Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Lavoro agile e Smartphone come allinearsi con la CyberSecurity, ma il Bluetooth?

Ricardo Nardini : 9 Maggio 2023 14:14

  

So che la maggior parte di noi lettori di RHC siamo passi avanti nella cybersecurity rispetto ad un altro pubblico ma vale la pena rinfrescare alcune buone abitudini per mantenersi allineati. In aeronautica a tutti i piloti prima di partire sono obbligati a passare una check list per evitare dimenticanze banali che potrebbero complicare di molto il volo a seguire. Usiamo quindi questo articolo come una specie di check list.

Molte aziende hanno adottato definitivamente il lavoro agile, e poiché è diventato un nuovo modo di lavorare, facciamo una panoramica sulle raccomandazioni basiche da tenere in considerazione per proteggere il proprio ambiente di lavoro.

Se l’azienda offre le risorse necessarie per il lavoro agile, la prima prerogativa che chiederà sarà seguire alla lettera le sue indicazioni facendo uso esclusivamente professionale dei laptop o di qualsiasi altro dispositivo tecnologico messo a disposizione. Come di consueto si consiglierà in nessun caso, di manipolarli, modificarne le configurazioni impostate dal team informatico dell’azienda o dare in prestito ad altre persone il materiale aziendale. Come capita anche di leggere negli aeroporti sulle note delle compagnie aeree, di non allontanarsi o chiedere custodia a terzi dei propri bagagli per evitare di trovarsi all’interno delle valigie materiale inserito da terzi, pure per gli strumenti informatici propri o aziendali bisognerebbe adottare le medesime politiche.

D’altro canto, se si utilizza un dispositivo personale per svolgere le proprie funzioni lavorative, è di vitale importanza seguire come minimo le seguenti regole:

  1. Installare un antivirus per proteggere il proprio dispositivo da possibili minacce che potrebbero interessarlo. Conservare i comprovanti commerciali dell’acquisto di tali prodotti.
  2. Mantenere sempre aggiornato il sistema operativo e gli altri programmi all’ultima versione.
  3. Creare un account utente non amministrativo diverso per separare lo spazio dedicato al lavoro professionale da quello dedicato all’utilizzo personale, quindi assicurarsi che nessun account, oltre root o Administrator, abbia diritti amministrativi.
  4. Installare una VPN (Virtual Private Network) per creare una connessione privata e sicura dal proprio dispositivo al server dell’azienda, o nella maggior parte dei casi lavorare con la VPN o ZTNA utilizzata dall’azienda.
  5. Eseguire periodicamente una copia di backup su un dispositivo USB o NAS delle informazioni lavorative rilevanti contenute nel dispositivo e dedicare questo dispositivo USB o NAS solo per salvare materiale di lavoro .
  6. Proteggere le informazioni crittografando quando sia possibile le informazioni sul disco rigido che sono considerate più critiche e riservate per l’azienda.
  7. Esaminare le impostazioni del router Wi-Fi per assicurarsi che tutte le misure di sicurezza di base siano state applicate.
  8. Conservare le password di lavoro dentro appositi software, meglio se open source tipo Keepass, delle proprie password.
  9. Evitare di connettersi a reti Wi-Fi pubbliche poiché non si conoscono le misure di sicurezza implementate, e chi potrebbe essere connesso alle stesse e le loro intenzioni…
  10.  Fare attenzione ad eventuale phishing e smishing per non cadere in false notizie, mail e messaggi con l’unico obbiettivo di frodare o installare malware utilizzando tecniche di inganno anche attraverso il social engineering. Quindi contrastare queste informazioni e non inoltrare messaggi partecipando alla diffusione di notizie false.

E questo giro di bussola va bene, ma quanto è sicuro il proprio cellulare? Al di là del dibattito tra Android e iPhone, di quali opzioni si dispone per fornire una migliore sicurezza dello smartphone a se stessi o alla propria azienda?

I dispositivi mobili sono diventati parte integrante e onnipresente della vita di tutti e del lavoro agile, attirando l’interesse di malintenzionati e criminali desiderosi di rubare informazioni vitali, si pensi solo alle applicazioni bancarie per gli smartphone. Analizziamo quindi alcuni suggerimenti per tutelarsi e proteggersi.

Tre livelli di sicurezza

In un fantastico vecchio articolo di CSOonline, cui lascio il link in calce * , tutti gli smartphone hanno tre elementi di sicurezza di base. Il primo obbiettivo dell’utente è essere a conoscenza di questi livelli per aumentare la consapevolezza della sicurezza sui dispositivi:

  1. Protezione del dispositivo: che sia consentita la “cancellazione” dei dati remoti in caso di smarrimento o furto del dispositivo.
  2. Protezione dei dati: che venga impedito che i dati aziendali vengano trasferiti alle applicazioni personali in esecuzione sullo stesso dispositivo o sulla rete personale.
  3. Sicurezza per la gestione delle applicazioni: che si eviti che le informazioni nelle applicazioni vengano compromesse.

La sicurezza per gli smartphone aziendali non dipende solo dai telefoni, ma anche dalla tecnologia di gestione dei dispositivi mobili (MDM) installata sui server dell’azienda, che controlla e gestisce la sicurezza dei dispositivi.

Entrambi devono lavorare insieme per fornire una buona sicurezza. Per esempio, i telefoni BlackBerry sono stati progettati e realizzati per uso aziendale. La sua sicurezza è eccellente, tuttavia BlackBerry offrì poche applicazioni di consumo di massa. Ad oggi si ha bisogno di un altro tipo di smartphone per uso aziendale e personale (inclusi operazioni bancarie e acquisti), il che significa che anche utilizzando tecnologie attuali ci si deve preoccupare comunque anche della sicurezza del telefono.

Con l’aumento del numero di applicazioni sul mercato, in particolare per i telefoni iOS e Android, la loro sicurezza è una prerogativa necessaria, indipendentemente dal dispositivo mobile utilizzato. Dalle parole di Ira Grossman, che affermano che “se non si dispone di un’applicazione sicura, non importa quanto sia sicuro il sistema operativo” dovremmo imparare molto… Infatti, quando i professionisti parlano di proteggere l’intero dispositivo, intendono sia il sistema operativo che le applicazioni che esegue. La maggior parte dei telefoni ha un’impostazione che consente ma avverte di controllare qualsiasi applicazione da fonti sconosciute prima di scaricarla e, come regola generale, si dovrebbero utilizzare gli store di Apple, Google e Microsoft, piuttosto che fornitori di applicazioni di terze parti.

Bluetooth

Se pensiamo che la configurazione Bluetooth è intesa al livello di sicurezza “uno”, ovvero nessuna crittografia o autenticazione e ciò consente agli aggressori di richiedere informazioni al dispositivo, con conseguente aumento del rischio di furto o perdita dei dati, possedere perennemente accesa la radio Bluetooth mentre si fa lavoro agile non è di per se una buona idea.

Oltretutto l’ecosistema di dispositivi abilitati Bluetooth è destinato a crescere in modo significativo nei prossimi anni, soprattutto grazie alla crescita del settore IoT. Se è vero che lo standard Bluetooth viene aggiornato ogni anno, risolvendo così le vulnerabilità rilevate, ci sono alcune vulnerabilità che interessano un gran numero di dispositivi poiché molti di essi sono vulnerabili fino alla versione BT 5.0. Anche se esistono tanti altri, attualmente sono quattro i principali attacchi fattibili alle tecnologie Bluetooth: BIAS, BLESA, KNOB e BLURtooth e la famiglia di vulnerabilità Braktooth.

L’attacco BIAS si basa su due difetti di specifica nello standard Bluetooth fino alla versione 5.0. Da un lato, come stabilito dallo standard, quando le connessioni Bluetooth sono di tipo Legacy Secure Connections, l’autenticazione tra i due dispositivi da interconnettere non è bidirezionale, ma è il dispositivo nel ruolo di master che autentica il dispositivo slave. D’altra parte, lo standard Bluetooth consente lo scambio di ruoli in qualsiasi momento dopo il paging in banda base. In sintesi questo tipo di attacco utilizza il principio dell’attacco Man in the Middle.

L’attacco BLESA può essere eseguito solo su dispositivi dotati di Bluetooth Low Energy e si basa sull’impersonificazione del dispositivo che funge da server al fine di utilizzare i diversi livelli di sicurezza Bluetooth per accedere a diversi attributi e falsificare i dati. La rappresentazione viene sempre eseguita forzando la riconnessione con il dispositivo legittimo da attaccare.

L’attacco KNOB viene eseguito su dispositivi che utilizzano la versione estesa del Bluetooth classico (Bluetooth Basic Rate/Extended Data Rate (BR/EDR)). Nelle moderne implementazioni Bluetooth, lo stack del protocollo Bluetooth è separato in due componenti che saranno rilevanti per questo attacco: l’host e il controller. L’host è implementato dal sistema operativo del dispositivo e controlla i livelli superiori dello stack, mentre il controller viene eseguito nel firmware del chip Bluetooth e appunto controlla i livelli inferiori. L’obiettivo dell’attacco è ridurre l’entropia della chiave di sessione a un byte in modo che l’attaccante possa ascoltare la comunicazione e scoprire la chiave, e con un brute force trovare la chiave tra le 256 possibili.

L’attacco BLURtooth interessa le versioni Bluetooth 4.2 e 5.0 poiché è stata rilasciata una patch a partire dalla versione 5.1 che corregge questa vulnerabilità e si basa su un difetto di sicurezza nella specifica dello standard relativo alla funzione Cross-Transport Key Derivation (CTKD). Questa funzione consente a due dispositivi precedentemente associati di generare la Long Term Key (LTK) per Bluetooth Classic (BT) e Bluetooth Low Energy (BLE) rispettivamente dalle chiavi BLE e BT. In sintesi l’attacco avviene quando un terzo soggetto scopre che uno dei due dispositivi è agganciabile attraverso il BLE e interviene senza ulteriori scambi di chiavi.

Questa breve panoramica su gli attacchi più comuni ai dispositivi Bluetooth ci mette in guarda su un oramai blasonato concetto, quello di chiudere qualsiasi radio inutilizzata dai dispositivi mobili, per la gioia parallela dell’allungamento della durata della carica delle batterie.

Android vs iPhone vs Windows Phone

La sicurezza Android si porta con se il “luogo comune” della dubbia reputazione, principalmente perché non appartiene a nessuno in quanto non esiste un ente regolatore di ciò che può e non può essere offerto come applicazione Android, tranne lo store di Google, o anche l’hardware che può essere venduto come telefono Android. Invece, si può proteggere il proprio telefono Android tenendolo aggiornato ed evitando di scaricare applicazioni da fonti dubbie o sconosciute. 

Quando si tratta di sicurezza, nessun dispositivo o sistema operativo è il “migliore” in assoluto. Il grado di sicurezza del proprio smartphone dipende dalle proprie esigenze personali, professionali e dal proprio livello di disinvoltura con la tecnologia. Vediamo alcuni punti caratteristici di ogni tipo di tecnologia, insieme ad alcuni fattori a cui pensare quando si decide l’utilizzo:

Android

  • Vantaggio: Altamente configurabile in quanto si può controllare completamente le impostazioni sulla privacy e le impostazioni avanzate del dispositivo.
  • Svantaggio: La mancanza di standardizzazione rappresenta una debolezza per la “sicurezza pronta all’uso”.
  • Suggerimento: Un utenza più disinvolta e preparata tecnologicamente può trovarsi a proprio aggio in quanto più preposti alle configurazioni personalizzate e regolazioni delle impostazioni e degli strumenti di sicurezza.

Apple (iOS)

  • Vantaggio: Coerenza e affidabilità, il che significa conoscere in anteprima i risultati da ottenere. Dispositivi molto curati anche a livello estetico e di prestigio.
  • Svantaggio: Sono comunque vulnerabile ai malware, dipende fortemente dalle patch di sicurezza di Apple. Inoltre, sebbene i prodotti Apple abbiano generalmente un prezzo più alto rispetto ai prodotti Android, non garantiscono una sicurezza completa e sono comunque vulnerabili a malware e hacking.
  • Suggerimento: probabilmente l’opzione più semplice e migliore per una sicurezza accettabile mirata ad un utenza più ampia.

Windows Phone

  • Vantaggio: Compatibile con Windows, miglioramento costante delle prestazioni di sicurezza (vedi gli attuali Nokia Lumia).
  • Svantaggio: Cronologia delle prestazioni di sicurezza talvolta incerte nel passato. Poca o scarsa documentazione sul contenuto delle patch di sicurezza.
  • Suggerimento: Rappresenta la soluzione migliore se la compatibilità con Windows è un requisito fondamentale per l’utente.

Ogni opzione smartphone presenta punti di forza e limiti di sicurezza. Il modo in cui si utilizza il proprio smartphone e quanto ci si sente al proprio agio nel regolare le sue impostazioni di sicurezza giocherà un ruolo importante nel decidere quale sia l’opzione migliore da adottare per il lavoro agile, ma non c’è dubbio che questo dibattito continuerà con l’arrivo di altri dispositivi sul mercato in quanto maggiori misure di sicurezza diventano sempre più importanti per i dispositivi in generale.

Questo breve approfondimento non pretende essere un trattato sulla sicurezza da applicare al lavoro agile ma può far nascere alcune sane perplessità e dubbi su ciò che crediamo essere sicuro mentre invece non lo è affatto.

* https://www.csoonline.com/article/2899126/mobile-security-ios-vs-android-vs-blackberry-vs-windows-phone.html

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.