CyberSec (S01 E16 FINALE): Gli smartphones

La protezione dei nostri dati sugli smartphone

Il computer per come eravamo abituati a conoscerlo sembra divenuto, in molti casi, un nostalgico ricordo vintage. Oggi i dati della maggior parte degli utenti sono presenti su piccoli dispositivi portatili consultati in continuazione oppure viaggiano, costantemente, su telefoni, smartphone e tablet.

In questo quadro, si è generata una promiscuità molto diffusa tra l'uso personale e l'uso professionale di tali dispositivi, tanto che è sempre più difficile distinguere tra dati che sono consultati, in simili dispositivi, per ragioni di lavoro e dati che sono invece collegati alla vita personale del soggetto.

D'altro canto, molte realtà aziendali invitano i dipendenti a portare al lavoro, e usare, il loro dispositivo personale (Bring Your Own Device): il fine è, chiaramente, quello di utilizzare le capacità e le competenze già esistenti nell'uso di simili dispositivi per evitare lunghi tempi di apprendimento.

L’avvento dei moderni smartphones ha, di conseguenza, cambiato completamente il quadro della sicurezza informatica moderna, e i motivi sono essenzialmente due.

Il primo è che per funzioni, potenza, facilità d’uso e capacità di memoria si è ormai in presenza di veri e propri computer in grado di processare ma, soprattutto, di custodire migliaia di dati. Ciò significa che, improvvisamente, l’intera vita di una persona (si pensi soltanto alle e-mail, ai log delle chat, alle fotografie e ai video) si è trasferita su un piccolo dispositivo, cosa che prima non avveniva.

Il secondo punto è, tanto per rimanere in tema, che il dispositivo è “piccolo”, ossia che il danneggiamento, la distruzione, il furto e lo smarrimento sono diventati ormai cause tipiche di violazione non solo del dispositivo (con conseguente dispiacere per la perdita “fisica”) ma, soprattutto, del dato in esso contenuto, fatto che genera sovente danni ben più gravi.

Lo smarrimento, oggi, di uno smartphone può generare la perdita e la circolazione incontrollata di tantissimi dati personali, spesso sensibili. Cosa che era inconcepibile sino a dieci anni fa, quando i telefoni cellulari di allora contenevano molti meno dati. Per di più, se il cellulare dialoga con un braccialetto per il fitness o con una protesi (ad esempio acustica) può anche rivelare ulteriori dati sanitari del soggetto.

Ora, da dove occorre partire per organizzare un buon piano di sicurezza informatica e privacy per il proprio smartphone?

Come sempre, occorre partire da un’efficace analisi dei rischi che ci permetta di prevenire ogni possibile “accidente” che possa capitare al nostro smartphone e ai nostri dati.

I punti su cui dovremo ragionare, in particolare, sono i seguenti cinque:

i) blocco all’accesso del sistema operativo dello smartphone;

ii) blocco all’accesso dei dati o di certi tipi di dati contenuti nel telefono;

iii) cifratura delle informazioni che resista ad attacchi anche complessi;

iv) backup in tempo reale che ci permetta di “separare” i dati dal dispositivo e di tornare operativi in pochi minuti;

v) politica di privacy rigorosa sui nostri dati e, soprattutto, sui dati altrui.

Riflettiamo, velocemente, su ogni singolo punto di questa analisi del rischio sugli smartphones, e su quali siano le migliori modalità di reazione.

Il primo e il secondo passo, che sono alla base di tutto il sistema, sono di “chiudere” il proprio dispositivo, di blindarlo, ossia di far sì che chiunque lo trovi non vi possa in alcun modo accedere. Lo possa accendere, certo, ma non vedere i dati.

Ancor meglio, in teoria, sarebbe prevedere ben due livelli di chiusura. Un primo ostacolo per semplicemente accedere alle icone e al sistema operativo, e un secondo che protegga con password le cartelle, ad esempio, che contengono i messaggi di posta, le immagini e i video.

Il primo “muro” si ottiene impostando un PIN (che può essere sia quello della SIM sia quello del telefono o, perché no, tutti e due), il secondo si costruisce con una password necessaria per accedere alle informazioni ulteriori. In tal caso, chi verrà in possesso dello smartphone non potrà fare altro che tentare di entrare (quindi PIN e password non dovranno essere banali…) o rinunciare in caso di insuccesso.

Potrebbe capitare che colui che ha preso di mira il nostro smartphone non si spaventi dal fatto di vederlo bloccato in accesso da PIN e password, ma decida di portarlo in un laboratorio, suo o di terzi, per cercare di aggirare i sistemi di autenticazione sia sullo smartphone sia, eventualmente, operando su un computer che era stato connesso allo smartphone (cercando ad esempio dei vecchi backup in chiaro). Ciò non avviene comunemente, ma solo nei casi in cui il soggetto è specificamente preso di mira da un criminale informatico in quanto in possesso di dati importanti.

In questo caso, la cifratura dei dati (attivando, nelle impostazioni dello smartphone, la crittografia sulle informazioni contenute nel telefono) fa sì che anche in caso di copia dei dati aggirando i PIN o le password, la massa di dati recuperata risulti illeggibile.

Unire, poi, l’inserimento del blocco schermo o della richiesta di PIN all’attivazione del sistema di cifratura è il metodo migliore per far sì che questa procedura sia trasparente. Un telefono cifrato è in grado di resistere anche ad attacchi complessi, e di garantire una buona protezione ai dati in esso contenuti.

Se gli espedienti indicati poco sopra servono a un fine comunque essenziale, che è quello di far sì che chiunque ritrovi il nostro smartphone non possa accedere ai nostri dati, per l’utente che è rimasto senza telefono il problema concreto ed imminente è un altro: come fare a riprendere le attività subito, con un altro dispositivo, recuperando tutti i dati, la rubrica, le informazioni, etc.

In questo caso, l’unica soluzione è impostare un backup quotidiano, che può essere fatto sia sul cloud sia su un computer. L’importante è che sia fatto.

Oggi la gestione del backup è molto semplice, con app ad hoc o, semplicemente, collegando lo smartphone al computer. Anche il backup, si diceva, dovrebbe essere cifrato.

Infine, occorre ricordarsi che il grado di sicurezza dei dati del nostro smartphone è esattamente pari alla politica di sicurezza che adottiamo nella gestione dei nostri dati.

Se abbiamo l’abitudine di tenere tutti i dati sul telefono, compresi quelli sensibili e critici, e di inviarli anche a terzi, o comunicarli al mondo, i rischi per la nostra privacy saranno sempre alti.

Se, invece, trattiamo il nostro telefono come un “ambiente insicuro”, o di cui non ci si può fidare fino in fondo, o particolarmente vulnerabile, ed evitiamo di caricare i dati più sensibili, di tenere determinati toni nelle conversazioni o di effettuare certe comunicazioni, allora il livello della privacy sarà molto più elevato.

Avere sempre la percezione di quali dati noi inseriamo, e di come li diffondiamo, è il segreto per alzare o abbassare il livello di privacy delle nostre comunicazioni.