Last Updated on March 16, 2011
Fortunatamente il virus che mi ha colpito sta mitigando i suoi effetti, la mente è un po’ più lucida e quindi mi permette di raccogliere le idee e tirare le somme sulla tavola rotonda del 14 marzo.
In effetti è stata una occasione propizia per confrontarsi con la prospettiva degli operatori e valutare come gli stessi intendano affrontare il problema della sicurezza mobile considerato il fatto che esso è si un problema tecnologico, ma interessa principalmente l’utente: parafrasando una felice espressione emersa durante la tavola rotonda, espressione tanto cara agli operatori, si può affermare che il problema della mobile security arriva “all’ultimo miglio”, ovvero sino a casa (in questo caso virtuale) dell’utente stesso.
Ad ogni modo su un punto gli addetti del settore, operatori inclusi, sono tutti d’accordo: sebbene il problema della sicurezza mobile parta da lontano, ovvero dal processo di Consumerization dell’IT che ha “prestato” al mondo Enterprise strumenti di lavoro non nativamente concepiti per un uso professionale; il ruolo principale, in termini di sicurezza, rimane quello dell’utente. Gli utenti hanno eccessiva familiarità con i dispositivi, dimenticano che sono a tutti gli effetti ormai vere e proprie estensioni del proprio ufficio, e questo li porta a comportamenti superficiali, quali ad esempio l’utilizzo di pratiche di root o jailbreak, l’utilizzo di Market paralleli e la mancata abitudine di controllare i permessi delle applicazioni durante l’installazione.
Naturalmente questo ha conseguenze molto nefaste poiché le minacce che interessano il mondo mobile sono molteplici e peggiorate dal fatto che oramai, con i nuovi dispositivi acquistati nel 2011 ci porteremo almeno 2 core nel taschino. Prendete le minacce che interessano i dispositivi fissi, unitele al fatto che il dispositivo mobile lo avete sempre dietro e lo utilizzate per qualsiasi cosa ed ecco che il quadro si riempe di frodi, furto di informazioni (di qualsiasi tipo visto l’utilizzo corrente dei dispositivi), malware, spam, Denial of Service, e non ultima, la possibilità di creare Botnet comandate da remoto per effettuare DDoS, SMS spam, rubare dati su vasta scala.
Sebbene il punto di arrivo sia lo stesso (ovvero la necessità di una maggiore consapevolezza da parte dell’utente), le opinioni sul ruolo del processo di Consumerization non sono omogenee tra chi, come il sottoscritto, ritiene che le tecnologie non abbiano i necessari livelli di sicurezza richiesti per un uso professionale (e questo fattore è peggiorato dall’atteggiamento dell’utente) e chi sostiene invece che le tecnologie sono intrinsecamente sicure ma il problema è in ogni caso riconducibile all’utente che si rivolge, lui stesso, ai dispositivi, anche per uso professionale, con un atteggiamento consumer.
Riguardo gli aspetti relativi a tecnologia e mercato la mia opinione è molto chiara: i due punti sono intrinsecamente connessi e questo si traduce, sinteticamente, nella necessità di portare nel mondo mobile le stesse tecnologie di protezione degli endpoint tradizionali. Secondo la mia personale esperienza, il mercato ha difatti iniziato il processo, che diverrà sempre più preponderante, di considerare il mondo degli endpoint mobili come una estensione naturale del mondo degli endpoint tradizionali (notebook, desktop, etc.) ai quali si dovranno pertanto applicare le stesse policy e gli stessi livelli di sicurezza (con le opportune differenziazioni dovute alla diversa natura dei dispositivi) proprie del mondo wired. Fondamentale in questo scenario è il modello di gestione unificata endpoint fissi e mobili in grado di applicare in modo astratto e device indipendent le stesse politiche di sicurezza a tutti i dispositivi indipendentemente dalla natura degli stessi.
Per quanto concerne la tecnologia, (pre)vedo due filoni protagonisti del mondo mobile: il DLP e la Virtualizzazione. Il DLP poiché ritengo il modello di sicurezza mobile perfettibile, e di conseguenza lo ritengo terreno fertile per i produttori di sicurezza in grado di ampliare, con le proprie soluzioni, il modello di sicurezza nativo (con qualche riserva su Apple vista la poca apertura di Cupertino); la Virtualizzazione, di cui ho già avuto modo di parlare, consentirà di risolvere i problemi di tecnologia e privacy connessi con l’utilizzo professionale del proprio dispositivo. Grazie alla virtualizzazione, di cui dovremmo vedere i primi esempi nella seconda metà di quest’anno, una Organizzazione potrà gestire il proprio telefono virtuale all’interno del dispositivo fisico dell’utente, controllando le policy e le applicazioni e tenendo i due mondi completamente separati. Questa soluzione dovrebbe essere una ottima spinta per risolvere i problemi tecnologici e di privacy (non dimentichiamoci infatti che spesso l’utente finisce inevitabilmente per inserire informazioni personali anche nel dispositivo professionale), delegando, almeno per la macchina virtuale enterprise, il modello di sicurezza dall’utente all’Organizzazione.
Infine si arriva, inevitabilmente alla domanda fatale: la sicurezza ha un costo: chi paga? A mio avviso il modello è (relativamente) semplice e, personalissima opinione, è sufficiente voltarsi indietro per capire come potrà essere il modello di sicurezza futuro.
Naturalmente la distinzione tra consumer ed enterprise è d’obbligo: per quanto ho affermato in precedenza le organizzazioni, soprattutto se di una certa dimensione, saranno autonome nella realizzazione (e di conseguenza nel sostenerne i costi) della propria architettura di sicurezza mobile concependola come una estensione trasparente del modello di sicurezza per gli endpoint tradizionali. Questa è la tendenza verso cui sta andando il mercato e verso la quale stanno convergendo i produttori con l’offerta di suite di sicurezza complete per sistemi operativi fissi e mobili contraddistinte da modelli di gestione unificata.
Diverso è il caso del mondo consumer ma anche in questo caso prevedo che, implicitamente, i terminali mobili verranno trattati alla stregua di terminali fissi e quindi le funzioni di sicurezza potranno essere offerte, ad esempio, come un add-on del piano dati, analogamente a quanto accade oggi per l’antivirus/personal firewall, che ormai tutti gli operatori offrono in bundle con la connessione ad Internet. In questo caso è importante notare anche il fatto che l’età media degli utilizzatori è sempre più bassa pertanto, soprattutto nel mondo consumer, gli stessi mostreranno sempre maggiore familiarità con le tecnologie mobili e le loro necessarie estensioni in ambito di sicurezza al punto di considerarle tutt’uno.
Rimane ovviamente ancora da verificare l’aspetto relativo ad eventuali investimenti infrastrutturali: una interessante domanda rivolta agli operatori ha infatti evidenziato se vi è allo studio la creazione di una baseline (ovvero l’analisi dei livelli di traffico per evidenziare anomalie dovute, ad esempio, ad eccessivo traffico generato da malware). Allo stato attuale, essendo il problema trasversale tra tecnologie e legge, la baseline è dettata dalla stessa compliance.
Pingback: L’Androide Minacciato Alla Radice « Il Blog di Paolo Passeri
Ci sono due aspetti fondamentali. Uno è sicuramente tecnologico, il secondo, principale, riguarda l’utente. A mio parere, come ho avuto modo di riportare, la tecnologia non è abbastanza sicura (considera ad esempio il fatto che su Android puoi esplicitamente abilitare la possibilità di installare applicazioni non certificate): questo è il fronte su cui si muoveranno i produttori, probabilmente inserendo un livello aggiuntivo di controllo tra le applicazioni e il sistema operativo per “sopperire” a eventuali carenze intrinseche e magari al comportamento superficiale dell’utente. L’altro fronte è quello della virtualizzazione che permetterà di risolvere anche i problemi di privacy (sino a che punto si può spingere il controllo?). Ad ogni modo il problema riguarda comunque gli operatori sia dal punto di vista della compliance e, fatto emerso durante la tavola rotonda, anche dal punto di vista infrastrutturale. Ho trovato in questo senso il tuo paragone molto calzante se però assimili gli operatori ai gestori delle autostrade e i produttori dei dispositivi ai produttori di automobili. Una automobile può andare sino a 300 all’ora (come lo smartphone ti consente di installare software non certificato), è l’utente che decide ma è la legge a fissare i limiti a 130 (nel mondo mobile la compliance a dettare le regole per un comportamento lecito). Per quanto riguarda i dispositivi di sicurezza spesso erano opzionali, sono diventati obbligatori per legge (casi più eclatanti ABS ed ESP) ma comunque alla fine pagati dall’utente. Al gestore spetta comunque il compito di mantenere le autostrade (ovvero la rete) in ordine ed efficienza, monitorando eventuali violazioni di legge (compliance). Quasi quasi il tuo paragone merita un post dedicato!
eheheh sul paragone tra Internet e autostrade ci lavoro da anni… 🙂 calza anche a pennello se si parla di Net Neutrality.
“Ad ogni modo su un punto gli addetti del settore, operatori inclusi, sono tutti d’accordo: […] il ruolo principale, in termini di sicurezza, rimane quello dell’utente.”
Ecco, questo mi sembra un’assunzione un po’ sconfortante dalla quale iniziare un convegno del genere. E’ chiaro che da una tavola rotonda composta principalmente dagli ISP non ci si potesse attendere molto di diverso, ma ripeto che se questa e’ l’assunzione di partenza, il dibattito che ne risulta e’ molto limitato. Dal resoconto qua sopra si ha l’impressione di un coro di ISP che sgrida il povero “utonto” che si compra lo smartphone e poi si becca un worm; e’ una scena un po’ triste e spero che non sia stato l’andazzo di tutto l’evento. Tanto per fare un parallelo, non mi sembra che l’industria automobilistica dia la colpa ai guidatori distratti per evitare di montare gli airbag sulle auto, o che le societa’ autostradali siano esentate dal manutenere il manto stradale perche’ intanto basta rallentare.
Vediamo il lato positivo: il prossimo anno si potra’ rifare questa tavola rotonda e approfondire un paio di punti che vedo solo accennati in questo resoconto: ad esempio invitare qualche vendor per chiedergli conto di cosa fa per rendere piu’ sicuri i propri software/dispositivi; invitare qualche associazione o rappresentante degli utenti, sia consumer che business, per chiedere agli ISP se e cosa hanno intenzione di fare per frenare l’espansione del malware e proteggere i propri clienti.