Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Ricardo Nardini : 9 Maggio 2023 14:14
So che la maggior parte di noi lettori di RHC siamo passi avanti nella cybersecurity rispetto ad un altro pubblico ma vale la pena rinfrescare alcune buone abitudini per mantenersi allineati. In aeronautica a tutti i piloti prima di partire sono obbligati a passare una check list per evitare dimenticanze banali che potrebbero complicare di molto il volo a seguire. Usiamo quindi questo articolo come una specie di check list.
Molte aziende hanno adottato definitivamente il lavoro agile, e poiché è diventato un nuovo modo di lavorare, facciamo una panoramica sulle raccomandazioni basiche da tenere in considerazione per proteggere il proprio ambiente di lavoro.
Se l’azienda offre le risorse necessarie per il lavoro agile, la prima prerogativa che chiederà sarà seguire alla lettera le sue indicazioni facendo uso esclusivamente professionale dei laptop o di qualsiasi altro dispositivo tecnologico messo a disposizione. Come di consueto si consiglierà in nessun caso, di manipolarli, modificarne le configurazioni impostate dal team informatico dell’azienda o dare in prestito ad altre persone il materiale aziendale. Come capita anche di leggere negli aeroporti sulle note delle compagnie aeree, di non allontanarsi o chiedere custodia a terzi dei propri bagagli per evitare di trovarsi all’interno delle valigie materiale inserito da terzi, pure per gli strumenti informatici propri o aziendali bisognerebbe adottare le medesime politiche.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
D’altro canto, se si utilizza un dispositivo personale per svolgere le proprie funzioni lavorative, è di vitale importanza seguire come minimo le seguenti regole:
E questo giro di bussola va bene, ma quanto è sicuro il proprio cellulare? Al di là del dibattito tra Android e iPhone, di quali opzioni si dispone per fornire una migliore sicurezza dello smartphone a se stessi o alla propria azienda?
I dispositivi mobili sono diventati parte integrante e onnipresente della vita di tutti e del lavoro agile, attirando l’interesse di malintenzionati e criminali desiderosi di rubare informazioni vitali, si pensi solo alle applicazioni bancarie per gli smartphone. Analizziamo quindi alcuni suggerimenti per tutelarsi e proteggersi.
In un fantastico vecchio articolo di CSOonline, cui lascio il link in calce * , tutti gli smartphone hanno tre elementi di sicurezza di base. Il primo obbiettivo dell’utente è essere a conoscenza di questi livelli per aumentare la consapevolezza della sicurezza sui dispositivi:
La sicurezza per gli smartphone aziendali non dipende solo dai telefoni, ma anche dalla tecnologia di gestione dei dispositivi mobili (MDM) installata sui server dell’azienda, che controlla e gestisce la sicurezza dei dispositivi.
Entrambi devono lavorare insieme per fornire una buona sicurezza. Per esempio, i telefoni BlackBerry sono stati progettati e realizzati per uso aziendale. La sua sicurezza è eccellente, tuttavia BlackBerry offrì poche applicazioni di consumo di massa. Ad oggi si ha bisogno di un altro tipo di smartphone per uso aziendale e personale (inclusi operazioni bancarie e acquisti), il che significa che anche utilizzando tecnologie attuali ci si deve preoccupare comunque anche della sicurezza del telefono.
Con l’aumento del numero di applicazioni sul mercato, in particolare per i telefoni iOS e Android, la loro sicurezza è una prerogativa necessaria, indipendentemente dal dispositivo mobile utilizzato. Dalle parole di Ira Grossman, che affermano che “se non si dispone di un’applicazione sicura, non importa quanto sia sicuro il sistema operativo” dovremmo imparare molto… Infatti, quando i professionisti parlano di proteggere l’intero dispositivo, intendono sia il sistema operativo che le applicazioni che esegue. La maggior parte dei telefoni ha un’impostazione che consente ma avverte di controllare qualsiasi applicazione da fonti sconosciute prima di scaricarla e, come regola generale, si dovrebbero utilizzare gli store di Apple, Google e Microsoft, piuttosto che fornitori di applicazioni di terze parti.
Se pensiamo che la configurazione Bluetooth è intesa al livello di sicurezza “uno”, ovvero nessuna crittografia o autenticazione e ciò consente agli aggressori di richiedere informazioni al dispositivo, con conseguente aumento del rischio di furto o perdita dei dati, possedere perennemente accesa la radio Bluetooth mentre si fa lavoro agile non è di per se una buona idea.
Oltretutto l’ecosistema di dispositivi abilitati Bluetooth è destinato a crescere in modo significativo nei prossimi anni, soprattutto grazie alla crescita del settore IoT. Se è vero che lo standard Bluetooth viene aggiornato ogni anno, risolvendo così le vulnerabilità rilevate, ci sono alcune vulnerabilità che interessano un gran numero di dispositivi poiché molti di essi sono vulnerabili fino alla versione BT 5.0. Anche se esistono tanti altri, attualmente sono quattro i principali attacchi fattibili alle tecnologie Bluetooth: BIAS, BLESA, KNOB e BLURtooth e la famiglia di vulnerabilità Braktooth.
L’attacco BIAS si basa su due difetti di specifica nello standard Bluetooth fino alla versione 5.0. Da un lato, come stabilito dallo standard, quando le connessioni Bluetooth sono di tipo Legacy Secure Connections, l’autenticazione tra i due dispositivi da interconnettere non è bidirezionale, ma è il dispositivo nel ruolo di master che autentica il dispositivo slave. D’altra parte, lo standard Bluetooth consente lo scambio di ruoli in qualsiasi momento dopo il paging in banda base. In sintesi questo tipo di attacco utilizza il principio dell’attacco Man in the Middle.
L’attacco BLESA può essere eseguito solo su dispositivi dotati di Bluetooth Low Energy e si basa sull’impersonificazione del dispositivo che funge da server al fine di utilizzare i diversi livelli di sicurezza Bluetooth per accedere a diversi attributi e falsificare i dati. La rappresentazione viene sempre eseguita forzando la riconnessione con il dispositivo legittimo da attaccare.
L’attacco KNOB viene eseguito su dispositivi che utilizzano la versione estesa del Bluetooth classico (Bluetooth Basic Rate/Extended Data Rate (BR/EDR)). Nelle moderne implementazioni Bluetooth, lo stack del protocollo Bluetooth è separato in due componenti che saranno rilevanti per questo attacco: l’host e il controller. L’host è implementato dal sistema operativo del dispositivo e controlla i livelli superiori dello stack, mentre il controller viene eseguito nel firmware del chip Bluetooth e appunto controlla i livelli inferiori. L’obiettivo dell’attacco è ridurre l’entropia della chiave di sessione a un byte in modo che l’attaccante possa ascoltare la comunicazione e scoprire la chiave, e con un brute force trovare la chiave tra le 256 possibili.
L’attacco BLURtooth interessa le versioni Bluetooth 4.2 e 5.0 poiché è stata rilasciata una patch a partire dalla versione 5.1 che corregge questa vulnerabilità e si basa su un difetto di sicurezza nella specifica dello standard relativo alla funzione Cross-Transport Key Derivation (CTKD). Questa funzione consente a due dispositivi precedentemente associati di generare la Long Term Key (LTK) per Bluetooth Classic (BT) e Bluetooth Low Energy (BLE) rispettivamente dalle chiavi BLE e BT. In sintesi l’attacco avviene quando un terzo soggetto scopre che uno dei due dispositivi è agganciabile attraverso il BLE e interviene senza ulteriori scambi di chiavi.
Questa breve panoramica su gli attacchi più comuni ai dispositivi Bluetooth ci mette in guarda su un oramai blasonato concetto, quello di chiudere qualsiasi radio inutilizzata dai dispositivi mobili, per la gioia parallela dell’allungamento della durata della carica delle batterie.
La sicurezza Android si porta con se il “luogo comune” della dubbia reputazione, principalmente perché non appartiene a nessuno in quanto non esiste un ente regolatore di ciò che può e non può essere offerto come applicazione Android, tranne lo store di Google, o anche l’hardware che può essere venduto come telefono Android. Invece, si può proteggere il proprio telefono Android tenendolo aggiornato ed evitando di scaricare applicazioni da fonti dubbie o sconosciute.
Quando si tratta di sicurezza, nessun dispositivo o sistema operativo è il “migliore” in assoluto. Il grado di sicurezza del proprio smartphone dipende dalle proprie esigenze personali, professionali e dal proprio livello di disinvoltura con la tecnologia. Vediamo alcuni punti caratteristici di ogni tipo di tecnologia, insieme ad alcuni fattori a cui pensare quando si decide l’utilizzo:
Ogni opzione smartphone presenta punti di forza e limiti di sicurezza. Il modo in cui si utilizza il proprio smartphone e quanto ci si sente al proprio agio nel regolare le sue impostazioni di sicurezza giocherà un ruolo importante nel decidere quale sia l’opzione migliore da adottare per il lavoro agile, ma non c’è dubbio che questo dibattito continuerà con l’arrivo di altri dispositivi sul mercato in quanto maggiori misure di sicurezza diventano sempre più importanti per i dispositivi in generale.
Questo breve approfondimento non pretende essere un trattato sulla sicurezza da applicare al lavoro agile ma può far nascere alcune sane perplessità e dubbi su ciò che crediamo essere sicuro mentre invece non lo è affatto.
Ricardo Nardini