Alla base del progetto (dal titolo Crypty Core SDK, risultato finalista ai Digital Awards 2022 per la categoria Information e Cyber Security) affidato a Crypty del Gruppo Uniquon da un importante gruppo bancario, c’era la necessità di implementare un canale di comunicazione sicuro per/da i clienti sprovvisti di adeguate protezioni sui dispositivi mobili e ripetutamente oggetto di attacchi hacker quali phising, smishing e malware.
Il progetto, in sintesi, ha previsto l’estrazione del core dell’esistente app della Piattaforma Crypty di Uniquon e lo sviluppo di un SDK/framework che ne permettesse l’integrazione delle funzionalità all’interno di applicazioni di terze parti.
Che cos’è Crypty
Crypty è una Piattaforma progettata specificamente per la comunicazione sicura, che condensa in un unico sistema, meccanismi di protezione delle informazioni e dei dati che agiscono su più livelli, per una user experience comunque facile e immediata. Tale soluzione è stata pensata per mettere in sicurezza: messaggi testuali e multimediali, chiamate, videochiamate e conference-call, trasmissione di file, trasmissioni di dati M2M e streaming.
Il progetto e lo sviluppo dell’SDK di Crypty è stato condotto mantenendo tutti gli aspetti tecnologici e architetturali originali di Crypty, rendendoli fruibili tramite libreria SDK.
In particolare, per questo progetto sono state rese disponibili varie funzionalità, a partire dalla crittografia end-to-end e dalle sofisticate tecniche per la rigenerazione continua delle chiavi. Sono stati creati canali client server autenticati con firme ED25519 e basati su TLS – Transport Layer Security, protetti ulteriormente con uno scambio di sequenze crittografate segrete, in modo da garantire protezione da attacchi man-in-the-middle. Si è costruito un archivio cifrato (i dati sono protetti anche da APP-Spy installate sullo stesso device dove si esegue Crypty). È stato, inoltre, adottato un sistema di threat detection appositamente progettato per la rilevazione di trojan, spyware, ransomware e malware in generale.
Sebbene Crypty non sia un antivirus e non protegga l’intero device, tuttavia l’area di memoria su cui risiede l’app e dove vengono archiviati (criptati) i media e i messaggi, è al sicuro.
In altre parole, l’applicazione fa sì che i dati siano inseriti in una «bolla» protetta con un meccanismo che opera in due fasi. La prima consiste in un’analisi statica, ossia nella rilevazione della presenza di programmi o servizi che accedono in modo inatteso a livello di root del sistema.
La seconda fase consta nella verifica delle firme delle applicazioni e, d’altra parte, nell’analisi dinamica ovvero nella rilevazione di traffico di rete anomalo, di utilizzi di porte non convenzionali e di attacchi effettivi o tentativi di accesso all’area di memoria di Crypty.
L’eventuale rilevamento di una potenziale minaccia è immediatamente comunicato all’amministratore dell’account. È possibile bloccare subito le comunicazioni e fare il reset dei canali di trasmissione e, se desiderato, procedere alla cancellazione dei dati e alla disattivazione dell’account e del dispositivo.
Tra le caratteristiche della soluzione vi è la possibilità di eliminare i messaggi senza che venga lasciata traccia sia sul dispositivo del mittente, sia su quello del destinatario, grazie a una funzione di auto-distruzione temporizzata con intervallo configurabile o con comandi di “wipe”.
È poi possibile usare il sistema in modo anonimo. Crypty è, infatti, svincolato da informazioni sensibili, quali nome, cognome, numero di telefono o indirizzi email. Gli utenti sono identificati tra loro solo con un codice o un nome, anche di fantasia: per chiunque è impossibile risalire ai soggetti fisici della comunicazione.
Il PIN di accesso all’app è distribuito in parte su dispositivo e in parte su server, il conteggio degli inserimenti è fatto su server. Questo è stato pensato per proteggere dalla clonazione del device e dalla forzatura del PIN. I metadati sono ridotti al minimo per supportare i canali di comunicazione (solo orari di accesso anonimi), non contengono informazioni sensibili e non sono messi a disposizione di terze parti.
L’SDK è disponibile in versione sia IOS che Android. Come avviene anche per le soluzioni in ambito militare, Crypty non è open source e ha il pieno controllo del codice sorgente.
L’uso di Crypty nel progetto
La Piattaforma di cybersecurity Crypty è già proposta in due modalità: cloud e on premises. Si tratta di soluzioni pensate per aziende che devono abilitare la comunicazione sicura internamente, tra manager o personale operativo, oppure esternamente con clienti, partners, fornitori, smart workers o consulenti.
In primo luogo, App su Piattaforma Crypty con server in cloud: è la modalità d’uso più rapida.
D’altra parte, è proposta App su Piattaforma Crypty “on premises”.. Richiede tempi di implementazione rapidi, che dipendono e variano a seconda della disponibilità del reparto IT dell’azienda cliente, che ha il compito di mettere a disposizione l’infrastruttura necessaria (macchine virtuali, connettività, gestione firewall eccetera) e fornire indicazioni per l’eventuale customizzazione di loghi e colori (opzione whitelabel).
Il progetto considerato in questo caso di studio ha richiesto lo sviluppo di una terza modalità che permettesse la fornitura di un SDK/framework per l’integrazione della comunicazione sicura all’interno di app già sviluppate o in via di sviluppo.
Il team di sviluppo di Crypty ha quindi separato il core di Crypty dalla componente di interfaccia grafica. L’attività non ha comportato modifiche al processo e alle metodologie di sviluppo già in essere.
È stata condotta inizialmente un’attività di analisi funzionale e progettazione per identificare gli ambiti di intervento e definire e mappare funzioni e metodi da includere nella libreria dell’SDK. Sono state poi eseguite attività di test e validazione ed è stata prodotta la necessaria documentazione di supporto all’integrazione.
Quali benefici sono stati ottenuti?
La possibilità di adottare una soluzione pronta “out of the box” dell’app e le diverse possibilità di implementazione della soluzione, dai server “on premises” all’SDK per l’integrazione del Crypty core in app già esistenti, permettono ai clienti di trovare un’adeguata soluzione per le proprie esigenze e avere riduzione del time to market così come completa brandizzazione dei servizi di comunicazione sicura.
Questo si aggiunge ai vantaggi propriamente legati all’utilizzo di Crytpy rappresentati prima di tutto dalla tutela dai rischi di intrusioni nelle comunicazioni sensibili. La soluzione di Crypty è stata progettata per mettere al riparo dalle gravi conseguenze di una sottrazione di informazioni e/o dati, da estorsioni da parte di cybercriminali, da danni economici e patrimoniali diretti quali la violazione di codici deontologici e contratti stipulati con clienti e da rivelazioni di informazioni di valore.
La soluzione protegge, così, da situazioni che espongono a rischi di procedimenti di responsabilità civile e danni di immagine, reputazione e fiducia. Tutti aspetti che diventano cruciali nei settori in cui la segretezza informativa è un requisito fondante del rapporto e talvolta anche imposto dalla normativa (è il caso dei settori finanziario, legale, assicurativo, sanitario, eccetera).
I clienti delle aziende che adottano Crypty, percepiscono una migliore qualità di servizio per il fatto di poter utilizzare un sistema dedicato e sicuro per le comunicazioni.
Inoltre, l’applicazione non incontra resistenze da parte degli utenti, anzi, è stato riscontrato che gradualmente, addirittura gli incontri personali spesso preferiti in caso di stringenti necessità di riservatezza, sono stati sostituiti con l’uso delle funzioni voce e conference-call di Crypty.
Alcuni clienti hanno evidenziato come Crypty si sia tradotto in un importante fattore di successo e indicatore di qualità, apprezzato dalla propria clientela, soprattutto in quei contesti in cui le informazioni sensibili sono numerose.
Sono risultati poi graditi utilizzo facile e immediato per cui non sono richieste competenze specifiche, l’interfaccia è intuitiva e immediata .
La soluzione è conforme alle disposizioni del regolamento generale sulla protezione dei dati GDPR, proprio perché non raccoglie alcun dato personale.
Infine, per quanto concerne l’utilizzo dell’SDK, nel caso di studio considerato, è stato riconosciuto il valore del supporto tecnico erogato al cliente e della chiarezza della documentazione a supporto. Il processo di integrazione dell’SDK non ha comportato rilevanti criticità e si è rivelato relativamente semplice.