In azienda, il sempre più diffuso uso di telefoni personali anche per impieghi business sta creando nuovi problemi di security per l’It. Però ci sono alcuni strumenti che consentono di tenere sotto controllo anche questi dispostivi quando tentano di accedere alla rete o ai dati aziendali.
Sono molti gli utenti aziendali che scaricano applicazioni dai mobile marketplace
sui propri Blackberry, iPhone e smartphone Android. Applicazioni mobili che potrebbero ampliare le vie di accesso ai
dati e ai servizi aziendali. Cosa si può fare per evitare che ciò accada? Vediamo
quali implicazioni nella sicurezza può avere un “app store” e le
misure che si possono adottare per gestire i rischi per il
business a esso associati.
Il controllo aziendale contro l’uso personale
RIM domina il mercato della telefonia aziendale mobile anche in virtù del rigoroso
controllo che i datori di lavoro possono far valere sugli smartphone
BlackBerry.
BlackBerry Enterprise Server obbliga infatti i dipendenti a stabilire per i
propri dispositivi policy in fase di attivazione che vengono poi utilizzate per
l’installazione di app personalizzate e di terze parti e per il controllo delle
risorse a cui ciascuno può accedere.
Per
esempio, le policy possono impedire alle applicazioni di usare il telefono o i
servizi di e-mail, oppure di accedere ai dati memorizzati sul dispositivo
stesso. Le policy It del BlackBerry possono anche essere impostate per bloccare
totalmente i download di app di terze parti.
Robusti controlli centralizzati come questi possono essere un modo molto
efficace per evitare che i dipendenti “infettino”
gli smartphone business con applicazioni che occupano un’elevata larghezza di banda, fanno
perdere tempo o possono contenere codice maligno.
Tuttavia, data la popolarità
delle applicazioni scaricabili e gli acquisiti sempre più decentralizzati,
questo approccio, che vede i dispositivi totalmente gestiti, non può essere un
modo valido per salvaguardare tutti gli smartphone.
Uno studio di Aberdeen Group ha rilevato che, nel settembre del 2008,
le aziende hanno acquistato il 65% dei telefoni. Appena un anno dopo, questa
percentuale era scesa al 42%. Nel frattempo, i telefoni acquistati dai dipendenti
presso i carrier di loro scelta sono raddoppiati arrivando al 40%.
Questi dispositivi sono ampiamente utilizzati per il
business, ma non esclusivamente per quello. I dipendenti possono essere
rimborsati per l’uso aziendale dei propri telefoni e qualcuno può anche ricevere
supporto dall’It, ma si aspettano anzitutto di poter usare i loro smartphone anche
per le chiamate personali, per inviare i propri Sms, per usare la propria posta
elettronica e persino per il mobile entertainment.
I rischi delle apps
Le applicazioni mobili consumer-oriented hanno svolto un ruolo di primo
piano nella crescita del mercato degli smartphone. Dall’App Store di iTunes
all’Android Marketplace, dall’App World di BlackBerry al Windows Marketplace
for Mobile, gli utenti degli smartphone possono oggi facilmente trovare e
scaricare decine di migliaia di applicazioni mobili, molte delle quali
gratuite.
Sfortunatamente, la provenienza e l’integrità delle applicazioni di terze parti possono non essere del tutto
“trasparenti”. Una prova i questo senso sono le diverse centinaia
di applicazioni malware sviluppate per Symbian dal giugno 2004.
Worm e Trojan per
il mobile come Cabir, Sabir, Commwarrior, Skulls, Pbstealer e Bezelo erano
stati creati appositamente per gli smartphone Symbian Series 60 sia perché questi
telefoni erano molto popolari, e in gran parte non protetti, sia perché i loro
utenti erano molto vulnerabili sul versante della social engineering.
La
maggior parte degli utenti fu indotta a effettuare un download di app e/o a
cliccare su collegamenti a rischio, come per esempio Pbstealer che era proposto
come un programma di utilità; Bezelo era invece travestito da file JPG o MP3.
Fortunatamente, questo malware mobile non si è diffuso molto e non ha causato
danni di ampia portata. Gli attuali dispositivi usano sistemi operativi con più
elevati livelli di difesa contro il malware mobile; per esempio controllano
le firme digitali delle app, limitano l’accesso delle stesse app alle risorse
di sistema e isolano meglio le applicazioni tra loro. Tuttavia, la minaccia di
malware mobile non è svanita e i rischi sono in aumento a causa della crescita degli
utenti di smartphone, delle connessioni always-on e del maggiore accesso ai
dati e ai servizi aziendali.
Qualche mese fa un paio di worm ha cominciato a sfruttare le utility di terze
parti SSH installate sugli iPhone jail-broken. In un
primo momento si è avuto solo il cambiamento dello sfondo dell’iPhone infetto
con una foto del cantante Rick Astley,
qualche giorno dopo, un secondo worm ha iniziato a rubare i dati dall’ iPhone contatti,
appuntamenti, messaggi, foto e musica/video. Questi worm hanno approfittato
degli iPhone jail-broken in grado di aggirare iTunes per installare
applicazioni di terze parti non approvati da Apple.
L’importanza della prevenzione
Essere preparati vuol dire aver già vinto metà della battaglia. Se il
reparto It non può esercitare il pieno controllo sugli smartphone e sulle
applicazioni che vi sono installate, accertatevi almeno se gli utenti hanno
scaricato anche solo alcune applicazioni mobili personali.
Sensibilizzate i dipendenti circa le “App Store best practice”.
Identificate i siti per il download, che esaminano le applicazioni pubblicate (per
esempio, iTunes) e quelli che non lo fanno.
Spiegate l’importanza di verificare
le firme digitali prima di installare applicazioni e perché gli utenti non
dovrebbero ignorare gli avvertimenti inerenti la firma o seguire i suggerimenti
dello sviluppatore volti a disattivare la convalida. Una firma non implica che
il committente abbia superato le prove di “sicurezza”, ma gli
sviluppatori che non sono disposti a firmare le loro applicazioni sono
sospetti, e spesso questo consente di identificare un’app che contiene malware e
viene spacciata per legittima.
Anche se meno affidabili, può anche essere utile leggere le recensioni degli
utenti prima di scaricare applicazioni, in particolare quelle create da
sviluppatori sconosciuti. Anche se le app non contengono codice maligno possono
fagocitare larghezza di banda, distruggere i dati, bloccare il telefono o
richiedere un reset dalla fabbrica per essere eliminate. Non c’è niente di
meglio che essere prudenti e usare il buon senso.
Infine, sono disponibili programmi
antivirus mobili che fanno periodicamente la scansione degli smartphone alla
ricerca di app sospette o “maligne”.
Esercitare il controllo su applicazioni e dati
L’educazione degli utenti è un primo ed essenziale passo, ma la maggior
parte dei datori di lavoro dovrebbe prendere misure più formali e affidabili,
necessarie per gestire i rischi aziendali derivanti dalle applicazioni mobili
personali. Le aziende che non possono gestire totalmente gli smartphone di
proprietà dei dipendenti possono esercitare un certo grado di controllo sulle
applicazioni e sui dati aziendali.
Un approccio comune per gli smartphone non gestiti è quello di fornire un
servizio molto limitato di accesso al business e ai dati. Nel caso delle app cloud-based,
gli utenti possono interagire con i servizi di business attraverso browser o widget,
evitando in tal modo connessioni alla rete o al server aziendale o la
memorizzazione dei dati aziendali sullo smartphone stesso.
È anche importante eliminare
ogni immagine dallo schermo, tutti i file temporanei, le password memorizzate
nella cache o il testo correttivo che altrimenti potrebbero essere lasciati sul
telefono quando si esce dal browser o
dal widget.
Un altro approccio, che sta diventando sempre più popolare, è quello di
creare un contesto sicuro in un ambiente sandbox sugli smartphone mixed-use. Soluzioni
come Good
for Enterprise e Sybase
iAnywhere Mobile Office forniscono un ambiente sicuro dove far girare la
posta elettronica aziendale, il calendario e i contatti, protetti da specifiche
policy It per l’autenticazione, la crittografia, la cancellazione dei dati e
così via.
Anche se l’It installa e gestisce queste applicazioni per il mobile business,
il resto dello smartphone appartiene ancora all’utente finale che potrebbe
installare un’app maligna, la quale però non dovrebbe avere accesso ai dati o
al login aziendali e non dovrebbe essere in grado di sfruttare le connessioni
di rete aziendali.
Questi sono solo due dei molti modi di integrare parziali
controlli It negli smartphone che (per qualsiasi motivo) non possono essere
completamente gestiti.
Le aziende che hanno “pieno possesso” degli
smartphone possono applicare anche misure come whitelist e blacklist per
bloccare applicazioni riconosciute come maligne. Siccome sarebbe un compito
titanico esaminare tutte le applicazioni
disponibili, focalizzatevi sui dati e sui servizi business per cercare un modo
efficace per proteggere gli smatphone da qualunque applicazioni maligna,
o quantomeno sospetta, di terze parti.
