spionaggio di moltissime agenzie occidentali – si muova per creare un sistema operativo che consenta al proprio paese di costruire una  infrastruttura non basata sulle apparecchiature di aziende statunitensi nell’ambito di quella che viene definita cyber-warfare.

In uno studio condotto da CVE Details (Common Vulnerabilities and Exposures) Apple OS X è risultato essere il software con più vulnerabilità del 2015 e il gigante di Cupertino è anche risultata essere l’azienda con più bug. Molti si aspettavano che la classifica negativa fosse guidata da Flash di Adobe, soprattutto alla luce di alcune falle di sicurezza già in uso scoperte all’inizio del 2015. Alla fine, però, la classifica finale ha sorpreso tutti dato che il sistema operativo di Apple, OS X – usato sui PC desktop e portatili, è risultato essere il software con più problemi di sicurezza dell’intero anno. Flash non è risultato essere nemmeno il secondo in classifica perché la posizione è stata assegnata a iOS, un altro prodotto di Apple ed il sistema operativo usato su iPhone e iPad.

CVE è una organizzazione che è usata da sviluppatori, ricercatori e aziende che operano nel campo sicurezza informatica di tutto il mondo. La classifica è compilata basandosi sui rapporti forniti dalle aziende di sicurezza, ricercatori indipendenti e su quegli sviluppatori che hanno chiesto di partecipare con le loro segnalazioni.

La classifica di CVE Details

Apple è stata anche classificata come l’azienda con il più alto numero di bug (654) scoperti nel 2015. IBM, l’azienda che comandava questa poco gloriosa classifica nel 2014, ha migliorato la sua posizione scendendo dal primo al settimo posto.

Questa notizia è certamente un colpo all’immagine di Apple, i cui prodotti erano spesso considerati molto sicuri o addirittura immuni ai problemi di sicurezza. Tuttavia una delle più importanti autorità nel campo della sicurezza afferma il contrario, posizionando OS X al primo posto per i software meno sicuri e iOS al secondo. In particolare, OS X ha manifestato 384 bug durante l’anno appena passato, con iOS secondo a quota 375 mentre il favorito numero uno di tutti, il molto deriso Flash di Adobe – oggetto anche di una campagna da parte di Apple stessa -, è abbastanza lontano con 314 bug rilevati durante il 2015.

E Microsoft ? Dopo OS X e iOS, Windows Server 2012 è il sistema che ha riportato più bug, primo nell’elenco dei sistemi progettati per l’esecuzione sui server con 155 segnalazioni. A poca distanza, però, compare Ubuntu (152) a testimoniare un certo equilibrio anche tra Windows e Linux ed il miglioramento che Microsoft ha conseguito negli ultimi anni, soprattutto se lo si confronta con OS X e iOS. Anche la situazione relativa ai diversi browser è abbastanza equilibrata (se così possiamo dire) con Internet Explorer, Chrome e Firefox abbastanza vicini tra loro, con rispettivamente 231, 187 e 178 bug con Safari più staccato a 135. Pochi invece i bug attribuiti a Windows 10 ma l’ultimo nato nella famiglia Windows è stato rilasciato solo negli ultimi mesi del 2015.

Scorrendo la classifica si incontrano molte sorprese, tra cui una relativa stabilità di Java. Diversa la situazione invece per Apple il cui poco invidiabile record rischia di offuscare l’aura di affidabilità creata da blog e magazine di settore.