Home » News » Cybersecurity

Smartphone , Tablet e Social Networks in Azienda

Smartphone

Dal Rapporto Clusit 2014 sulla Sicurezza ICT in Italia, presentato ai Security Summits di Milano, Bari, Roma e, prossimamente, il 2 ottobre a Verona, con S News media partner consolidato a tutte le edizioni, presentiamo il Focus On a cura di Alessio Pennasilico sui rapporti tra Social Networks e la Business Security aziendale, specialmente in relazione ai dispositivi mobili.

Smartphone, Tablet e Social Networks in Azienda

Quando in azienda si parla di Social Network si pensa sempre a qualcosa di competenza dell’IT, da filtrare, o di competenza del Marketing, per promuovere l’immagine ed i prodotti dell’azienda.
Purtroppo questa visione, è evidente ai più, si dimostra miope oramai da qualche anno. I social network, infatti, costituiscono un rischio sia da un punto di vista di immagine (brand reputation) sia da un punto di vista della più classica security (relativamente all’opportunità di preservare la confidenzialità di alcune informazioni).

I social network, infatti, possono mettere a serio rischio la Business Security di una azienda. Se poi si coniuga l’aspetto social network, con la sua imprescindibile altra metà del cielo, i dispositivi mobili, ecco che il rischio si palesa in tutta la sua maestosità.
Non regolamentare, non prevenire, non controllare l’accesso e l’uso di tali strumenti, infatti, può portare non solo a danneggiare l’immagine dell’aziende nei confronti di un pubblico molto vasto, ma addirittura al furto di informazioni aziendali riservate.

L’approccio che d’istinto si sarebbe istintivamente portati ad adottare prevederebbe di filtrare integralmente tutti i social network, cercando di limitare il più possibile l’utilizzo di dispositivi mobili aziendali. Di dispositivi personali, poi, meglio non parlare proprio. Purtroppo questo approccio si dimostra fallimentare sul lungo periodo. Gli utilizzatori, infatti, riterranno i blocchi ingiusti, cercando continuamente di aggirarli. La diffusione di dispositivi mobili, invece, non potrà essere bloccata nei confronti del top-management. Ci si troverà, quindi, di fronte a continui tentativi di violazione delle policy aziendali, di cui qualcuno prima o poi andrà a buon fine, mentre tutte le informazioni aziendali più preziose saranno in viaggio assieme ai dispositivi delle figure apicali. Questo porterà a scontento degli utenti, un falso senso di sicurezza da parte di tutti e ad una discreta quantità di minacce non gestite che rischieranno di creare danni seri al business aziendale, a fronte di un produttività aziendale abbassata dal malcontento.

Per questa ragione si rende necessario comprendere appieno il “fenomeno social” e stabilire una efficace strategia di gestione ed utilizzo. I dispositivi mobili aziendali devono essere una risorsa che permetta di lavorare meglio, non soltanto un rischio. Gli strumenti tecnologici per ottenere questi risultati esistono oramai da tempo sul mercato. Forse quel che manca è la sensibilità al tema e la voglia di affrontare il problema.

Relativamente ai Social Network grande cura va evidentemente prestata nella loro gestione, tenendo presenti aspetti che il Marketing da solo non può gestire, e per questo il CSO dovrebbe essere coinvolto nel processo. Non tutti i contenuti, inoltre, sono dannosi o inutili, per cui una buona politica di gestione degli accessi non ai portali, ma ai contenuti, andrebbe stabilita.
Alcuni rischi, infatti, sono facilmente identificabili, come ad esempio la perdita o il furto del dispositivo. In questo caso ci si espone all’accesso in prima battuta ai dati memorizzati sul dispositivo. Dimenticando troppo spesso che sul dispositivo stesso sono memorizzate le credenziali per accedere alla rete aziendale via VPN o via WiFi, permettendo quindi ad un eventuale malintenzionato, o semplice curioso, di accedere a risorse ben più critiche di quelle memorizzate sul dispositivo stesso. Si trascura a volte anche la possibilità di usare i social o la semplice e-mail aziendale configurata sul dispositivo per impersonare il suo possessore, a volte con rischi anche economici rilevanti (si pensi alle truffe che invitano clienti a bonificare del denaro su un conto diverso da quello aziendale o chiedono ad un interno di trasferire del denaro, comunicare credenziali o altro).

Ancora estremamente sottovalutato è invece il rischio “infezione”, vale a dire che una applicazione malevola esegua sul device operazioni non volute. Il codice in oggetto può essere contenuto in una applicazione scaricata dallo store di riferimento, essere una “app” di un social, provenire da un sito visitato intenzionalmente (ad esempio cliccando su un link contenuto in una pagina web o in una mail) o inconsapevolmente (dai shortlink ai QR Code). Si è già assistito a campagne basate sull’utilizzo di volantini cartacei che riportano QR Code, ad esempio, che conducono ad un sito malevolo atto ad infettare una particolare release di sistema operativo di un particolare telefono. Fino ai fax che contengono link scritti a mano che si invita a visitare…
Il dispositivo mobile, quindi, va visto oramai come un PC a tutti gli effetti: sia per i rischi che corre, sia per la sua potenza. Un dispositivo mobile può tranquillamente gestire uno scan di rete, un attacco di brute force per indovinare le password, essere usato per inviare spam e phishing. Tutto senza rallentare eccessivamente il dispositivo, quindi senza danneggiare la “user experience” dell’inconsapevole utilizzatore.

Si pensi ad esempio ad un dispositivo infettato durante la navigazione tramite la rete 3G o LTE, che poi inizi a fare scansioni della rete aziendale una volta collegato al wireless aziendale. Questo è uno dei tipici rischi ancora troppo sottovalutati, assieme al fatto che un dispositivo di tal genere possa essere usato come testa di ponte, vale a dire che offra un accesso remoto in VPN ad un attaccante, mentre è collegato alla rete WiFi aziendale, creando così un canale diretto verso la rete corporate, scavalcando il firewall e tutte le misure perimetrali adottate.
E non esiste un marchio o un prodotto esente da rischi: abbiamo già assistito a efficaci dimostrazioni di come tutte le release di tutti i vendor per ogni piattaforma siano incappate in gravi falle di sicurezza o si prestino, con maggiore o minore complessità, ad essere infettate con applicazioni malevole.

Purtroppo il fenomeno “malware per mobile” è ancora così trascurato che la percentuale di dispositivi mobili protetti con l’apposito prodotto antivirus (indipendentemente da marca e modello) è ad oggi risibile. Una azienda che oggi voglia stabilire una corretta e coerente security policy non dovrebbe permettere che questo accada ai suoi dispositivi. Soprattutto osservando i trend di mercato. Con numeri a volte diversi, tutti i produttori di “antivirus per piattaforme mobili” riconoscono lo stesso trend: aumento esponenziale degli strumenti disponibili, delle minacce reali, delle tecniche di attacco, nonché delle intrusioni andate a buon fine. [Fig. 1]
Clusit
Se poi l’analisi si dovesse spostare sui rischi degli incidenti sui social il panorama sarebbe ancora più preoccupante.
Abbiamo già assistito in passato ad esempi eclatanti dell’uso di piattaforme social per accedere a dati aziendali rilevanti: si pensi all’articolo “Facebook from a Hacker’s perspective” pubblicato da Kevin Finisterre nel 2009 (http://snosoft.blogspot.it/2009/02/facebook-from-hackers-perspective.html). Tramite l’uso intelligente di Facebook si è riusciti ad ottenere un accesso in VPN alla rete di una azienda, con credenziali dai diritti decisamente rilevanti.

Si pensi poi a veri e propri incidenti, come quello che ha dovuto gestire Alpitour lo scorso anno, dove il banale furto di una password ha esposto un brand di primaria rilevanza nazionale a dover gestire un rischio rilevante per i propri clienti, con una possibile perdita economica tutt’altro che trascurabile. Sono finiti gli anni ‘90, quando se prendevano possesso di un tuo asset si limitavano a farsi beffe delle tue misure di security. Oggi dobbiamo affrontare criminali veri, interessati esclusivamente al denaro, che non usano la pagina in questione per dichiarare la propria superiorità tecnica, ma per infettare il maggior numero di device possibile, cercando di indurre i clienti a cliccare link che portano a siti malevoli.

Questo tipo di attacco è più pericoloso perché non immediatamente evidente, non immediatamente  rilevabile e quindi destinato a raccogliere vittime su tempi più lunghi. D’altro canto, considerando lo scenario di oggi, si trattasse di vandali (perché la parola terroristi ad oggi rischia di essere ancora sovradimensionata, ma non troppo) il messaggio non sarebbe più “ha ha io sono più bravo di voi perché vi ho bucati”, ma sarebbe “Questa azienda è malvagia, perché viola i seguenti dettami morali/etici/religiosi comportandosi in questo modo non accettabile”. Inutile dire che il secondo tipo di messaggio è decisamente più rilevante in termini di perdita di reputation per il brand che dovesse subire tale intrusione, soprattutto su piattaforme dove oramai la frequenza di accesso da parte di possibili clienti rischia di superare quella delle campagne DEM, del blog aziendale o del sito istituzionale.

Il peccato originale sta all’importanza che viene attribuita al “mondo social” che, come già detto, viene visto esclusivamente come rischio di una perdita di tempo da parte dei collaboratori, quindi da filtrare punto. Manca ancora la consapevolezza che quel che avviene in “quel mondo” non è “altro rispetto a quel che avviene nel mondo reale”. Non parliamo, infatti, di due realtà distinte ed indipendenti, ma di uno scenario complesso dove le conseguenze di quel che accade sono pervasive.

Se dieci anni fa qualcuno mi avesse raccontato che con un “tweet” si potevano far perdere ingenti quantità di denaro forse avrei sorriso. Temo abbiano sorriso meno coloro che hanno visto sfumare il proprio denaro [Fig. 2] quando dopo avere violato l’account di Associated Press qualcuno ha postato una notizia dell’ultimo minuto circa un attentato alla casa bianca
[Fig. 3].
Clusit
Clusit
Per questa ragione diventa necessario prendere coscienza di tutti i rischi che questi strumenti possono creare, al fine di indirizzarli nel modo corretto, con la tecnologia che, per nostra fortuna, già abbiamo a disposizione.

a cura di Alessio Pennasilico

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.