Sono molti gli utenti aziendali che scaricano applicazioni dai mobile marketplace sui propri Blackberry, iPhone e smartphone Android. Applicazioni mobili che potrebbero ampliare le vie di accesso ai dati e ai servizi aziendali. Cosa si può fare per evitare che ciò accada? Vediamo quali implicazioni nella sicurezza può avere un "app store" e le misure che si possono adottare per gestire i rischi per il business a esso associati.
Il controllo aziendale contro l'uso personale
RIM domina il mercato della telefonia aziendale mobile anche in virtù del rigoroso
controllo che i datori di lavoro possono far valere sugli smartphone
BlackBerry.
BlackBerry Enterprise Server obbliga infatti i dipendenti a stabilire per i propri dispositivi policy in fase di attivazione che vengono poi utilizzate per l'installazione di app personalizzate e di terze parti e per il controllo delle risorse a cui ciascuno può accedere.
Per esempio, le policy possono impedire alle applicazioni di usare il telefono o i servizi di e-mail, oppure di accedere ai dati memorizzati sul dispositivo stesso. Le policy It del BlackBerry possono anche essere impostate per bloccare totalmente i download di app di terze parti.
Robusti controlli centralizzati come questi possono essere un modo molto efficace per evitare che i dipendenti "infettino" gli smartphone business con applicazioni che occupano un'elevata larghezza di banda, fanno perdere tempo o possono contenere codice maligno.
Tuttavia, data la popolarità delle applicazioni scaricabili e gli acquisiti sempre più decentralizzati, questo approccio, che vede i dispositivi totalmente gestiti, non può essere un modo valido per salvaguardare tutti gli smartphone.
Uno studio di Aberdeen Group ha rilevato che, nel settembre del 2008, le aziende hanno acquistato il 65% dei telefoni. Appena un anno dopo, questa percentuale era scesa al 42%. Nel frattempo, i telefoni acquistati dai dipendenti presso i carrier di loro scelta sono raddoppiati arrivando al 40%.
Questi dispositivi sono ampiamente utilizzati per il business, ma non esclusivamente per quello. I dipendenti possono essere rimborsati per l'uso aziendale dei propri telefoni e qualcuno può anche ricevere supporto dall'It, ma si aspettano anzitutto di poter usare i loro smartphone anche per le chiamate personali, per inviare i propri Sms, per usare la propria posta elettronica e persino per il mobile entertainment.
I rischi delle apps
Le applicazioni mobili consumer-oriented hanno svolto un ruolo di primo
piano nella crescita del mercato degli smartphone. Dall'App Store di iTunes
all'Android Marketplace, dall'App World di BlackBerry al Windows Marketplace
for Mobile, gli utenti degli smartphone possono oggi facilmente trovare e
scaricare decine di migliaia di applicazioni mobili, molte delle quali
gratuite.
Sfortunatamente, la provenienza e l'integrità delle applicazioni di terze parti possono non essere del tutto "trasparenti". Una prova i questo senso sono le diverse centinaia di applicazioni malware sviluppate per Symbian dal giugno 2004.
Worm e Trojan per il mobile come Cabir, Sabir, Commwarrior, Skulls, Pbstealer e Bezelo erano stati creati appositamente per gli smartphone Symbian Series 60 sia perché questi telefoni erano molto popolari, e in gran parte non protetti, sia perché i loro utenti erano molto vulnerabili sul versante della social engineering.
La maggior parte degli utenti fu indotta a effettuare un download di app e/o a cliccare su collegamenti a rischio, come per esempio Pbstealer che era proposto come un programma di utilità; Bezelo era invece travestito da file JPG o MP3.
Fortunatamente, questo malware mobile non si è diffuso molto e non ha causato danni di ampia portata. Gli attuali dispositivi usano sistemi operativi con più elevati livelli di difesa contro il malware mobile; per esempio controllano le firme digitali delle app, limitano l'accesso delle stesse app alle risorse di sistema e isolano meglio le applicazioni tra loro. Tuttavia, la minaccia di malware mobile non è svanita e i rischi sono in aumento a causa della crescita degli utenti di smartphone, delle connessioni always-on e del maggiore accesso ai dati e ai servizi aziendali.
Qualche mese fa un paio di worm ha cominciato a sfruttare le utility di terze parti SSH installate sugli iPhone jail-broken. In un primo momento si è avuto solo il cambiamento dello sfondo dell'iPhone infetto con una foto del cantante Rick Astley, qualche giorno dopo, un secondo worm ha iniziato a rubare i dati dall' iPhone contatti, appuntamenti, messaggi, foto e musica/video. Questi worm hanno approfittato degli iPhone jail-broken in grado di aggirare iTunes per installare applicazioni di terze parti non approvati da Apple.
L'importanza della prevenzione
Essere preparati vuol dire aver già vinto metà della battaglia. Se il
reparto It non può esercitare il pieno controllo sugli smartphone e sulle
applicazioni che vi sono installate, accertatevi almeno se gli utenti hanno
scaricato anche solo alcune applicazioni mobili personali.
Sensibilizzate i dipendenti circa le "App Store best practice". Identificate i siti per il download, che esaminano le applicazioni pubblicate (per esempio, iTunes) e quelli che non lo fanno.
Spiegate l'importanza di verificare le firme digitali prima di installare applicazioni e perché gli utenti non dovrebbero ignorare gli avvertimenti inerenti la firma o seguire i suggerimenti dello sviluppatore volti a disattivare la convalida. Una firma non implica che il committente abbia superato le prove di "sicurezza", ma gli sviluppatori che non sono disposti a firmare le loro applicazioni sono sospetti, e spesso questo consente di identificare un'app che contiene malware e viene spacciata per legittima.
Anche se meno affidabili, può anche essere utile leggere le recensioni degli utenti prima di scaricare applicazioni, in particolare quelle create da sviluppatori sconosciuti. Anche se le app non contengono codice maligno possono fagocitare larghezza di banda, distruggere i dati, bloccare il telefono o richiedere un reset dalla fabbrica per essere eliminate. Non c'è niente di meglio che essere prudenti e usare il buon senso.
Infine, sono disponibili programmi antivirus mobili che fanno periodicamente la scansione degli smartphone alla ricerca di app sospette o "maligne".
Esercitare il controllo su applicazioni e dati
L'educazione degli utenti è un primo ed essenziale passo, ma la maggior
parte dei datori di lavoro dovrebbe prendere misure più formali e affidabili,
necessarie per gestire i rischi aziendali derivanti dalle applicazioni mobili
personali. Le aziende che non possono gestire totalmente gli smartphone di
proprietà dei dipendenti possono esercitare un certo grado di controllo sulle
applicazioni e sui dati aziendali.
Un approccio comune per gli smartphone non gestiti è quello di fornire un servizio molto limitato di accesso al business e ai dati. Nel caso delle app cloud-based, gli utenti possono interagire con i servizi di business attraverso browser o widget, evitando in tal modo connessioni alla rete o al server aziendale o la memorizzazione dei dati aziendali sullo smartphone stesso.
È anche importante eliminare ogni immagine dallo schermo, tutti i file temporanei, le password memorizzate nella cache o il testo correttivo che altrimenti potrebbero essere lasciati sul telefono quando si esce dal browser o dal widget.
Un altro approccio, che sta diventando sempre più popolare, è quello di creare un contesto sicuro in un ambiente sandbox sugli smartphone mixed-use. Soluzioni come Good for Enterprise e Sybase iAnywhere Mobile Office forniscono un ambiente sicuro dove far girare la posta elettronica aziendale, il calendario e i contatti, protetti da specifiche policy It per l'autenticazione, la crittografia, la cancellazione dei dati e così via.
Anche se l'It installa e gestisce queste applicazioni per il mobile business, il resto dello smartphone appartiene ancora all'utente finale che potrebbe installare un'app maligna, la quale però non dovrebbe avere accesso ai dati o al login aziendali e non dovrebbe essere in grado di sfruttare le connessioni di rete aziendali.
Questi sono solo due dei molti modi di integrare parziali controlli It negli smartphone che (per qualsiasi motivo) non possono essere completamente gestiti.
Le aziende che hanno "pieno possesso" degli
smartphone possono applicare anche misure come whitelist e blacklist per
bloccare applicazioni riconosciute come maligne. Siccome sarebbe un compito
titanico esaminare tutte le applicazioni
disponibili, focalizzatevi sui dati e sui servizi business per cercare un modo
efficace per proteggere gli smatphone da qualunque applicazioni maligna,
o quantomeno sospetta, di terze parti.
