Copia gratuita offerta da Kaspersky Lab Sicurezza mobile e BYOD Realizzato grazie al contributo di Georgina Gilmore Peter Beardmore
A proposito di Kaspersky Lab Kaspersky Lab è il maggiore vendor privato di soluzioni di protezione endpoint al mondo. La società si colloca fra i primi quattro vendor mondiali di soluzioni di sicurezza per utenti endpoint.* Nel corso dei suoi 15 anni di vita, Kaspersky Lab è rimasta un innovatrice nella sicurezza IT, offrendo soluzioni di sicurezza digitali efficaci per piccole, medie e grandi imprese, oltre che per i consumatori finali. Attualmente Kaspersky Lab opera in quasi 200 Paesi e territori in tutto il mondo, proteggendo più di 300 milioni di persone. Per saperne di più visitare www.kaspersky.com/business * La società è stata classificata quarta nella Worldwide Endpoint Security Revenue del 2011 da International Data Corporation su commissione di Vendor. La classifica è stata pubblicata nella relazione di IDC Worldwide Endpoint Security 2012 2016 Forecast and 2011 Vendor Shares (IDC #235930, luglio 2012), e ha riflesso i risultati dei vendor di software per generazione di utili da soluzioni di sicurezza endpoint nel 2011.
Sicurezza Mobile e Byod Una pubblicazione Wiley Edizione limitata Kaspersky
Sicurezza Mobile e Byod Una pubblicazione Wiley Edizione limitata Kaspersky Georgina Gilmore e Peter Beardmore Una pubblicazione Wiley
Sicurezza mobile e BYOD For Dummies, Edizione limitata Kaspersky Una pubblicazione John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Inghilterra Per i dettagli su come creare un libro Per Principianti a fini commerciali o aziendali, contattare CorporateDevelopment@wiley.com. Per informazioni sulla concessione di licenza Per Principianti per prodotti e servizi, contattare BrandedRights&Licenses@Wiley.com. Visita la nostra Home Page al sito www.customdummies.com Copyright 2013 by John Wiley & Sons Ltd Editore, Chichester, West Sussex, Inghilterra Tutti i diritti sono riservati. È severamente proibito riprodurre i contenuti, salvarli in un sistema di recupero dati o trasmetterli in qualsiasi formato e in qualsiasi mezzo, sia esso elettronico, meccanico, tramite fotocopiatura, registrazione, scansione o altro, eccetto nei limiti di quanto specificato e consentito nei termini del Copyright, Designs and Patents Act 1988 (atto legislativo del 1988 che regola il diritto d autore, i brevetti e i diritti proprietari industriale relativi a opere di design), o nei termini di licenza stabiliti dalla Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londra, W1T 4LP, Regno Unito, senza l espressa e formale autorizzazione scritta da parte dell Editore. Le richieste di autorizzazione devono essere inviate a Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Inghilterra; oppure spedite via posta elettronica all indirizzo permreq@wiley.com, o via fax al numero (+44) 1243 770620. Trademarks: I marchi Wiley, il logo Wiley Publishing, For Dummies, l immagine dell uomo For Dummies, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com e i relativi aspetti caratteristici che contraddistinguono il marchio ( trade dress ) sono marchi o marchi registrati di proprietà di John Wiley & Sons, Inc. e/o di società affiliate con sede negli Stati Uniti e in altri Paesi, e non possono essere utilizzati senza previa autorizzazione scritta. Tutti gli altri marchi sono proprietà dei rispettivi possessori. Wiley Publishing, Inc., l Editore, non è affiliato ad alcun prodotto o distributore menzionato in questa pubblicazione. LIMITAZIONE DELLA RESPONSABILITÀ/ESCLUSIONE DELLA GARANZIA: L EDITORE, L AUTORE, E CHIUNQUE SIA STATO COINVOLTO NELLA PREPARAZIONE DI QUEST OPERA NON ACCETTANO ALCUNA RESPONSABILITÀ RELATIVAMENTE ALLA CORRETTEZZA O ALLA COMPLETEZZA DELLE INFORMAZIONI IVI CONTENUTE, ED ESCLUDONO OGNI FORMA DI RESPONSABILITÀ, COMPRESA, ILLIMITATAMENTE, QUELLA RELATIVA ALL ADEGUATEZZA PER UNO SCOPO PARTICOLARE. NON SI ASSUME ALCUNA RESPONSABILITÀ DERIVATA O ESTESA DA MATERIALI DI VENDITA O PROMOZIONALI. I CONSIGLI E LE STRATEGIE CONTENUTE NELL OPERA POTREBBERO NON ESSERE ADATTE A TUTTE LE SITUAZIONI. QUEST OPERA È VENDUTA NELL ASSUNZIONE CHE L EDITORE NON HA ALCUN OBBLIGO DI FORNIRE SERVIZI LEGALI, PROFESSIONALI O ALTRO TIPO DI SERVIZI PROFESSIONALI. IN CASO DI NECESSITÀ DI UN SUPPORTO PROFESSIONALE, SI CONSIGLIA DI RICERCARE I SERVIZI DI UN PROFESSIONISTA COMPETENTE. NÉ L EDITORE NÉ L AUTORE SI RITERRANNO RESPONSABILI PER GLI EVENTUALI DANNI DERIVATI. IL FATTO CHE UN ORGANIZZAZIONE O UN SITO WEB SIANO CITATI IN QUEST OPERA E/O INDICATI COME POTEZIALI FONTI D INFORMAZIONI, NON IMPLICA CHE L AUTORE O L EDITORE SOSTENGANO LE INFORMAZIONI FORNITE DALL ORGANIZZAZIONE O SUL SITO WEB, O LE LORO EVENTUALI RACCOMANDAZIONI. SI AVVISANO INOLTRE I SIGNORI LETTORI CHE I SITI INTERNET ELECATI IN QUEST OPERA POTREBBERO ESSERE CAMBIATI O SOSPESI IN SEGUITO ALLA STESURA DELL OPERA E PRIMA DELLA SUA LETTURA. Wiley pubblica inoltre i suoi libri in una varietà di formati digitali. Alcuni contenuti della versione stampata potrebbero non essere disponibili nei libri elettronici. ISBN: 978-1-118-66237-3 (ebook)
Indice riassuntivo Introduzione... 1 In questo volume... 1 Sciocche presupposizioni... 2 Com è organizzato questo volume... 2 Icone utilizzate in questo volume... 3 Come procedere... 3 Perché la mobilità e BYOD?...5 Che cos è l accesso tramite dispositivi mobili?... 5 Perché passare al BYOD?... 7 Conoscere i vantaggi... 7 Okay... dov è l inganno?... 8 Potreste dire di no all amministratore delegato?... 10 Accettare l inevitabile... 10 Rimettersi in carreggiata... 11 Un incubo: malware, perdita dati e altri rischi...13 Hai un computer in tasca?... 14 Va di moda il malware per dispositivi mobili... 15 Resta in guardia!... 16 Is any mobile safe?... 16 I principali malware per dispositivi mobili... 18 Trojan via SMS... 18 Altri Trojan... 19
vi Quella pubblicità che ti fa uscire pazzo... 19 Botnet... 19 Wi-Fi, Wi-Fi, perché sei tu Wi-Fi?... 20 È la loro vera identità?... 21 Un occhiata al futuro: le cose potrebbero peggiorare?... 22 I pericoli drive-by... 22 Red October... 23 Conoscere gli aspetti legali...25 A conti fatti, a chi spetta la responsabilità?... 26 Regolamenti e conformità... 27 Esistono precedenti legali?... 27 La parola ragionevole implica degli obblighi irragionevoli per le aziende?... 28 Prendere i primi passi per essere ragionevole... 30 Per cominciare... 30 È tutto lì dentro, se riesci a trovarlo... 30 Formazione e sensibilizzazione... 31 Incontriamo il tutore dell ordine!... 32 Cosa può accadere nella peggiore delle ipotesi?... 33 Come perfezionare la strategia, la politica aziendale e le linee guida BYOD...35 Cominciare con un pilot... 36 L ABC del BYOD e del CYOD... 36 Chi è coinvolto nell implementazione della strategia mobile o del BYOD?... 37
vii Portami dal tuo capo... 38 Chiarire che l accesso non è garantito... 40 Chiarire... non contraddire!... 40 Scegliere il software di sicurezza: le funzioni irrinunciabili...43 Attenzione al gradino!... 44 Arriva la cavalleria... 44 Anti-malware... 45 Mobile Device Management(MDM)... 46 Containerizzazione... 47 Criptaggio... 48 Il controllo delle applicazioni... 48 Filtro web... 49 Aiuto, mi hanno rubato il cellulare!... 49 Bloccare il cellulare perso... e cancellarne i dati... 49 Ritrovare il telefono?... 50 In sintesi... 50 Dieci domande per aiutarvi a perfezionare la vostra strategia...53
viii
Introduzione Benvenuti a Sicurezza Mobile e BYOD Per Negati la vostra guida sui punti chiave da considerare quando si vuole avviare o allargare l accesso ai propri sistemi aziendali tramite dispositivi mobili. Con i consigli e le dritte di questo volume, intendiamo aiutarvi ad evitare di compromettere la vostra sicurezza e d incorrere in sanzioni disciplinari o legali. Come per qualsiasi altra modifica ad un processo aziendale, è saggio non prenderne in considerazione soltanto i vantaggi. Quando si usano dispositivi mobili per accedere a dati e sistemi aziendali, possono sorgere complicazioni. Inoltre, qualora si decidesse di adottare la pratica del BYOD (Bring your own device, letteralmente Porta il tuo dispositivo da casa ), si presenterebbero ulteriori vantaggi e problematiche. Quindi conviene essere preparati... ed è proprio per questo che abbiamo scritto questo volume. In questo volume Questo volume potrà sembrare piccolo, ma è pieno zeppo di informazioni sui vantaggi e sulle problematiche che possono derivare dall accesso tramite dispositivi mobili e dal BYOD. In riferimento all accesso tramite dispositivi mobili, non esiste una regola universale. Questo volume vi fornirà preziose dritte e consigli mirati ad aiutare le aziende a considerare le proprie necessità, prima di formulare le proprie strategie. Sicurezza Mobile e BYOD Per Negati principianti vi aiuterà a prendere atto di:
2 Vantaggi e problematiche generali per il vostro business. Considerazioni legali e potenziali responsabilità. Ripercussioni sulle risorse umane: contratti, politiche aziendali e formazione. Problematiche e soluzioni relative a sicurezza e all informatica. Sciocche presupposizioni Per far sì che questo volume vi fornisca le informazioni di cui avete bisogno, abbiamo presupposto alcune cose: Il business che gestite, possedete o per cui lavorate, è interessato a fornire o ad estendere l accesso a dati e a sistemi tramite dispositivi mobili. State cercando consigli sulle strategie mobili o di BYOD. Vi serve qualche dritta sulle potenziali complicazioni legali e su come evitarle. Volete far sì che i dati riservati rimangano tali. Siete alla ricerca di informazioni sulle soluzioni tecnologiche create per evitare che l accesso tramite dispositivi mobili divenga fonte di minacce ai vostri sistemi aziendali. Com è organizzato questo volume Sicurezza mobile e BYOD For Dummies è diviso in sei capitoli concisi e pieni di informazioni: Capitolo 1: Perché mobilità e BYOD? Vi spieghiamo i vantaggi e le problematiche che vi attendono.
* Capitolo 2: Un incubo: malware, perdite e altri rischi. Questo capitolo illustra i principali rischi per la sicurezza, oggi come in futuro. * Capitolo 3: Conoscere gli aspetti legali. Informazioni mirate a farvi agire in piena legalità. * Capitolo 4: Come perfezionare la strategia, la politica aziendale e le linee guida BYOD. Chi includere e come avviare la propria iniziativa mobile. * Capitolo 5: Scegliere il software di sicurezza: le funzioni irrinunciabili. Tutto ciò che volete sapere sulle soluzioni tecnologiche che vi aiuteranno a proteggere dati e sistemi. * Capitolo 6: Dieci domande per aiutarvi a perfezionare la vostra strategia. Utilizzate queste domande come pratica lista di controllo. Icone utilizzate in questo volume Per aiutarti a trovare con maggiore facilità le informazioni che cerchi, le seguenti icone evidenziano i concetti-chiave: Il bersaglio segnala la presenza di consigli molto utili. 3 L icona della corda annodata mette in risalto importanti informazioni da tenere a mente. Attenti a non cadere in queste potenziali trappole! Come procedere Puoi consultare questo volume come e quando lo desideri, oppure leggerlo tutto dall inizio alla fine. È veloce e facile
4 da leggere! Qualsiasi approccio sceglierai, siamo certi che lo troverai pieno di consigli utili per far sì che il vostro progetto di accesso tramite dispositivi mobili o di BYOD sia un successo.
Capitolo 1 Perché la mobilità e BYOD? In questo capitolo Stima dei vantaggi Considerazione delle potenziali problematiche Come decidere se il BYOD si addice alla vostra azienda Mettersi in pari... quando la decisione è già stata presa In questo capitolo analizzeremo alcuni dei vantaggi e delle problematiche che le aziende incontrano quando decidono d introdurre l accesso a sistemi e dati aziendali tramite dispositivi mobili; valuteremo inoltre le conseguenze del BYOD (Porta il tuo dispositivo da casa). Che cos è l accesso tramite dispositivi mobili? Visti i frenetici ritmi del mondo del lavoro odierno, le aziende che forniscono ai propri dipendenti un accesso rapido e pratico ad un numero maggiore di dati e di sistemi aziendali, tramite i dispositivi mobili, possono accaparrarsi un significativo vantaggio sulla concorrenza. Concedere l accesso a dati aggiornati in tempo reale ai dipendenti remoti e fornire loro la possibilità di caricare
6 informazioni sui sistemi aziendali può portare ad un aumento dell efficienza e dell agilità aziendale. Comunque sia, oltre ai significativi vantaggi, bisogna affrontare anche alcune problematiche per far sì che l iniziativa di accesso tramite dispositivi mobili non vada a minare la sicurezza dei sistemi e dei dati aziendali, o non porti l azienda a non rispettare le normative o le esigenze di conformità esistenti. A nessuno fa piacere ricevere querele da clienti o partner aziendali, o che l amministra-tore delegato sia ritenuto personalmente responsabile di sanzioni legali... soprattutto se l amministratore delegato sei tu! Tanto per cominciare, ecco alcune delle problematiche che le aziende devono affrontare quando decidono di introdurre l accesso tramite dispositivi mobili: Cosa comporta il fatto che si possa accedere ai sistemi aziendali al di fuori del firewall aziendale? Salvare dati aziendali su dispositivi mobili è una pratica sicura? Esiste il rischio che l azienda non sappia più dove si trovino di preciso i propri dati? Vi sono potenziali ripercussioni legali per l azienda e per i suoi direttori? Cosa si può fare per prevenire che malware e pirati informatici accedano ai sistemi aziendali? Come motivare i dipendenti a prendere precauzioni per evitare questioni legali e di sicurezza? Si può garantire che i dati aziendali siano al sicuro anche quando un dispositivo viene smarrito o rubato?
Esistono questioni di conformità associate all accesso a sistemi e a dati aziendali tramite dispositivi mobili? Perché passare al BYOD? Con il sempre crescente interesse per le iniziative BYOD, con cui i dipendenti possono utilizzare i propri dispositivi mobili per le comunicazioni aziendali, si parla molto dei vantaggi che il BYOD può offrire sia ai datori di lavoro che ai dipendenti. Se c è la possibilità di ottenere vantaggi, allora vale la pena di approfondire la questione. Conoscere i vantaggi Per i datori di lavoro, il BYOD offre i vantaggi potenziali che seguono: Riduzione dei costi: L azienda non dovrà acquistare e aggiornare i dispositivi mobili. Il ciclo di aggiornamento per i telefoni cellulari può essere molto breve, soprattutto quando alcuni dipendenti devono assolutamente avere il dispositivo più all avanguardia non appena diviene disponibile. Il BYOD può liberare l azienda da questa costosa e ricorrente necessità. Aumento della produttività: Per quanto preoccupante, molti utenti hanno, con i propri dispositivi mobili, una relazione quasi intima ; quindi non c è da stupirsi che i dipendenti preferiscano avere la possibilità di scegliere liberamente marca e modello. Se un dipendente è già abituato ad un dato dispositivo, questo porterà a maggiore efficienza quando lo userà per lavoro. 7
8 Il BYOD può offrire vantaggi anche ai dipendenti: Migliore protezione: I datori di lavoro coscienziosi fanno tutto il possibile per salvaguardare i propri dati e sistemi, e i dipendenti possono godere di programmi di sicurezza che proteggeranno anche i loro dati personali senza doverne affrontare la spesa. Semplicità d uso: I dipendenti possono scegliere il dispositivo che preferiscono utilizzare, e questo può portare ad una produttività ulteriore per il datore di lavoro! Quando si assume un dipendente, questi avrà molto da imparare. Ma se è già capace di usare il proprio dispositivo mobile per svolgere le mansioni lavorative, invece di dover imparare ad operare un dispositivo poco familiare, potrà iniziare da subito. Okay... dov è l inganno? Prima di lasciarci prendere troppo la mano dai potenziali vantaggi e d iniziare a considerare il BYOD come una pratica standard, prendiamoci una pausa di riflessione. È vero, ci sono dei vantaggi. Ma è altrettanto vero che, man mano che i lavoratori passano da un azienda all altra, l abitudine del BYOD è destinata ad espandersi. Quindi l inesorabile valanga del BYOD continua ad acquistare forza e le aziende sono costrette ad adottare un proprio programma BYOD. Comunque sia, questo non significa che il BYOD sia adatto al vostro business. Potrebbe esserlo, se trovaste una strategia grazie alla quale capitalizzarne i potenziali vantaggi senza cadere in nessuno dei tranelli. Ma d altro
canto ad alcune aziende non conviene affatto affidarsi al BYOD, magari per il campo in cui operano, per il tipo di dati che gestiscono, per i codici di condotta cui sono soggette... o per tutte e tre le cose. Il BYOD comporta le seguenti problematiche: L azienda ha un controllo minimo o inesistente sulla gamma di dispositivi e di sistemi operativi (SO) utilizzati, quindi gestire tutti questi dispositivi differenti potrebbe comportare spese aggiuntive. Sui dispositivi mobili la sicurezza è più a rischio (a causa di dati, allegati o applicazioni infette), e questo può portare a contagi o attacchi a tutto il resto della rete aziendale. Se l azienda si dirà disposta a supportare l uso di qualsiasi dispositivo mobile tra tutti quelli presenti sul mercato, questo potrebbe assorbire molte delle risorse. Rispetto al solo uso di dispositivi di proprietà dell azienda, in cui viene valutata e approvata solo una limitata gamma di dispositivi e di sistemi operativi, il BYOD porta con sé una pletora di dispositivi e SO che devono essere abilitati e resi sicuri. Esistono ingegnose soluzioni tecnologiche che possono aiutarvi a gestire la situazione, ma questa comporta complicazioni non indifferenti. Adottando il BYOD, l azienda potrebbe trovarsi costretta a supportare l uso di ios, Android, BlackBerry, Symbian, Windows Mobile e Windows Phone, comprese tutte le varianti di ciascun SO. E poi c è sempre la possibilità che in futuro siano introdotti nuovi SO, e bisognerà essere in grado di supportare anche quelli. 9
10 Potreste dire di no all amministratore delegato? Il BYOD ha smosso le acque come nessun altra innovazione precedente. Quando un azienda aggiorna i propri computer, portatili o da tavolo, o i propri server, il reparto IT ovviamente svolge un ruolo determinante: valuta i potenziali fornitori, esamina le prestazioni delle tecnologie concorrenti, stipula contratti di supporto e manutenzione e gestisce l avviamento del progetto. Anche se adottare una nuova strategia di accesso tramite dispositivi mobili richiede numerosi requisiti tecnici, di supporto e di sicurezza, l impeto iniziale alla base dell introduzione di nuove tecnologie mobili si è spesso rivelato meno formale. Pensate alla situazione in cui l amministratore delegato acquista un dispositivo all ultimo grido. È un dispositivo straordinario, addirittura criogenico! Non sarebbe bello poterlo usare per accedere ai sistemi aziendali? Potrebbe rivoluzionare il modo in cui facciamo affari, direbbe lui, e in men che non si dica il progetto di accesso tramite dispositivi mobili sarebbe bello che decollato. Accettare l inevitabile Tra voi esiste qualcuno che tiene alla propria carriera pronto a dire: Non se ne parla!? Anche se si è in buoni rapporti con il proprio amministratore delegato, sarebbe un rischio non da poco. Potrebbe bastare un semplice: Calma aspetti, ci sono un sacco di fattori importanti da considerare. Ma chi sarebbe pronto a non accontentare il proprio amministratore delegato? Dopo tutto, non ha tutti i torti: questo dispositivo potrebbe davvero rivoluzionare i processi aziendali e far aumentare l efficienza.
11 Rimettersi in carreggiata Quindi, nell esempio che abbiamo proposto, all azienda e al reparto IT toccherebbe trovare un modo per far sì che questo accada. Ma ciò potrebbe far perdere terreno al reparto IT e agli addetti alla sicurezza. Lo stallone è già scappato via imbizzarrito, e non gli abbiamo ancora costruito una stalla. Il prossimo capitolo vi aiuterà a valutare meglio i rischi... e a rimettervi in carreggiata.
12
Capitolo 2 Un incubo: malware, perdita dati e altri rischi In questo capitolo Scoprire la portata dei rischi di sicurezza Capire la natura delle varie minacce Come usare la connessione Wi-Fi con sicurezza Cosa ci attende in futuro Ben poche aziende gestirebbero la loro infrastruttura informatica senza mettere in atto delle adeguate tecnologie di sicurezza. Tuttavia, in generale, le aziende e i loro dipendenti sono molto meno coscienti dei rischi di sicurezza e dei problemi associati all utilizzo aziendale dei dispositivi mobili. Dopo tutto, è solo un cellulare o un tablet, e prima o poi ne abbiamo tutti perso uno... o no? Beh, potrebbe anche darsi, ma gli smartphone e i dispositivi attuali sono anni luce di distanza dai vecchi telefoni a conchiglia o a mattone che richiedevano un paio persone per portarli in giro! Se qualcuno lasciava un cellulare in taxi nel 2003, perdeva tutt al più una serie di contatti, e quella era la seccatura maggiore. Ma non era
14 certo la sicurezza del suo datore di lavoro ad essere in pericolo! Ma nel mondo di oggi, in rapida trasformazione, la questione è completamente diversa. Hai un computer in tasca? Il vostro dispositivo mobile è in realtà un computer molto potente capace di immagazzinare una quantità enorme di dati. Se lo usate per questioni lavorative, alcuni dei dati contenuti sul cellulare o tablet potrebbero seriamente compromettere la sicurezza della vostra azienda, se quelle informazioni finissero nelle mani sbagliate. Con tutte le password salvate sul dispositivo, i criminali potrebbero avere accesso diretto ai sistemi aziendali di livello corporate. I maggiori rischi di sicurezza comprendono: La perdita dei dati, come conseguenza dello smarrimento o del furto del dispositivo. Il furto d identità, nel caso in cui un criminale ruba il vostro dispositivo e accede ai vostri account online. Malware capace di rubare informazioni. Perdita d informazioni, tramite connessioni Wi-Fi contraffatte.
15 Dove ho messo il mio cellulare? I dispositivi mobili di oggi sono così piccoli e sottili che perderli diventa sempre più facile. Per alcuni, sembra quasi inevitabile. È per questo che dovrebbero tutti prendere qualche precauzione. È saggio affidarsi ad un codice PIN quando una pass-phrase, un insieme di parole, garantirebbe maggiore sicurezza? Le precauzioni e le tecnologie possono essere utili nel caso in cui un dispositivo venga perso e trafugato. È possibile salvare i dati in modo tale che siano del tutto illeggibili in caso di furto. Inoltre, speciali tecnologie di sicurezza per cellulari possono consentire l accesso remoto al cellulare perso, permettendo di effettuare una serie di funzioni anti-furto e di protezione sul dispositivo. Maggiori informazioni sono presentate più avanti (se volete saltare fino a scoprire come fare, andate al Capitolo 5). Va di moda il malware per dispositivi mobili Il recente picco nell uso degli smartphone ha comportato un simile aumento nelle attività di criminali che aspettano la giusta opportunità per derubare vittime innocenti. Dal momento che usiamo tutti i cellulari per svolgere sempre più attività (come fare shopping, svolgere attività bancarie e per le mansioni lavorative) i criminali informatici stanno puntando sempre di più agli smartphone. Criminali informatici! Potrebbero sembrare dei personaggi usciti da un thriller di fantascienza, ma in realtà sono team di professionisti ben finanziati alla ricerca costante di metodi sempre
16 più sofisticati per rubare danaro e l identità alle persone... e per lanciare degli attacchi alle aziende. Sebbene il primo malware per cellulari venne scoperto nel 2004, la crescita degli attacchi malware è stata piuttosto lenta fino al 2010. Ma da allora... BOOM! Nel 2011, il volume di nuovi malware che mirano ai dispositivi mobili ha superato l intero volume dei sei anni precedenti. E il 2012 ha visto un altro aumento di sei volte nel malware mobile. Adesso è evidente che i dispositivi mobili siano diventati uno dei target principali per i criminali ed il malware. Resta in guardia! A cosa è dovuta la rapida crescita del malware per dispositivi mobili? In parte è dovuta all aumento nel numero di smartphone che utilizziamo, in parte alle operazioni che facciamo con gli smartphone e in parte perché abbiamo la tendenza ad abbassare la guardia. Per quanto riguarda quest ultimo punto possiamo darvi una mano. I dispositivi che vengono usati per il banking online, per fare acquisti e per accedere ai sistemi dei dipendenti aziendali sono destinati ad attrarre l attenzione di quei criminali,. Tuttavia molte società che normalmente non correrebbero rischi di sicurezza all interno della loro rete informatica, continuano a permettere l accesso a dati preziosi da quei piccoli dispositivi ritenuti innocenti... senza considerare abbastanza seriamente cosa accadrebbe se quelle informazioni e quelle password venissero rintracciate. Is any mobile safe? I criminali puntano al momento ad alcune piattaforme mobili molto più che su altre. Sebbene esistano dei rischi
17 reali che riguardano i dispositivi Apple e BlackBerry, il recente maggiore aumento di minacce ha coinvolto i dispositivi Android. Significa che chiunque usi dei dispositivi Apple o BlackBerry debba preoccuparsi comunque? In una parola, sì! Considera il mondo dei laptop e dei desktop. Molte aziende e molte persone si sentono più sicure utilizzando dei Mac anziché dei PC. Tuttavia, il trascurare in passato i possibili attacchi ai Mac si è dimostrato essere un grosso errore. Ci sono stati molti casi ben documentati di attacchi di malware indirizzati specificatamente ai Mac, e il numero di questi attacchi è in continua crescita. Allo stesso modo, può essere un errore pensare che una piattaforma particolare sia più sicura di un altra, e affidandosi a quella, fare nulla per la sicurezza. Appena i criminali informatici intravedono una possibilità e capiscono che il livello di guardia per una determinata piattaforma non è sufficientemte alto, ecco che puntano proprio a quel target. In passato è già successo. Prima del recente aumento delle minacce per dispositivi Android, il principale obiettivo degli attacchi era la versione mobile di Java. Prima ancora, gli obiettivi erano i dispositivi basati su sistemi operativi Symbian e Windows CE. Dunque la situazione è molto dinamica e fluida, e le aziende devono cercare di anticipare i criminali. Ricordate inoltre che il rischio non proviene solo dal malware: i dati contenuti in qualsiasi dispositivo perso o rubato sono vulnerabili a meno che il dispositivo non sia dotato di un qualche sistema di sicurezza. Oltre a ciò, un criminale può sottrarre informazioni da un qualsiasi dispositivo che utilizza una rete Wi-Fi non sicura.
18 Se un utente sceglie di effettuare il jailbreaking o il rooting sul suo dispositivo mobile (ad esempio per sbloccare il dispositivo in modo tale che possa essere utilizzato anche con un operatore mobile diverso da quello originario, oppure per rimuovere i limiti sulla gamma di applicazioni che può supportare), è un po come se rimuovesse la porta d ingresso di una casa. Il jailbreaking o rooting di un dispositivo ne rimuove la sicurezza. A quel punto, non ha più importanza quale sistema operativo utilizza il dispositivo per funzionare. Il rischio è reale. Volete davvero che i dispositivi sbloccati abbiano accesso alla rete aziendale? I principali malware per dispositivi mobili Attualmente, i tre principali tipi di malware per dispositivi mobili (o mobile malware ) sono: Trojan Programmi adware Botnet e altre minacce di pirateria informatica Trojan via SMS Nonostante il nome di cavallo di Troia, non c è nulla di classico o di mitologico a proposito di questo malware, che è di solito un modo molto subdolo di sottrarre denaro alla persona o alla società che paga la bolletta telefonica. Dopo che un dispositivo è stato infettato da un Trojan via SMS, il criminale ne approfitta facendo inviare al dispositivo in modo automatico e silenzioso molteplici
19 messaggi di testo a dei numeri di telefono a tariffazione maggiorata. Non è esattamente come scassinare una banca, o svaligiare i conti di una società, se è la vostra azienda a pagare la bolletta, ma vale comunque la pena di proteggere il dispositivo da questi attacchi, soprattutto perché potrebbero danneggiare il buon nome dell azienda. Altri Trojan Gli altri due tipi comuni di Trojan sono le backdoor e lo spyware, entrambi progettati allo scopo di sottrarre dati dai dispositivi mobili. Le backdoor permettono ad un hacker di controllare il dispositivo a distanza, permettendogli di fare praticamente qualsiasi cosa. I programmi di spyware comportano un passaggio di dati, tra cui messaggi personali o il numero seriale del dispositivo, dal telefono all hacker. Quella pubblicità che ti fa uscire pazzo A prima vista i programmi di Adware potrebbero sembrare piuttosto innocui, ma il fatto è che non veicolano soltanto messaggi pubblicitari, ma anche funzioni aggiuntive non autorizzate. Per esempio potrebbero cambiare la pagina iniziale del browser dell utente senza la sua autorizzazione. Botnet Abbiamo lasciato il meglio per ultimo. Questo gruppo di minacce estende il concetto di backdoor fino a permettere il controllo remoto di una moltitudine di dispositivi mobili, anche decine di migliaia alla volta. Le Botnet sono delle reti di dispositivi la cui sicurezza è stata compromessa e che sono sfruttati dagli hacker per diffondere malware e minacce. È una rete che sicuramente non vale la pena farne parte.
20 Talvolta le minacce per dispositivi mobili sono degli attacchi di tipo ibrido che uniscono la funzionalità di una backdoor, un Trojan via SMS e un bot. Dal momento che gli attacchi mirati alle società cominciano spesso con gli hacker che raccolgono informazioni che possono aiutare i criminali a progettare e a assemblare le loro attività intorno ad un azienda specifica, gli hacker e le minacce botnet sono fonte di serie preoccupazioni. Esistono casi ben documentati di questo tipo di attacchi lanciati a computer desktop e server. Ora, dato che molte aziende evitano di mettere in atto adeguate misure di sicurezza per i dispositivi mobili dei loro dipendenti, i criminali guardano ai cellulari come ad un modo facile, e sempre più remunerativo, di raccogliere informazioni accedendo alla rete aziendale. Wi-Fi, Wi-Fi, perché sei tu Wi-Fi? Quando il personale accede alle reti Wi-Fi pubbliche (negli aeroporti o negli alberghi, per esempio) c è il rischio che possano essere sniffato (vale a dire spiati illecitamente da criminali collegati alla stessa rete Wi-Fi). L utente potrebbe solo autenticarsi per accedere a Twitter o Facebook, ma se viene catturata la loro password, il criminale può facilmente accedere a molte altre informazioni. I gruppi criminali sono sempre più disposti ad investire nel lungo termine e a sfruttare cautamente le informazioni personali che sono riusciti a catturare. Spesso scoprire queste informazioni personali è un mezzo fine a se stesso: con tali informazioni i criminali possono individuare l identità digitale del dipendente e comunicare con i suoi colleghi, ignari di tutto. Quando poi gli stessi colleghi