Al pari dei laptop, gli smartphone sono diventati uno strumento essenziale per il business. Anche lo smartphone però è esposto agli stessi rischi di qualsiasi altro endpoint e ha buon gioco chi pronostica che essi sono avviati a essere – in un’ottica di sicurezza – quel che i Pc sono stati ieri, vale a dire vettori di malware, vulnerabili alle minacce esterne e bisognosi di protezione dei dati salvati localmente
«Ho iniziato ad associare i termini smartphone e sicurezza dopo che Visa mi ha addebitato circa 200 euro per l’acquisto di due o tre app su App Store. Acquisti che non avevo né effettuato né autorizzato», mi dice il quadro di un’importante azienda di servizi informatici. In questo caso la registrazione dei dati della carta di credito effettuata in precedenza per accedere alla piattaforma Apple e probabilmente una richiesta di aggiornamento software hanno preparato il terreno all’azione fraudolenta. Da lì la trafila di telefonate per bloccare la carta e il pagamento delle transazioni, la compilazione della pratica di richiesta di stralcio degli importi addebitati, la richiesta di emissione di una nuova carta, la denuncia dell’accaduto all’autorità competente, insomma tutto l’armamentario di grattacapi e perdite di tempo che fa da corollario a episodi come questo.
Oggi sono ancora pochi coloro che prestano attenzione a questo genere di cose. Ma a giudicare dalle denunce non si tratta più di un fenomeno marginale che interessa quattro gatti poco avvezzi alla tecnologia e un po’ iellati. Presto questi mezzucci ci appariranno primitivi quanto la punta in ardesia di una freccia del neolitico.
Come vedremo le apps sono solo una delle tipologie di strumenti sfruttabili per condurre azioni fraudolente da parte di terzi. È di questi giorni la notizia che Google dopo mesi di tam-tam e speculazioni ha ufficialmente presentato Wallet, la piattaforma di pagamento per cellulari con cui tenterà di sparigliare le carte cambiando le abitudini di acquisto e pagamento di milioni di consumatori. L’ingresso di Wallet nell’affollato settore del Mobile Micro Payment mira proprio a sostituirsi a carte di credito, bancomat e vecchi contanti, trasformando lo smartphone in uno strumento di pagamento utilizzabile soprattutto per le piccole transazioni commerciali, quelle inferiori ai 50 euro per intenderci. Se l’abitudine di pagare con cellulari e sms prenderà piede non ci vorrà una chiromante per predire che l’interesse dei criminali troverà un nuovo catalizzatore.
Secondo una ricerca comScore a fine gennaio 2010 in Italia si contavano circa 15 milioni di utilizzatori di smartphone, primo Paese in Europa davanti a Regno Unito (11,1 milioni di utenti), Spagna (9,9 milioni), Germania (8,4 milioni) e Francia (7,1 milioni). Oggi secondo i dati contenuti nell’ultima Relazione annuale presentata al Parlamento dal Garante Corrado Calabrò, ogni cento cellulari più di trenta sono smartphone. Superata per quanto riguarda la diffusione dei sistemi operativi a bordo degli smartphone venduti nel nostro Paese, la ricerca comScore è ancora un buon punto di partenza per capire in che modo gli italiani utilizzano il loro telefonino evoluto. Secondo lo studio, quasi l’80% degli italiani li utilizza per inviare e ricevere sms, il 37% per applicazioni e giochi, il 20,7% per navigare in Internet e il 20,4% per ascoltare musica; più contenute le quote di coloro che accedono alle piattaforme di social networking e blog (11,7% degli utenti) oppure per tenersi informato (10,4%).
Per ognuno degli utilizzi menzionati dalla ricerca esiste una varietà in continuo aumento di apps, le applicazioni installabili sullo smartphone. Le apps disponibili ci consentono di giocare, condividere, informarci e lavorare. Le apps consentono di trasformare lo smartphone in uno strumento sia di svago che di lavoro. Per questo per un numero crescente di persone gli smartphone, al pari dei laptop, sono diventati uno strumento essenziale per il business tanto che, secondo alcuni analisti, entro il 2013 soppianteranno nelle vendite i Pc, diventando i device più utilizzati per accedere a Internet.
Per alcune categorie di lavoratori una parte importante del lavoro può essere svolta utilizzando uno smartphone, a qualsiasi ora del giorno e da qualunque luogo esista una copertura del segnale. E neppure bisogna credere che questa tendenza sia di esclusivo appannaggio di impiegati e quadri intermedi. L’utilizzo sempre più frequente dello smartphone riguarda anche executive, dirigenti e imprenditori.
Ma lo smartphone è anche un oggetto che soddisfa la nostra vanità, bello da esibire e da utilizzare, qualcosa che lo avvicina a una sorta di status symbol che in qualche modo identifica il suo possessore. Per questo sempre più utilizzatori vogliono e spesso riescono a ottenere che il proprio smartphone sia utilizzato in ambito professionale. Non c’è dubbio poi che oggi il confine tra quello che si fa per lavoro e l’utilizzo per fini propri sia sempre più sfumato. Prendiamo solo per fare un esempio l’utilizzo del portale Web aziendale per leggere e inviare le mail, utilizzato sia a scopo lavorativo sia personale. È il fenomeno della consumerizzazione della tecnologia che spinge perché entrino in azienda piattaforme e modelli di smartphone tra i più disparati.
Il rovescio della medaglia è che anche lo smartphone è esposto agli stessi rischi di qualsiasi altro endpoint. Con un handicap però: a differenza di quanto avviene per il Pc o il portatile aziendale, che quasi sicuramente dispongono di una qualche configurazione di sicurezza, oggi è ancora raro che sul telefonino evoluto sia installato un qualche applicativo di protezione.
Perciò ha buon gioco chi pronostica che essi sono avviati a essere – in un’ottica di sicurezza – quel che i Pc sono stati ieri, vale a dire vettori di malware, vulnerabili alle minacce interne ed esterne e bisognosi di protezione dei dati immagazzinati localmente.
In un documento reso pubblico nei mesi scorsi, Enisa, l’agenzia dell’Unione Europea che si occupa delle problematiche di sicurezza informatica, ha identificato nel dettaglio i rischi collegati al loro utilizzo personale e, soprattutto, in ambito aziendale, suggerendo anche alcune contromisure (https://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users). Per comodità abbiamo raggruppato questi pericoli associandoli a tre distinte aree di sicurezza: l’installazione di applicativi, i rischi derivanti dalla navigazione su Internet e la protezione in locale dei dati.
Il pericolo più sentito: la perdita di dati
L’utilizzo in ambito lavorativo del proprio smartphone espone l’azienda al rischio di perdita di dati riservati e di manomissione degli applicativi proprietari. In che modo oggi le aziende affrontano queste problematiche e quali sono le tecnologie disponibili per fare fronte ai pericoli? Soprattutto quando una tecnologia è nuova, il fatto che esistano realtà in cui il problema non è neppure affrontato non deve stupire più di tanto, come dimostra la survey condotta da CheckPoint lo scorso novembre in Gran Bretagna su un campione di 130 IT managers; dalla ricerca è emerso che il 39% degli interpellati ha ammesso che in azienda non esiste alcuna policy rivolta alla protezione di smartphone e laptop; un 37% dichiara che la propria azienda ha espressamente proibito l’utilizzo di questi dispositivi per fini professionali e infine un 61% afferma di dover fare i conti con alcune restrizioni nell’accesso e nell’utilizzo delle risorse aziendali. Da una ricerca analoga condotta dalla società di consulenza Damovo emerge invece che tra le aziende che hanno autorizzato l’utilizzo di smartphone ben il 92% di esse ha ammesso che ciò ha portato negli ultimi dodici mesi a un aumento dei problemi di sicurezza in azienda (www.damovo.ie/press/article/69).
Al di là delle considerazioni sulla mancanza di adeguati piani di governance della tecnologia, a emergere è la tendenza che indica come sempre più siano gli utilizzatori finali a dettare le scelte in azienda circa le tecnologie da impiegare. Le esigenze contrapposte di aprirsi verso l’esterno e il bisogno di sicurezza, sortiscono in alcuni casi l’effetto di scaricare sull’utilizzatore finale le responsabilità circa un uso non autorizzato di questi dispositivi. E nel caso degli smartphone il pericolo derivante dalla mancata sicurezza è una minaccia che, sulla carta, si prospetta come una delle più pervasive degli ultimi anni.
Facciamo un esempio: oggi è sempre più difficile che il parco laptop dell’azienda non sia censito e di conseguenza in qualche modo messo in sicurezza. La prassi è quella di fornire ai propri collaboratori laptop con configurazioni standard che prevedono limitazioni efficaci all’utilizzo non controllato. Sul laptop aziendale si installa perciò almeno l’antivirus e si restringe il numero degli applicativi a quelli strettamente necessari per l’utilizzo professionale. Difficilmente al proprio collaboratore saranno assegnati privilegi amministrativi e pertanto non gli sarà possibile installare nulla. La connessione sicura alla rete aziendale sarà assicurata dalla presenza di un client Vpn. In qualche caso l’assistenza tecnica da remoto potrebbe ancora rappresentare un problema, ma virtualizzazione, aggiornamenti periodici di sicurezza e una corretta gestione centralizzata ovvieranno ai problemi principali. Quello che si vuole evitare è di autorizzare l’utilizzo del laptop personale così come dello smartphone con a bordo un sistema operativo e applicativi non supportati dall’azienda.
Attacchi che sfruttano le apps
La grande offerta di apps rende appetibile la loro installazione sul nostro smartphone. Limitandosi alla sola piattaforma Apple, secondo la società di ricerca Asymco sarebbero circa sessanta in media le applicazioni scaricate su ogni singolo iDevice (iPhone, iPod Touch, iPad); lo studio precisa che il numero di applicazioni scaricate è in aumento e che nel 2011 supererà quello delle canzoni scaricate tramite iTunes. Basta però leggere i commenti lasciati sui vari forum in rete per ipotizzare che si tratti di una stima al ribasso. Tutto quello che si installa rappresenta però un potenziale pericolo. In questo senso il successo di Android non è passato inosservato. Nel giro di poche settimane i pirati informatici hanno ideato almeno due tipologie di malware di media pericolosità. Poi pochi mesi fa il Market, la principale fonte di approvvigionamento di apps per la piattaforma Android, ha subito un pesante attacco da parte di non identificati cyber criminali.
L’attacco al Market di Android e l’ascesa del mobile malware
Si inizia a fare sul serio. Lo scorso mese di marzo Google è stata costretta a rimuovere dal proprio market una cinquantina di apps dopo aver scoperto che esse propagavano malware. Le cose sono andate a grandi linee in questo modo. Dopo aver scaricato una cinquantina di app legittime, infettandole con del malware gli autori dell’attacco hanno ricaricato le apps limitandosi a cambiar loro di nome. Durante i quattro giorni successivi, prima cioè che Google si accorgesse di quanto stava accadendo e rimuovesse le app virate, ne sono state scaricate almeno 20mila. Ma secondo altre stime il numero potrebbe essere compreso tra 50mila e 500mila, molte delle quali versioni piratate e infette delle legittime apps per Android contenenti codice maligno ribattezzato droidDream.
droidDream ruba i dati dallo smartphone Android virato – seriale del cellulare e della sim card – con i quali, almeno in teoria, è possibile effettuare qualsiasi transazione consentita sostituendosi al legittimo proprietario.
Questo non è il primo esempio di malware per smartphone; in passato i creatori del trojan Zeus avevano ideato una versione anche per i cellulari chiamata Zitmo (Zeus in the mobile) in grado di intercettare gli sms inviati da alcune banche verso i BB; il suo impatto tuttavia era stato piuttosto limitato; con droidDream si concretizza la prima infezione massiva. Se fino a poco tempo fa secondo gli esperti mancavano degli incentivi validi per dirottare gli attacchi anche su smartphone quali mancanza di dati e info di valore, limitata potenza di calcolo ed estrema varietà di piattaforme scoraggiavano i malintenzionati – oggi la situazione sembra mutata e anche i cybercriminali stanno rivedendo le loro scelte.
Sino all’episodio citato, di malware su smartphone si sentiva molto parlare, ma pochi avevano potuto toccare con mano l’effettiva pericolosità; oggi si inizia a riconoscere che i virus destinati ai cellulari posseggono caratteristiche proprie. Un app virata in grado di inviare settimanalmente un messaggio di testo a un numero a pagamento dall’altra parte dell’oceano alle tre di notte può essere più redditizia di un malware che spara le sue cartucce in un arco di tempo limitato. Di conseguenza lo smartphone aziendale potrebbe provocare maggiori danni all’azienda di uno privato se non altro perché il suo utilizzatore non si cura né delle bollette a suo carico né se dal suo numero partono sms o download che lui non ha fatto o non riconosce. Inoltre i cybercriminali hanno tutto l’interesse a non pubblicizzare troppo i danni fatti proprio perché gli attacchi di phishing sugli smartphone, secondo alcuni, raggiungendo più utenti sono più efficaci di un virus o di un worm su Pc.
Tuttavia uno smartphone adeguatamente configurato con delle restrizioni efficaci in termini di download, accesso e autenticazione e storage dei dati è – secondo gli esperti – meno vulnerabile a un attacco malware di un Pc.
Secondo Steve Durbin, vicepresidente dell’Information Security Forum (www.securityforum.org/), almeno 240mila utilizzatori sono stati colpiti dall’infezione. L’attacco al Market di Android non è così sorprendente data la natura open source della piattaforma di Android dove – al contrario di quanto avviene sulla piattaforma di Apple – chiunque può creare e modificare le apps per gli smartphone. Secondo quanto dichiarato da un noto vendor di sicurezza, le varietà di codice dannoso presenti nel market Android sarebbero passate nel giro di pochi mesi da due a circa 70. A più riprese Google ha integrato alcune forme di protezione all’interno del proprio sistema operativo mobile – quali per esempio l’avvio delle applicazioni in modalità sandbox (ambiente protetto per l’esecuzione delle applicazioni) e la necessità di fornire l’autorizzazione a ogni app che richieda l’utilizzo di risorse hardware e software – senza riuscire però a frenare l’emorragia di dati personali archiviati dagli utenti sul proprio smartphone.
Questo non significa che la piattaforma di Android è responsabile dei rischi che corrono i suoi utilizzatori. La politica di Apple di abilitare solo le applicazioni firmate limita le possibilità di attacco diretto; tuttavia la rimozione delle protezioni attraverso il jailbreaking espone gli utenti alla possibilità di essere attaccati.
Che si tratti di un market controllato come quello di Apple che controlla e valida le app che rende disponibili per i suoi dispositivi – o più libero come quello della piattaforma Android – nessuna piattaforma può dirsi sicura. Ogni volta che scarichiamo un app o accediamo a un sito Web utilizzando un dispositivo mobile, corriamo dei rischi. Piuttosto, in prospettiva sarà sempre più difficoltoso controllare le app; se come si stima l’incremento dei download continuerà a crescere a questi ritmi, di fatto diventerà impossibile riuscire a tracciarle. Occorre perciò maggiore consapevolezza circa i rischi che si corrono utilizzando uno smartphone soprattutto oggi che questi dispositivi sono diventati più affidabili, potenti e meglio connessi, mentre per quanto riguarda le aziende si tratta di trovare il giusto punto di equilibrio tra le esigenze di business e quelle di protezione dei dati; il consiglio è quello di non installare applicazioni o servizi dalla dubbia provenienza; in seconda battuta le aziende sono sollecitate a predisporre whitelist di applicazioni permesse che consentano la gestione dei dati confidenziali, dotandosi di politiche di sicurezza che favoriscano l’utilizzo appropriato del dispositivo mobile e che allo stesso tempo educhino gli utilizzatori in merito ai rischi di sicurezza che si corrono.
Politiche di sicurezza appropriate
Come sempre il primo passo per governare fenomeni quali la consumerizzazione e l’esplosione dell’utilizzo degli smartphone è quella di dotarsi di policy di sicurezza efficaci. Molte aziende si sono attrezzate dotandosi di policy appropriate, ma sono ancora poche quelle che ne prevedono di specifiche per i dispositivi mobili. Un buon punto di partenza è quello di iniziare da una prospettiva di analisi del rischio concentrandosi sui dati. La perdita di dati sui dispositivi mobili è la preoccupazione principale di utilizzatori e gestori del parco smartphone in azienda. Perciò qualsiasi programma di prevenzione che definisca che cosa è consentito salvare sullo smartphone ha già percorso un tratto importante del cammino. Diversamente è necessario redigere un inventario dei dati dell’organizzazione, della loro collocazione e importanza e stimarne l’impatto qualora si verificasse un furto o una perdita accidentale. Analogamente vanno stabilite alcune regole per quel che riguarda le risorse alle quali è possibile accedere quando si usa il proprio smartphone o si lavora da remoto. La tecnologia non manca. Esistono software in grado di monitorare tutto il traffico che passa attraverso il server di posta filtrando messaggi, contatti e appuntamenti in agenda di modo che le mail da determinati mittenti e verso determinati destinatari, oppure quelle contenenti determinate parole o frasi, siano bloccate prima dell’invio dal proprio smartphone.
Un altro aspetto importante da considerare è la modalità con cui l’azienda autorizza la connessione da remoto ai propri collaboratori. In quest’ambito fattori quali la consumerizzazione e i limiti tecnici di alcuni smartphone (per esempio molti smartphone di fascia consumer non sono compatibili con gli standard Vpn, oppure a causa delle dimensioni ridotte dello schermo sono inadatti per un utilizzo tramite interfaccia business) spingono le aziende a servirsi di tecnologie più gestibili, tipicamente portali ad hoc per l’accesso alle risorse dell’azienda utilizzando i dispositivi mobili quali terminali d’accesso verso il Cloud.
L’altra area a cui guardare con attenzione è quella dell’autenticazione. Essa rappresenta la prima linea di difesa contro coloro che utilizzano uno smartphone per accedere a informazioni riservate. Un metodo di autenticazione efficace deve rifarsi ai meccanismi di autenticazione impiegati per i sistemi di computer, vale a dire una richiesta di autenticazione all’accensione e scaduti i tempi di inattività fissati da policy; un meccanismo di protezione che entri in funzione dopo un certo numero di accessi falliti e che porti dal blocco dello smartphone alla cancellazione dei dati residenti da remoto. Oggi sempre più smartphone incorporano meccanismi di questo tipo. Tuttavia lo smartphone ha caratteristiche e funzionalità proprie che anche gli esperti di sicurezza raccomandano comunque di preservare. Per esempio alcuni ritengono inappropriato prevedere un meccanismo di autenticazione prima di rispondere a qualsiasi chiamata così come prima di poterne effettuare una magari d’emergenza. Anche i tempi di inattività oltre i quali scatta il blocco dello smartphone devono essere attentamente valutati in ragione del suo impiego. Per esempio, se utilizzato come navigatore tempi troppo brevi di non utilizzo che lo forzino a eseguire continui accessi autenticati non sono consigliabili.
Naturalmente l’autenticazione prima di accedere alle risorse aziendali è l’aspetto più importante da considerare. A oggi sono ancora pochi gli smartphone dotati di porte usb per connettere dispositivi biometrici e consentire così un’autenticazione a due fattori. Questa limitazione può essere superata grazie ai software specifici disponibili per molti modelli di smartphone che sono in grado di creare token software per l’autenticazione bypassando così il problema di avere un secondo dispositivo che li crei. Come vedremo, la doppia autenticazione è un deterrente efficace contro i trojan come il famigerato Zeus.
Il monitoraggio degli accessi è l’altra arma a disposizione. Esistono software e piattaforme di gestione dei dispositivi mobili che consentono di monitorare tutti gli accessi così come di assegnare diritti e privilegi associati a ogni singolo user, gruppo di appartenenza o device. E anche di configurare ogni smartphone secondo i dettami delle policy di sicurezza previste. Per esempio è possibile distribuire whitelist di applicazioni e funzionalità permesse ed esiste la tecnologia per bloccare a livello centralizzato tutte quelle funzionalità pericolose o comunque sconsigliabili in ambito aziendale. Ancora una volta si tratta di raggiungere un punto di equilibrio efficace che permetta, da un lato, di non rinunciare ai vantaggi della consumerizzazione della tecnologia mobile e, dall’altro, di salvaguardare asset e informazioni dell’azienda.
Fissare le regole
In teoria prima che al proprio collaboratore sia accordata l’autorizzazione ad accedere alle risorse aziendali vi deve essere una qualche forma di accettazione delle policy che ne regolamentano l’utilizzo. Il collaboratore deve cioè accettare che sul proprio smartphone siano installati gli applicativi necessari alla gestione da remoto e alla protezione. In alcune realtà si deve accettare che i dati siano crittografati sia in fase di trasmissione che di salvataggio in locale. Salvo poche eccezioni la supervisione della configurazione complessiva del device avviene sotto le direttive e il controllo del reparto IT dell’azienda.
È noto che alcune condizioni fissate dall’azienda vengono accettate con qualche resistenza da parte dei collaboratori; tipicamente condizioni quali l’utilizzo di password di minimo otto caratteri alfanumerici, l’obbligo di crittografare i dati sullo smartphone, oppure di accettare la cancellazione da remoto dei dati qualora si verificasse un furto o uno smarrimento; almeno per queste ultime l’impatto anche psicologico può essere attutito dalla pratica di segregare i dati importanti da quelli personali direttamente in porzioni separate della memoria del telefonino, di modo che qualora si renda necessaria la cancellazione da remoto questa possa avvenire unicamente per i dati sensibili e aziendali. D’altra parte è possibile ridurre al minimo i dati salvati sul dispositivo mobile. Per esempio l’accesso alle risorse aziendali tramite browser ci consente di non salvare nulla in locale. Anche la virtualizzazione del desktop può contribuire a ridurre ai minimi termini le operazioni di salvataggio. In questo modo il dispositivo mobile diventa una sorta di finestra attraverso la quale visualizzare quello che interessa. Inoltre la virtualizzazione evita all’azienda di dover sviluppare i propri applicativi su tutte le piattaforme presenti sul mercato. Naturalmente virtualizzare ha un costo e soprattutto nella fase iniziale ciò potrebbe comportare investimenti cospicui per l’azienda. La diffusione inarrestabile degli smartphone non potrà non impattare pesantemente sulle decisioni in questo ambito per i Cio, anche se oggi si tratta di un problema che riguarda un numero limitato di aziende. Attualmente la strada più battuta è ancora quella di installare sugli smartphone aziendali tutti gli applicativi che occorrono. E quando si fa questa scelta le problematiche sono simili a quelle di un tradizionale deployment degli applicativi su dispositivi quali desktop e laptop/netbook/tablet. Pertanto si dovranno effettuare dei controlli di sicurezza sugli applicativi da installare sia di quelli sviluppati in proprio che acquistati da terze parti.
Conclusioni
Gli smartphone sono diventati una piattaforma applicativa grazie a una serie di fattori tra cui l’aumento delle capacità di calcolo e dei canali di connessione oltre alla disponibilità per gli sviluppatori di kit di sviluppo software. La loro diffusione è stata esplosiva ed è facile ipotizzare che nei prossimi anni sarà altrettanto impetuosa. Il loro impatto dal punto di vista della sicurezza va ben oltre a quello con cui ci stiamo misurando, vale a dire il loro utilizzo per fini professionali. L’azienda che oggi sceglie consapevolmente di escludere l’utilizzo di smartphone quali strumenti di lavoro evoluti non è detto che in futuro possa continuare a farlo. Oggi gli esperti parlano di immaturità degli smartphone riferendosi soprattutto alle vulnerabilità delle architetture (varietà delle piattaforme, pressione sui cicli di produzione, estrema frammentarietà delle applicazioni disponibili, presenza di dati sensibili sui dispositivi) che li rende un bersaglio appetibile per la criminalità.
Le vulnerabilità dei cellulari sono note da tempo. Fino a ieri la limitata disponibilità dei servizi voce, sms wap, la relativa chiusura dei sistemi e l’assenza di applicazioni appetibili hanno contribuito a contenere la diffusione di malware su questi dispositivi. Oggi però secondo alcuni siamo alla vigilia di un’invasione di codice maligno indirizzato al mobile. Altri invece sottolineano come sovradimensionare il problema sia soprattutto un modo efficace per spaventare le persone. Di certo come per qualsiasi altro dispositivo anche lo smartphone necessita di adeguate misure di sicurezza a protezione dei dati e, come abbiamo visto, oggi solo una piccola minoranza di aziende ha integrato all’interno delle policy di sicurezza aziendale il proprio parco smartphone alla pari dei sistemi tradizionali fissi e mobili dell’azienda.
Il malware è in continua evoluzione; più aggressivo, difficile da identificare e con un ciclo di vita sempre più breve; le tecnologie che sfruttano lo scanning delle signatures al centro di continue critiche per la loro inefficacia si devono misurare sia con queste caratteristiche del malware sia con i tempi sempre più compressi entro i quali può svolgersi un attacco. L’aumento costante di codice dannoso in circolazione fa sì inoltre che si generino pattern utilizzati per la ricerca di signatures le cui dimensioni impattano sui tempi di risposta di processore, memoria e dischi a bordo dell’endpoint. Perciò si rende necessaria una riflessione anche sui tempi necessari per il deployment di questi file. Anche l’installazione periodica di patch sui dispositivi mobili potrebbe scontrarsi con alcune difficoltà. Rispetto ai Pc la varietà di hardware e sistemi operativi a bordo è molto più ampia; alla grande varietà di modelli in circolazione si deve poi aggiungere la necessità di aggiornamenti frequenti del firmware che, di norma, avviene sotto il controllo dell’operatore (Apple, Google, ecc.) e non dell’utente.
Gli applicativi di sicurezza scontano un certo ritardo. Oggi l’offerta di soluzioni di sicurezza pur articolata non permette facilmente il loro confronto. Ma le cose stanno cambiando molto rapidamente. E come confermano molte società di consulenza e analisi questo mercato nei prossimi anni crescerà a ritmi vertiginosi.
——————————————————————————————————————
TROPPI SMARTPHONE, RETE A RISCHIO CONGESTIONE
Poco meno di un anno fa Corrado Calabrò, presidente dell’Authority per le comunicazioni, lanciò un primo avvertimento – contenuto nella relazione annuale che l’Agcom presentò al Parlamento – quello di liberare al più presto le frequenze per scongiurare il rischio di congestionamento della rete di telefonia mobile messa a dura prova dal boom di smartphone e chiavette utilizzate per collegarsi a Internet.
Il sollecito del Garante provocò la reazione immediata di Telecom Italia che, per bocca del proprio amministratore delegato, si affrettò a ridimensionare il problema; la minaccia fu invece presa sul serio dall’amministratore delegato di Vodafone Paolo Bertoluzzo che non nascose i potenziali rischi legati alla crescita inarrestabile del traffico trainato dalla diffusione delle tariffe flat; e d’altra parte i problemi di congestione che si erano verificati in Gran Bretagna e Stati Uniti nei mesi precedenti non erano stati un invenzione dell’Agcom.
Un anno è passato e la situazione è – se possibile – peggiorata. Oggi ogni cento cellulari più di trenta in Italia sono smartphone; mentre sarebbero oltre 6 milioni le chiavette attive nel Paese per connettersi a Internet, secondo quanto si legge nell’ultima Relazione annuale.
Alla disponibilità da parte dell’Authority di mettere all’asta circa 300 megahertz di banda non ha ancora fatto seguito né la definizione delle regole da parte dello stato per distribuire – tramite appunto un’asta – queste risorse digitali e neppure quelle frequenze ancora occupate dal ministero della Difesa e dalle televisioni locali. «Condizione fondamentale per il successo della gara è la disponibilità in tempi ravvicinati delle frequenze da assegnare, liberando senza indugi quelle ancora occupate», ha dichiarato Calabrò nella Relazione annuale presentata al Parlamento lo scorso 14 giugno.
Oltre alla protezione software assicurata ai Pc, per questi dispositivi lo specialista russo ha studiato soluzioni particolari
di Piero Macrì
Dal personal computing al mobile personal computing. La progressiva accelerazione nell’acquisto e utilizzo di smartphone solleva l’ennesimo problema riguardo alla riservatezza e protezione dei dati così come alla possibile esposizione a malware. Un vuoto da colmare: la maggior parte dei consumatori non ha ancora avvertito la necessità di ricorrere all’installazione di software in grado di proteggere il proprio dispositivo. «Nell’immaginario collettivo si considera che questi dispostivi non necessitino di un livello di protezione software come quello che viene attualmente assicurato ai Pc – afferma Vicente Diaz, senior malware analyst di Kaspersky (www.kaspersky.com) -. Si crede che la navigazione sia più sicura, che il rischio di perdita di dati sia minore. Un grosso malinteso: lo smartphone è un computer a tutti gli effetti, con tutte le conseguenze del caso».
La strategia di Kaspersky è dare modo all’utente di proteggere i dispositivi mobile con lo stesso livello di completezza con cui si sono finora protetti i Pc. «Si deve tenere presente – aggiunge Diaz – che in ambito aziendale si fa un utilizzo incrociato di più dispositivi, tra questi, in forma sempre più crescente, lo smartphone, un elemento che introduce un ulteriore livello di pericolosità nella diffusione di contenuti che possono estendersi e propagarsi sui differenti livelli di computing device utilizzati all’interno dell’organizzazione».
Kaspersky è convinta che l’evoluzione dal personal computing al mobile computing porterà inevitabilmente a una rivoluzione copernicana per quanto riguarda le tecnologie di protezione. «Il cellulare – dice Diaz – può essere rubato o perso con molta più facilità di un notebook. Un rischio che rende essenziali tecnologie antifurto come quelle integrate nella nuova Kaspersky Mobile Security, disponibile per piattaforme Symbian, Windows, BlackBerry e Android». Il servizio permette, in caso di furto o smarrimento, di bloccare il dispositivo da remoto, sbarrando definitivamente l’accesso ai dati in esso contenuti o, eventualmente, cancellandoli. Se la Sim viene tolta, la soluzione permette di bloccare immediatamente il device con l’invio contestuale di un’e-mail riportante il numero di cellulare dell’eventuale nuova Sim installata. È prevista inoltre la funzione GPS Find: inviando una password prestabilita all’apparecchio smarrito si riceve un link a Google Maps che permette di localizzare la posizione dello smartphone. Queste sono solo alcune delle tante funzioni previste. Esistono poi tutte le classiche opzioni di gestione della sicurezza e della privacy, che vanno dalla protezione anti-malware alla criptazione di dati selezionati, dal blocco delle chiamate e degli SMS indesiderati a funzioni anti-intrusione. Insomma una sicurezza traslata su smartphone che può garantire la gestione della protezione a più livelli, di sistema e di dati.
Certo, se si guarda alla diffusione dell’iPhone e alla sua attuale predominanza rispetto a piattaforme alternative, viene da chiedersi per quale motivo la suite di Kaspersky non sia disponibile anche in una versione Apple. «Non dipende da noi – risponde Vicente Diaz -, dovremmo avere a disposizione informazioni e specifiche che al momento Apple non rilascia».
In prospettiva può avere senso pensare a mettere in sicurezza anche dispositivi come il tablet? «Probabilmente sì – dice Diaz -, ma fino ad adesso quest’ultimo si rivela più un dispositivo utilizzato come media entertainment, per legger libri, fare del browsing o dedicarsi ad attività di social networking. Non è ancora pienamente integrato in una dimensione business, come invece è diventato lo smartphone. Si deve poi considerare che le potenzialità di rischio di protezione sono strettamente legate ai numeri di diffusione delle singole tecnologie: gli investimenti del crimine tendono a concentrarsi dove più alto è l’utilizzo di un certo dispositivo e il mobile phone è l’area che, in questo momento, permette di indirizzare il più alto numero di utenti e, quindi, ragionare in una sorta di economia di scala dell’investimento necessario per mettere a segno azioni criminose», conclude Diaz.
La mole di dati e informazioni da gestire, garantire e proteggere aumenta esponenzialmente. E la ricetta per padroneggiare la situazione è fatta di tecnologie, processi e cultura della sicurezza
di Pierangelo Piantanida
Un aumento delle informazioni in circolazione che è del 62% anno su anno e un’esplosione dei trend di mercato quali il Cloud, la virtualizzazione e il mobile, tanto che si stima che entro il 2015 sarà virtuale il 60-70% dei server, il traffico dei dati su dispositivi mobili aumenterà del 4.000% e le informazioni archiviate e sottoposte a backup cresceranno del 52% rispetto al 2010, così da incrementare ulteriormente lo sviluppo del Cloud.
Cifre rese note durante il Technology Day organizzato da Symantec (www.symantec.it) a Milano, cui fa da contraltare una lievitazione dei rischi per la sicurezza delle informazioni stesse, con oltre 286 milioni di minacce rilevate dalla società nel 2010, un +93% degli attacchi al Web, più di 6.200 nuove vulnerabilità riscontrate (di cui +42% quelle riguardanti i sistemi operativi mobili) e 260mila identità esposte in media nel corso di ogni violazione dei dati provocata dagli hacker nell’anno.
Dalla cattedrale al souk
Un universo complesso, ha confermato Carlo Alberto Carnevale Maffè, docente di strategia aziendale alla SDA Bocconi di Milano, caratterizzato dal fatto che le fonti dei dati da gestire sono «innumerevoli e distribuite ovunque» e che i dati sono «sempre più interconnessi e interdipendenti», mutano e si spostano continuamente e sono allocati in svariati luoghi, così che si deve immaginare un’architettura informativa più simile a un souk arabo che a una cattedrale medioevale.
E questo in quanto l’IT si è ormai evoluto da un «modello system-centric a un modello information-centric», ha messo in risalto Gerardo Gómez, regional director, technology sales organization, Mediterranean Region di Symantec, nel quale cioè è l’informazione a essere al centro dell’attenzione e delle necessità di ognuno.
Il tutto tenendo presente non solo l’estrema frammentarietà e dispersione dell’informazione stessa, ma anche la sua grande vulnerabilità, ha evidenziato Antonio Forzieri, Emea security solutions architect di Symantec Italia, secondo cui l’anno scorso si è assistito a un «salto di livello nello scenario della security». Ovvero attacchi sempre più mirati ad alto profilo e a elevato impatto sulle organizzazioni, molti capaci di far leva sull’ingegneria sociale (sfruttando il fenomeno dei social network), con malware in grado di nascondersi nei sistemi per carpire e rivendere le informazioni degli utenti e con la presenza di “kit” di attacco, realizzati e venduti sul “mercato”.
L’informazione al centro del business
Attacchi che hanno preso di mira assai più che in passato i dispositivi mobile, i quali saranno sempre più oggetto d’interesse del cybercrime con l’aumento delle soluzioni di mobile payment, favorite dal fatto che già oggi «apparecchiature come gli smartphone per il 70% sono usate per scambiarsi dati e solo per il 30% per telefonare», sono state le considerazioni di Marco Riboli, vice president sales, Mediterranean Region di Symantec e country manager di Symantec Italia.
È dunque un mondo che cambia radicalmente, sotto la spinta dei crescenti trend di mercato, quali appunto virtual, Cloud e mobile, cui sottostanno altrettante sfide cui l’IT deve far fronte.
Da qui la “Vision” di Symantec, espressa da Riboli e imperniata sul concetto che nel momento in cui è l’informazione a essere al centro del business, occorre costruirle attorno un’infrastruttura solida per gestirla e proteggerla, ma anche un’intelligence per comprenderne criticità, rischi e allocazioni, così come dei modelli per governarla.
Ma soprattutto, ha detto Riboli, serve che la società intera acquisisca una cultura della sicurezza, fatta di comportamenti e regole di buon senso, procedure di criptazione dei dati e certificazioni delle fonti da cui provengono, aggiornamenti tecnologici e apprendimento continuo.
E il ruolo di Symantec, con la sua tecnologia, deve essere quello di garantire agli utenti informazioni sicure, altamente affidabili e sempre disponibili, in qualunque contesto operativo e su qualsiasi device si stia utilizzando, nonché la possibilità di ricercare e selezionare, nel “mare magnum” delle informazioni medesime, solo quelle che davvero sono utili e importanti.
