Sappiamo tutti come le applicazioni mobile siano diventate veri e propri strumenti abilitatori di molte attività della nostra vita quotidiana privata e professionale. Con un’app gestiamo contatti e relazioni, con un’altra la nostra spesa, con altre ancora possiamo collegarci alla rete aziendale, disporre transazioni finanziare e persino far funzionare i nostri elettrodomestici di casa.
Una mole impressionante di dati viene ogni giorno attivata e gestita tramite app. Molti di questi dati, naturalmente, sono sensibili. Erroneamente, si tende a pensare che gli app store forniscano applicazioni sicure. In realtà nessuna applicazione oggi è immune da un attacco hacker. Addirittura, secondo Gartner, il 75% delle applicazioni mobile fallirebbe i test basilari di sicurezza.
E un’app, in definitiva, si può rivelare l’apriscatole con cui un criminale informatico riesce a portare attacchi fraudolenti – in ambiti quali gaming, banking, viaggi, retail, intrattenimento o sanità – infiltrandosi nelle nostre vite o tra le risorse di un’organizzazione per appropriarsi di dati e beni altrui o eseguire a proprio piacimento azioni per conto di altri.
Il ruolo dell’Identity Access Management nelle app
Più che di sicurezza in generale, quindi, nel mondo mobile dovremmo piuttosto parlare di Identity Access Management, ossia di tecnologie di autenticazione per la gestione delle identità. Se è indubbio che l’autenticazione sarà sempre più una caratteristica delle applicazioni mobile, la domanda fondamentale diventa la seguente: vogliamo implementarla semplicemente per fornire l’accesso a un utente o vogliamo che sia realmente parte integrante di un’app? La maggior parte degli attuali modelli di sicurezza, infatti, prevede che le applicazioni mobile siano protette da un modulo separato e a sé stante.
Questa è una delle principali ragioni per cui assistiamo a così tanti incidenti. Infatti, quando un criminale informatico riesce a superare il modulo di sicurezza – ipotesi per niente difficile – ha mano libera per abusare delle funzionalità dell’app e portare a buon fine le proprie intenzioni. Per fare un passo avanti, dunque, è necessario che le componenti della sicurezza siano integrate nel cuore delle applicazioni, ovvero nel loro codice applicativo, dove risiede la sorgente delle loro funzionalità. Un’applicazione che incorpora la sicurezza nel suo codice applicativo può essere utilizzata in qualsiasi ambiente, anche in quelli non sicuri: come le tante reti Wi-Fi pubbliche – ad esempio in hotel, bar o aeroporti – che utilizziamo sempre più spesso.
Sicurezza delle autenticazioni significa fiducia dell’utente
Se il codice applicativo è protetto, non è infatti possibile impadronirsi delle sue funzionalità neanche se si riesce a ottenere l’accesso all’applicazione. Ecco perché la completa integrazione della sicurezza e dell’autenticazione nel codice applicativo è indubbiamente una soluzione vantaggiosa e consentirà al “trust” di diventare parte integrante di un’applicazione. Sul mercato esistono tecnologie come la RASP (Runtime Application Self-Protection) che operano proprio in questo modo e consentono all’applicazione di auto-proteggersi, bloccando una serie di vettori di attacco, quali malware, attacchi del tipo Man-In-The-App e quelli che sfruttano le vulnerabilità del sistema operativo.
Molti, però, possono avere qualche timore nello scegliere questa strada in autonomia, auspicando invece di lasciare la buona gestione dell’autenticazione nelle mani di un esperto e potendo beneficiare della stessa tecnologia di autenticazione, usata per le applicazioni RASP, in modalità di servizio reso disponibile attraverso apposite interfacce di programmazione (API). Ed è questa una strada su cui VASCO lavora da tempo grazie ai propri programmi di Ricerca e Sviluppo. Quando si tratta di gestire un ambito così importante come l’autenticazione, tuttavia, non è rilevante soltanto la componente tecnologica ma occorre la certezza che un’API esegua esattamente ciò che ci si attende. E, al di là di ogni possibile documentazione o certificazione, diventa fondamentale l’esistenza di un rapporto di fiducia tra l’utente del servizio e chi lo eroga. In quest’ottica è prevedibile, quindi, la formazione di ecosistemi trust in cui aziende ed organizzazioni si affideranno a chi, come VASCO per i propri clienti, rappresenta da sempre un partner consolidato e affidabile per la sicurezza delle autenticazioni.
* Scott Clements, President e COO – VASCO Data Security