Il tempo di Immuni, l'ormai famosa app "di Stato" per la mappatura dei contatti e dei contagi, si avvicina: Domenico Arcuri, il commissario all'emergenza, ha parlato di fine Maggio. In quel periodo l'app dovrebbe essere definitiva, pronta per essere installata sui dispositivi dei cittadini. Il quadro privacy risulta piuttosto definito, con l'emanazione del decreto legge del 30 Aprile 2020, nr.28 (per approfondire leggi qui). Eppure ancora la discussione attorno a questa app non si placa: la community di cyber security e Infosec infatti lancia l'allarme sicurezza. I rischi informatici sono infatti dietro l'angolo e non tutti derivano da software in sé.
In prima battuta c'è da aspettarsi che i cyber criminali decidano di sfruttare il momento del rilascio dell'app per il download sui dispositivi, mettendo in circolazioni falsi siti web e false app, magari anche molti simili, nella veste grafica, al sito e all'applicazione legittimi. Tre sono i fattori che possono aiutare i cyber attaccanti: paura, responsabilità, scarsa dimestichezza diffusa con tecnologie e cyber sicurezza. Mirare all'anello debole della catena, cioè le persone, è sicuramente più facile che puntare a "scassinare" il codice di un app di Stato, perennemente sotto i riflettori, cercando bug da sfruttare.
Chi scaricherà l'app si presume infatti voglia tutelarsi contro il virus difendendo se stesso, ma anche contribuendo alla complessiva lotta ai contagi, ma è difficile ignorare come, in termini di cultura delle sicurezza dei dati e di consapevolezza e dimestichezza con la tecnologia, in Italia non brilliamo affatto. C'è da aspettarsi quindi che i cyber attaccanti tenteranno anche la strada dei falsi alert, magari molto simili a quelli inviati legittimamente dall'app, ma contenenti link a siti compromessi.
Oltre a questo, ci sono altri rischi che si concentreranno, molto probabilmente sui due cardini di questa applicazione: la tecnologia bluetooth e i server dove verranno memorizzati questi dati. Anzitutto, rispetto ai server, va detto che è stato "scelto" il modello decentralizzato: non tutti i dati in un solo server, ma suddivisi su più server. Una scelta imposta nei fatti da Google e Apple: senza l'API prodotta da Google e Apple le app di "Stato" non potranno sfruttare pienamente il bluetooth su Android e iOS, ma BigG e Apple hanno imposto il modello decentralizzato per poter utilizzare l'API. Inutile dire quanto potrebbe essere rischioso un data breach, qualora questi server dovessero venire violati: la normativa prevede l'anonimizzazione dei dati, ma lascia spazio alla pseudonimizzazione laddove non sia possibile anonimizzare i dati. I metodi che consentono di ricollegare dati psedonimizzati alla singola persona sono molteplici.
Infine i rischi sul bluetooth: anzitutto l'app per funzionare dovrà avere sempre il bluetooth attivo e sempre impostato sulla modalità di ricerca dispositivi, esponendo nei fatti il dispositivo a tutti i tipi di attacchi già conosciuti (sperando non ne nascano di nuovi) che possono essere lanciato sfruttando il bluetooth. Nel Settembre 2018, ad esempio, fu scoperto BlueBorne, un insieme di ben 8 falle nel protocollo di sicurezza bluetooth presente in qualsiasi dispositivo, indipendentemente dal sistema operativo in uso: sfruttare BlueBorne consente di avere accesso a tutti i dati del dispositivo. Le 8 falle sono state risolte, ma qui si apre il solito problema di sempre: se talvolta i produttori non sono celeri nel risolvere le falle, gli utenti si dimostrano spesso ancora meno celeri nell'installare le patch. Altro esempio: a Febbraio di quest'anno Google ha corretto su Android la falla chiamata BlueFrag, che consente, via bluetooth, di prendere il controllo completo di un dispositivo e rubare dati.
Insomma i rischi sono molteplici e non può essere diversamente: non esistono sistemi 100% inviolabili. Se dalla parte dell'applicazione e dei server sarà competenza dello Stato e di Bending Spoon (l'azienda che ha sviluppato l'app) garantire la sicurezza, dall'altro lato grande parte la giocheranno gli utenti stessi, che saranno responsabili di installare soluzioni di sicurezza sui propri dispositivi, tenerli aggiornati e acquisire quella competenza minima necessaria a stare alla larga da copie compromesse del sito web e dell'applicazione ufficiale.
Nessun commento:
Posta un commento