Ventoy è davvero sicuro?

Uno degli strumenti software più innovativi e utili, soprattutto per chi desidera disporre di un supporto USB avviabile multiboot, è Ventoy. A differenza dei metodi tradizionali che richiedono di formattare la chiavetta USB ogni volta che si desidera caricare un nuovo file ISO, Ventoy consente di avviare le immagini di installazione dei sistemi operativi o i supporti live delle distribuzioni Linux semplicemente copiandoli sull’unità USB senza ulteriori operazioni.

Una volta installato Ventoy sulla chiavetta, all’avvio del computer viene presentato un menu da cui è possibile scegliere quale immagine caricare, rendendo estremamente pratico gestire più sistemi operativi, strumenti di diagnostica o procedure d’installazione da un’unica unità. Compatibile con BIOS tradizionali e sistemi UEFI, Ventoy supporta anche il Secure Boot, rendendolo uno strumento estremamente versatile sia per utenti privati che per professionisti IT.

Ventoy è inoltre compatibile con le immagini VHD/VHDX: questo significa che è possibile eseguire un’istanza virtualizzata di Windows, ad esempio, dal supporto USB collegato con il PC. In altre parole, è possibile prendere una macchina virtuale Hyper-V e avviarla con Ventoy da qualunque computer. Ne abbiamo parlato nell’articolo su come avviare Windows da una chiavetta Ventoy con tante ISO dei vari sistemi operativi.

Perché si mette in dubbio la sicurezza di Ventoy?

Da quando, a fine marzo 2024, è emersa la pubblicazione di una versione delle popolari XZ Utils contenente malware, la comunità ha elevato la soglia di attenzione nei confronti di tutti i progetti open source. Il sorgente è messo sotto la lente e si contestano agli sviluppatori tutti gli eventuali comportamenti ritenuti poco trasparenti.

Nel caso di Ventoy, la discussione si concentra sulla presenza di “blob” binari chiusi all’interno del software, in particolare all’interno del bootloader. Questi blob (insiemi di dati memorizzati in formato binario non interpretabili direttamente come testo) non sono stati completamente analizzati o sottoposti ad attività di reverse engineering da parte della comunità. Così, hanno preso vigore sospetti sulla sicurezza del software e sulla possibile presenza di vulnerabilità o backdoor.

In particolare, alcuni utenti hanno fatto riferimento a precedenti incidenti di sicurezza (come il caso della backdoor nella libreria XZ) per sottolineare che software con componenti binari non aperti possono rappresentare un rischio. Ventoy, essendo un tool caricato molto presto nel processo di boot (prima di qualsiasi antivirus o sistema di sicurezza), è considerato un potenziale vettore per attacchi sofisticati, specialmente in contesti in cui la sicurezza è critica.

Ventoy è sicuro?

Torniamo alla domanda del titolo. La discussione è ancora molto accesa: tuttavia, ad oggi non ci sono prove concrete di malware o backdoor in Ventoy. La mancanza di trasparenza su alcune parti binarie (blob) alimenta dubbi legittimi. Inoltre, lo sviluppatore di Ventoy è risultato poco reattivo alle richieste di chiarimento o miglioramento sulla questione blob, il che ha aumentato la diffidenza.

La maggior parte degli osservatori ritiene che Ventoy sia sicuro per un uso normale e quotidiano, soprattutto per utenti che non operano in contesti ad elevata sicurezza o a rischio di attacchi mirati.

Parallelamente, sta prendendo forza il fork per il momento battezzato Ventoy CPIO, variante nata per affrontare i temi menzionati in precedenza. L’obiettivo è quello di cercare di rimuovere o di sostituire i blob binari problematici con componenti più trasparenti od open source, migliorando così la fiducia e la sicurezza del sistema nel suo insieme.

Continueremo a seguire la questione da vicino (anche perché Ventoy è un software storico davvero molto utile…!) e vi terremo aggiornati sugli sviluppi.