Cos’è la It consumerization? Rik Ferguson, global vice president security research di Trend Micro, si sofferma su questo punto prima di addentrarsi in quella che è oggi un’emergenza non più sottovalutabile: la crescita delle minacce sui dispositivi mobile.
“La consumerizzazione dell’It – esordisce Ferguson – è un fenomeno più ampio del Bring your own device”, cioè la facoltà per i dipendenti di utilizzare, nell’attività lavorativa, le proprie tecnologie personali. “L’It consumerization – continua il manager di Trend Micro – è l’utilizzo, nel business, di applicazioni e dispositivi progettati per un uso consumer. Parliamo di smartphone, tablet, videocamere, ma anche di social network e siti di file sharing e synchronization. L’It consumerization incrementa la superficie sui quali i criminali informatici possono esercitare i loro attacchi”. Uno scenario con il quale i responsabili It e della sicurezza devono imparare a fare i conti.
“Declinando ai tempi di oggi la legge di Parkinson secondo la quale il lavoro si espande fino a occupare tutto il tempo disponibile – continua il guru di Trend Micro –possiamo dire che i device aumenteranno fino a occupare tutti gli indirizzi Ip disponibili e che i dati cresceranno in proporzione alla capacità di storage accessibile”.
Nell’ottica della consumerizzazione It, la crescita dei dispositivi collegabili a Internet e alle reti aziendali vede giocare la parte del leone ai mobile device di derivazione consumer, come smartphone e tablet. Dispositivi che sempre di più contengono dati confidenziali e business critical nelle agende, nelle rubriche, nei registri delle telefonate, nelle raccolte di foto, video e file audio generati con le videocamere e i microfoni installati sul device. “Dati – spiega il global vice president security research di Trend Micro – che possono essere inviati a persone o siti inappropriati a seguito di errori nella configurazione e nell’utilizzo delle app, oppure essere sottratti dai criminali attraverso malware e attacchi mirati”.
Android come ieri Windows
Ce n’è abbastanza, insomma, per focalizzarsi con una particolare attenzione sulle minacce legate all’uso dei dispositivi mobile. E, in questo momento specifico, su quelli basati sulla piattaforma Android di Google, un sistema operativo aperto, che può essere adottato da diversi produttori hardware e sviluppatori di software. “Android – esemplifica ancora Ferguson – è diventato per i criminali informatici quello che Windows è stato negli anni passati. Ma bisogna dire che in soli tre anni è stata sviluppata per Android la stessa quantità di minacce che per Windows è stata creata in quattordici anni. A fine 2012 avevamo calcolato 130mila minacce per questo sistema operativo. A marzo 2013 siamo arrivati a oltre 500mila. Entro la fine dell’anno prevediamo il raggiungimento di un milione”.
Uno dei problemi principali dietro l’esplosione delle minacce su Android è “l’apertura della piattaforma – continua Ferguson – e la facilità con cui si possono caricare applicazioni malevole o a rischio sui diversi marketplace di app per questo sistema operativo. Spesso il malware si nasconde all’interno di app che possono essere scambiate per benigne, perché imitano applicazioni di gaming molto popolari. E questo malware è in grado di fare apparire pubblicità che attirano gli utenti verso siti di phishing, oppure prendere controllo di alcune funzionalità del dispositivo per raccogliere e inviare dati o sottoscrivere abbonamenti a servizi costosi”. Detto questo, Ferguson sottolinea come nessuna piattaforma mobile attuale o futura possa essere immune dai rischi. “Prevedo – aggiunge – la diffusione di kit di exploit multipiattaforma, in grado di riconoscere automaticamente il sistema operativo utilizzato”.
Quali le soluzioni per questo scenario? Una è l’utilizzo di soluzioni per la mobile security. Come Trend Micro Personal Edition, per esempio, che è integrata con il servizio Mobile App Reputation del vendor, il quale analizza e valuta l’affidabilità delle applicazioni scaricabili dai marketplace. “Ma l’elemento più debole – continua Ferguson – è sempre l’essere umano, che non controlla i permessi di accesso alle funzionalità del dispositivo richiesti dalle app scaricate, non configura i criteri di tutela della privacy sui social network, o la cui curiosità lo rende facile preda del social engineering. Per questo occorre agire anche su un cambiamento di mentalità da parte degli utenti e su un’educazione continua e che mantenga il focus di questi aspetti”.