Spunti e considerazioni dall’esperienza pratica
A cura di Raoul Brenna, Responsabile della Practice Information Security & Infrastructures, CEFRIEL – Politecnico di Milano
Un Pervasive Computing che collega in rete i dispositivi più disparati. Nuove modalità di condivisione di dati e informazioni, una comunicazione sempre più spinta. Tutti questi sviluppi sono oggi l’elemento fondante dei nuovi paradigmi tecnologici. Al di là della specifica “keyword” (o più spesso “buzzword“) che li definisce, il rischio è quello di sdoganare, nell’attuale “mondo interconnesso”, approcci alla sicurezza informatica e all’accesso all’informazione che, proposti in passato per ambiti strutturati, nel nuovo contesto risultano obsoleti o comunque non adeguati alle nuove sfide.
E’ il prezzo che si deve pagare per l’agilità, l’interoperabilità, la facilità e la velocità di proporre una nuova soluzione sul mercato. Le conseguenze possono essere anche significativamente differenti, in relazione agli ambiti in cui, di volta in volta, questi approcci sono adottati, e ai singoli contesti in cui essi trovano poi spazio di utilizzo.
Si pensi ad esempio al tema dell’Internet of Things, una definizione piuttosto ampia, un “cappello” che raggruppa dispositivi connessi e casi d’uso tra i più disparati. Si va dai moderni wearable per la misurazione di dati biometrici (ad uso personal training o simili), con comunicazione di prossimità verso un device mobile che fa da gateway o verso back-end applicativi basati su tecnologie web (in cloud), a tradizionali sensori o apparati di misura “in campo”, oggi arricchiti con nuove tipologie di connessione ed esposti sulla Internet pubblica. L’esperienza progettuale di CEFRIEL, nell’assessment e/o nella partecipazione al design di tali soluzioni, ha permesso di “toccare con mano” i problemi legati al mutamento delle condizioni di utilizzo o al riuso di approcci “vecchi” in contesti nuovi e tipicamente meno protetti. Si tratta di problematiche che si manifestano spesso in modo inatteso oltre che di difficile comprensione se si approccia la tematica da un punto di vista puramente funzionale.
In quest’ottica, lo stesso elemento spesso centrale in molte realizzazioni IoT, ossia il dispositivo mobile (il classico “smartphone”), è un oggetto che sta generando problematiche di sicurezza sempre più concrete, non solamente legate al device in sé (aggiornamento dei sistemi, abilitazione di permessi di accesso aggiuntivi, ecc.), ma più in generale alla strategia di sviluppo sicuro di App mobile che si deve adottare. Sul device mobile converge infatti una serie di approcci/paradigmi che ancora oggi sollevano problematiche di sicurezza informatica non risolte, riguardanti in particolare:
- Aspetti relativi alle connessioni di rete, la cui sicurezza è messa sempre più a rischio sia dalla scoperta di vulnerabilità in elementi consolidati che da pratiche di sviluppo non sempre corrette.
- Collegamento con il back-end, sempre più spesso erogato come servizio cloud.
- Procedure di accesso troppo permissive da parte di un codice applicativo che comunque è eseguito in un “ambiente ostile” (soprattutto, per esempio, quando le App risiedono sugli store e quindi a disposizione di chiunque le voglia analizzare).
Si sta quindi delineando uno scenario in cui emerge la criticità legata al più ampio tema della sicurezza applicativa, un ambito su cui si stanno focalizzando i radar dell’IT, ma in cui si rischia di fallire nello “scaricare a terra” la potenza che molti framework di sviluppo offrono in svariati contesti. Si pensi al già citato caso dello sviluppo mobile: la disponibilità odierna di soluzioni anche multipiattaforma per la messa in sicurezza di applicazioni, dati e accessi si scontra con modelli di licensing poco appealing e, soprattutto, con una sottovalutazione da parte di chi indirizza le attività di sviluppo dello sforzo necessario (ben distinto dal costo monetario) affinché tali strumenti siano efficacemente integrati nel ciclo di realizzazione del software.
Si allarghi il discorso all’ambito delle applicazioni web (di cui molte realizzazioni mobili sono solo una specifica declinazione), in cui le medesime vulnerabilità, e in generale problematiche, si ripropongono nel corso degli anni (con l’aggravante di una sempre minor automatizzabilità dei test di verifica) nonostante l’ampia consapevolezza che dovrebbe oramai essere stata creata rispetto alla disponibilità di strumenti e best practice in materia.
Infine, l’esperienza sul campo insegna e conferma sempre più come, accanto ad una gestione puramente tecnologica dei temi legati alla sicurezza informatica, si imponga la necessità di un presidio costante rispetto agli attacchi abilitati dalla cosiddetta “ingegneria sociale”. Si tratta di un termine altisonante che in realtà si accompagna ad una notevole facilità di realizzazione pratica, con tassi si successo che, se misurati in modo realistico (per esempio, con approcci come quello sviluppato e consolidato in CEFRIEL negli ultimi anni), permettono di comprendere chiaramente come vi sia la forte necessità di muoversi verso efficaci iniziative per il “patching” del fattore umano.
Nel corso del Webinar “SECURING THE FUTURE: PROGETTARE OGGI LA SICUREZZA DI DOMANI. Spunti e considerazioni sulla sicurezza informatica che nascono dall’esperienza pratica” del prossimo 21 giugno 2016, tutte queste considerazioni saranno presentate facendo riferimento pratico alla progettualità sviluppata da CEFRIEL nel corso degli anni ed esemplificate alla luce di eventi divenuti di pubblico dominio (oltre che supportate da riferimenti ad analisi degli “addetti ai lavori”). Obiettivo di questi approfondimenti è permettere una più immediata comprensione degli impatti e delle possibili conseguenze di un approccio alla progettualità IT che tiene in scarsa considerazione, nel design delle nuove soluzioni, le “vecchie” (ma sempre attuali) problematiche di Information Security.
PER REGISTRARSI AL WEBINAR
