Sicurezza e smartphone

L’associazione tra telefonia e calcolo computazionale fu teorizzata (1971) e brevettata (1974) dall’inventore e uomo d’affari greco Theodore George Paraskevakos, detto “Ted”, che elaborò il progetto di un dispositivo che integrasse intelligenza artificiale, elaborazione dati e visualizzazione su schermo, in combinazione con un terminale telefonico, successivamente definito “smartphone”

In principio nacquero i palmari e, distinti, appartenenti ad un mercato completamente diverso, apparvero  i primi terminali telefonici che si limitavano a consentire di effettuare chiamate vocali tramite onde radio, superando il limite fisico del cavo telefonico tipico della rete fissa.

Il primo prototipo di smartphone, che combinava le funzioni di un PDA (personal digital assistant) e di un apparato radiomobile (come sarebbe più corretto chiamare il c.d. “cellulare”, termine che invece deriva dal tipo di antenne utilizzate per le connessioni, chiamate “celle”) fu presentato da IBM al Comdex Computer Industry Trade Show del 1992 e messo in produzione, con il nome Simon Personal Communicator nel 1994, dalla BellSouth.

Negli anni successivi Nokia, Palm e Blackberry caratterizzarono il mercato dei dispositivi palmari, travolgendo Casio e Sharp che fino a quel momento avevano prodotto agendine programmabili con discreto successo.

Palm, in particolare, azienda statunitense fondata nel 1992 ed acquisita poco dopo da US Robotics, nel 1998, con il rilascio del sistema operativo Palm OS, iniziò la scalata al mercato dei dispositivi hand held fino a raggiungere, dopo circa un anno, il controllo dell’80% del mercato mondiale.

Nonostante non avessero connessioni telefoniche e l’unica occasione di contatto con il mondo esterno fosse la connessione al PC, Palm fu costretta già allora a rilasciare aggiornamenti di sicurezza che prevedevano la cifratura dei dati a 128 bit, con l’algoritmo AES o RSA e funzioni di protezione dalle intrusioni e dagli attacchi di tipo brute force.

Con i modelli Tungsten e Treo la società raggiunse il picco massimo di crescita ma fu Nokia, nel 1996, a rilasciare il primo smartphone moderno con il lancio della serie Communicator, basata sul sistema operativo Geos, successivamente sostituito da Symbian OS.

Contrariamente a quanto si possa pensare, infatti, non fu Apple a rilasciare il primo smartphone, poiché l’iPhone prima versione fu presentato solo nel mese di giugno del 2007, su un mercato sino ad allora dominato da dispositivi con piccoli schermi e grandi tastiere.

Tuttavia la rivoluzione apportata da Steve Jobs con i touch screen ad alta risoluzione e le app dedicate agli smartphone e, in particolare, con l’intuizione dell’App Store (in analogia con quanto già fatto con iTunes nel mondo della musica) determinò un drastico cambiamento del mercato, costringendo i produttori ad orientarsi verso sistemi operativi più evoluti, in grado di competere con il design e le funzionalità offerte da iOS.

Il mercato è attualmente dominato da Apple iOS, Google Android e Windows Phone, sebbene siano ancora molto diffusi, nel mercato professionale, i dispositivi Blackberry che, analogamente agli iPhone, hanno un sistema operativo proprietario.

La differenza tra un sistema operativo sviluppato su un determinato tipo di hardware e quello che invece deve essere adattato alle esigenze dei produttori ha, ovviamente, notevoli ripercussioni sul fronte della sicurezza dei dati e delle trasmissioni.

Gli smartphone di ultima generazione, da semplici terminali telefonici, sono ormai diventati apparecchi multifunzione con capacità di elaborazione in costante crescita e potenziale analogo a quello dei comuni personal computer.

Ovviamente, con l’aumento delle capacità di elaborazione e delle funzioni disponibili, anche di comunicazione interattiva, sono cresciuti esponenzialmente i problemi, derivanti sia dalla difficoltà di mantenere sotto controllo migliaia di righe di codice, sia dalla maggiore esposizione agli attacchi esterni derivanti dalle molteplici connessioni, wireless e wired.

A ciò si aggiunge la scarsa propensione dei costruttori a garantire aggiornamenti per versioni datate, poiché la logica del profitto induce ad erogare un servizio di assistenza meno efficiente ai clienti che, potenzialmente, potrebbero acquistare un nuovo dispositivo.

Sophos, azienda specializzata nella sicurezza delle informazioni, in un recente comunicato ha marcato la differenza tra i dispositivi iOS e Android, soffermandosi sulle cause della maggiore vulnerabilità del sistema operativo di Google.

Una parte delle cause va rinvenuta nella maggiore diffusione di Android rispetto ai concorrenti (circa il 59% del mercato mondiale) che espone il sistema operativo ad un maggior interesse da parte dei produttori di mobile malware, concentrati sull’obiettivo di infettare il maggior numero di dispositivi nel minor lasso di tempo possibile.

I criminali informatici sono soliti nascondere nelle applicazioni il codice malevolo da distribuire, al fine di eludere i meccanismi di controllo dei produttori, e ciò espone maggiormente, com’è comprensibile, quei sistemi operativi che hanno una politica di diffusione basata sull’installazione di software di terze parti senza controlli preventivi.

La politica di chiusura dell’App Store, in cui le applicazioni sono sottoposte a severi controlli prima di essere diffuse e le API non vengono messe a disposizione degli sviluppatori, definisce un diverso livello di protezione delle funzioni del sistema operativo e, soprattutto, dei dati personali degli utenti.

Ciò non significa che il sistema operativo dei dispositivi mobili di Apple sia inattaccabile (come ha dimostrato un ricercatore statunitense, realizzando un applicazione che ha rivelato surrettiziamente l’esistenza di un bug nell’App Store) ma garantisce un maggior livello di protezione.

E’ anche vero che tale “chiusura” è la ragione per la quale molti utenti preferiscono la versatilità di Android rispetto alla rigidità di iOS, che impedisce ancora oggi, ad esempio, la registrazione delle chiamate in entrata e in uscita dal dispositivo, per una discutibile politica di salvaguardia della riservatezza.

Uno dei principali problemi di vulnerabilità riscontrati nella politica di gestione dei contenuti di Android è la possibilità di installare applicazioni provenienti da terze parti, diverse e non certificate da Google, che espone gli utenti all’installazione di malware e applicazioni che riducono la sicurezza del dispositivo.

Se la fonte non è conosciuta e di ottima reputazione, c’è il rischio di installare sul telefono un’applicazione apparentemente proveniente da un produttore affidabile ma in realtà modificata da criminali informatici per veicolare virus e trojan con i quali compromettere il sistema e acquisire le informazioni personali del malcapitato utente.

Fino a quando le applicazioni vengono modificate al solo fine di introdurre pubblicità ed estendere le potenzialità dello spamming, il fastidio può essere eliminato rimuovendo l’applicazione ma, dato che raramente un criminale informatico rinuncia ad acquisire dati che gli potranno essere utili successivamente, la possibilità che applicazioni scaricate da mercati alternativi contengano funzionalità malevole è molto elevata.

Anche il collegamento ai punti di accesso pubblici presenti sul territorio non è una buona idea. Sebbene faccia risparmiare traffico telefonico, è sufficiente l’uso di un tool come DroidSheep su una rete non sicura per appropriarsi delle credenziali di autenticazione dei principali social network e sostituirsi ai titolari dei profili, pubblicando a loro nome messaggi e contenuti.

Neppure il noto Instagram è al sicuro da attacchi portati a termine con applicazioni come Boxer che, sfruttando le vulnerabilità dei sistema operativo Android, copiano i contenuti del profilo social dell’utente oggetto di attacco e ne creano uno identico, finalizzato a diffondere ulteriormente il contagio. Scopo dell’applicazione malevola è l’invio di messaggi SMS a tariffazione differenziata, verso paesi dell’est europeo, per alimentare servizi telefonici a pagamento offerti dagli stessi criminali informatici che hanno creato l’applicazione e che in tal modo incrementano i loro guadagni.

Una versione moderna dei dialer telefonici che affliggevano il mercato italiano delle comunicazioni una decina di anni fa.

Tra il 2011 e il 2012 i Sophos Labs hanno rilevato un incremento del malware per sistemi operativi mobili  del 10.000% rispetto al 2010. Una crescita esponenziale e preoccupante che ha indotto le aziende a potenziare i controlli e che dovrebbe indurre gli utenti a rispettare alcuni principi fondamentali per la sicurezza dei dati.

Primo tra tutti il concetto che un dispositivo mobile è ormai identico, per potenza e criticità, ad un dispositivo fisso, per cui le stesse cautele adottate per il computer di casa o dell’ufficio devono essere trasferite allo smartphone e al tablet

Ogni dispositivo deve essere munito di credenziali che ne consentono l’attivazione al solo proprietario o legittimo utilizzatore. L’uso di dispositivi biometrici, sebbene crei altri problemi di riservatezza, può essere un’ottima soluzione.

Se un’applicazione, durante l’installazione, chiede più informazioni di quante siano necessarie al suo funzionamento, probabilmente contiene codice malevolo o viene utilizzata anche per la profilazione degli utenti. E’ opportuno evitarne l’installazione, se possibile.

Le reti wireless sono intrinsecamente insicure e tale vulnerabilità aumenta esponenzialmente quando si tratta di reti ad accesso libero, alle quali chiunque può collegarsi e che, pertanto, non vengono considerate dal soggetto che offre il servizio di connessione meritevoli di particolari attenzioni (quantomeno non le stesse che riserverebbe alla sua rete interna). Inoltre c’è sempre il rischio che sia lo stesso proprietario della rete a violare gli account degli utenti per fini di profilazione e marketing).

Le aziende e gli studi professionali dovrebbero sempre utilizzare una VPN per consentire a dipendenti e collaboratori di collegarsi ai server interni, al fine di proteggere i dati aziendali, e dovrebbero impedire il collegamento a dispositivi che sono stati oggetto di jailbreaking, il procedimento di rimozione delle misure di sicurezza imposte dal produttore che determina il pieno accesso alle funzionalità del sistema operativo (rooting).

Tale procedimento, consentendo l’accesso delle applicazioni al cuore del sistema operativo, permette anche l’esecuzione di operazioni di esportazione e cancellazione dei dati (inclusi i file di sistema), determinando, in caso di malware installato, non solo la potenziale perdita di informazioni importanti ma anche l’eliminazione degli elementi che potrebbero consentire di accertare quanto accaduto ed individuare i responsabili dell’attacco.

Un aspetto solitamente sottovalutato ed anzi spesso considerato dall’utente fastidioso, per l’impegno di banda e della capacità di calcolo, è l’aggiornamento dei sistemi operativi e delle applicazioni che, tuttavia, è il miglior amico della sicurezza dei dati, perchè la maggior parte degli upgrade riguarda proprio le vulnerabilità.

Anche le politiche commerciali non sempre coincidono con le policy di sicurezza, atteso che gli aggiornamenti possono essere bloccati o omessi dal produttore del software (per la difficoltà di garantirne la compatibilità con tutti i modelli di smartphone in circolazione o per problemi di potenza dei modelli più datati), dal produttore del telefono, che potrebbe non avere interesse a supportare ulteriormente determinati modelli, o dall’operatore telefonico, che potrebbe intercettare l’impegno di banda e ridurlo o impedirlo, per non intasare la rete, demandando l’operazione al collegamento con una rete wifi.

Cifrare i dati ed eseguire backup periodici sono operazioni che l’utente medio non esegue normalmente sui dispositivi fissi, figurarsi su quelli che considera, comunque, con superficialità, dei telefoni evoluti.

In realtà il rischio di perdita o sottrazione dei dati su apparati molto più esposti del desktop al furto, allo smarrimento o all’intrusione (per il costante collegamento ad una rete radio o wifi e per la presenza del Bluetooth) dovrebbe indurre ad un atteggiamento completamente diverso.

La caduta dello smartphone è un evento assolutamente normale nella vita del dispositivo ed è altrettanto prevedibile la conseguente perdita dei dati, il cui recupero, in assenza di un backup o di un servizio cloud, diventa oneroso sia in termini di tempo che dal punto di vista economico.

Lo smarrimento (o il furto) del dispositivo (evento il cui rischio è pari o superiore a quello di contrarre un infezione da malware), in assenza di credenziali di accesso e di cifratura, oltre che alla perdita dei dati, espone il proprietario all’indebita cognizione delle informazioni da parte di terzi, per non parlare della possibilità di accesso remoto anche al server aziendale e ai profili dei servizi on line (dato che la memorizzazione delle credenziali nei browser è ormai una prassi), con ogni prevedibile conseguenza in termini di riservatezza e di danno (con conseguente risarcimento) ai clienti.

Anche dal lato aziendale, deve essere garantito un equilibrio tra libertà di accesso, disponibilità di funzioni e sicurezza. Se un dispositivo non rispetta le policy di sicurezza non dovrebbe essergli concesso alcun accesso al sistema e le policy di sicurezza, soprattutto per quanto riguarda i comportamenti corretti che i dipendenti devono osservare, dovrebbero essere costantemente aggiornate e diffuse tra gli addetti ai lavori.

Una soluzione per prevenire possibili contaminazioni potrebbe anche essere quella di strutturare l’azienda con un server per applicazioni interno, analogo ad un wiki per le policy e la documentazione, al quale far accedere i dispositivi per gli aggiornamenti e le applicazioni. Il sistemista provvederebbe a scaricare le app solo da aziende affidabili e certificate e a metterle a disposizione degli utenti aziendali.

Anche per quanto riguarda i sistemi cloud è opportuno che le politiche aziendali siano rispettate e che ogni dispositivo sia configurato e messo in sicurezza dal responsabile IT, prevenendo ed evitando installazioni “fai da te” che, per quanto realizzate da utenti esperti, non potranno mai essere di livello tale da poter essere equiparate a quelle poste in essere dal sistemista.

Quasi superfluo ricordare che software di sicurezza, antivirus e antimalware, è ormai disponibile per tutte le piattaforme mobili, sia in versioni gratuita (meno performanti) che a pagamento. Dotarsene è sempre un buon investimento.

Da ultimo, è opportuno sottolineare che l’anello debole di ogni policy e di ogni sistema difensivo è l’elemento umano: qualsiasi prodotto non potrà mai sostituire una forma mentis basata sulla cultura della sicurezza. Indispensabili, pertanto, la formazione continua degli addetti ai lavori e gli investimenti in tal senso.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *