Il futuro della sicurezza dei nostri terminali secondo Kaspersky lab

Recente si è tenuta a Londra l'evento CyberSecurity for the Next Generation, organizzato da Kaspersky Labs.

In tale occasione, Stefano Ortolani, security analyst per Kaspersky Labs, si è confrontato con alcune testate giornalistiche su alcuni dei temi più attuali e relativi alla sicurezza informatica.

Una delle più grandi innovazioni tecnologiche degli ultimi anni è senz'altro quella legata allo storage dell'enorme quantità di dati che ogni giorno produciamo, soprattutto dopo l'avvento di smartphone e periferiche d'ogni sorta. La possibilità di svincolarsi dall'unità fisica, in favore di una modalità fruibile in ogni dove, attraverso la rete, è senz'altro accattivante ma non è priva di limitazioni tecnologiche. La rapida diffusione delle tecnologie in cloud, come anticipato è soggetta a dei limiti: 

1. I costi rimangono elevati, infatti, tutto quello che non si ha più "in casa" e che è gestito dal proprio partner ha certamente un costo, magari più ridotto grazie all'economia di scala, ma che non può diventare troppo ridotto. 
2. Passare al cloud può semplificare le cose, magari sollevando dall'incombenza della gestione dell'hardware necessario a supportare i servizi necessari a un'azienda, ma le prime fasi di passaggio dalla gestione tradizionale a quella cloud possono avere un grado di complessità elevato. 
3. Per ottenere il meglio dal cloud è necessario che sia costruito tenendo ben presente tutti i servizi con cui l'infrastruttura deve andare ad integrarsi: sottovalutare il discorso dell'integrazione con i servizi e l'infrastruttura già esistente può portare da un lato a un netto rallentamento nella fase di setup del cloud, dall'altro a un netto sotto sfruttamento delle potenzialità delle tecnologie. I programmi di gestione della forza lavoro, gli eventuali database Oracle e SAP, tutto deve rientrare in una strategia globale affinché di possa beneficiare al meglio dei vantaggi del cloud. 
4. Dalle ricerche di mercato effettuate da HP e dai propri partner emerge come una fetta molto consistente degli IT manager (75%) sia convinta che il cloud sia imprescindibile per il futuro ma più della metà di essi è preoccupata da istanze come la sicurezza. Sicurezza che riguarda i propri dati, ma anche quella dei propri clienti. 
5. Le nuove tecnologie spesso presentano nuove istanze al legislatore e in una fase iniziale di sviluppo si trovano a dover rientrare nelle maglie di un sistema legislativo e di regolamentazione non specifico o aggiornato. Da questa discrepanza possono emergere istanze che frenano la diffusione dei nuovi servizi. Un esempio è la conformità alle policy di trattamento dei dati personali come quelli generati dai pagamenti con le carte di credito: per affidare a terzi questo tipo di dati sensibili è necessario che il servizio garantisca la massima conformità alle regole vigenti nel paese. 
6. Anche la mancanza di standard rallenta la diffusione del cloud nelle tessuto produttivo, sia a livello italiano sia a livello mondiale: inutili complicanze nel passaggio da un sistema all'altro, necessità di riprogettare da zero la struttura se si decide di cambiare vendor con impossibilità per i diversi player di fare interessanti proposte concorrenziali di passaggio ai propri servizi a causa di quello che comporta in termini di costi.

Cosa ne pensa Ortolani? 

Il problema è abbastanza articolato: conservare in cloud, quindi in un data center, dei dati può essere considerato più sicuro rispetto alla memorizzazione in locale. Si suppone che l'infrastruttura cloud, sia essa pubblica, privata, o ibrida, disponga di soluzioni valide per la protezione d'accesso, oltre a una strutturata procedura di backup e di continuità del servizio. C'è però un problema: l'accentramento dei dati in un unico data center, e l'accentramento di dati provenienti da più utenti, più aziende e quant'altro costituisce un rischio potenziale in caso di intrusione con un immaginabile effetto catena.

Inoltre, per chi gestisce questi dati non è semplice effettuare controlli e rilevare potenziali azioni malevole. Anzi, lato utente in nome della riservatezza viene chiesto di non accedere ai dati stessi ricorrendo ad esempio alla protezione crittografica. Per trovare un soluzione si stanno affacciando varie soluzioni tra cui l'utilizzo della crittografia omomorfica che, senza entrare in complicati dettagli, permette di effettuare delle operazioni sui dati cifrati, quindi eventuali archivi possono essere controllati senza la necessità di accedere al dato che per tutto il processo rimane criptato. A questo indirizzo sono disponibili ulteriori approfondimenti e dettagli.

Il security analyst di Kaspersky Labs si è poi espresso sui rischi legati ai tablet:

Parlando di soluzioni basate su Windows i rischi sono i medesimi di quelli tipici di un PC e in parte vengono mitigati dall'utilizzo delle app in Modern UI, ma sull'argomento ci torneremo oltre. Per quanto riguarda iOS al momento il pericolo è del tutto limitato, anche se la crescente diffusione di tale piattaforma potrebbe catalizzare l'attenzione del cyber crime. Apple ha però messo in atto un sistema di verifica e validazione delle app che per il momento si è dimostrato valido; altrettanto non si può dire di Android, piattaforma per la quale esistono svariati malware e in passato alcuni di essi sono stati anche distribuiti attraverso lo store ufficiale Google Play.

Per quanto riguarda gli ultimi arrivati Surface RT ci sono ancora pochi elementi per effettuare valutazioni.

Ortolani ha però voluto sottolineare un aspetto discriminante tra l'architettura x86 e ARM: la prima utilizza istruzioni di lunghezza variabile permettendo così exploit di tipo Return-oriented programming (ROP) nel momento in cui il codice malevolo è in grado di controllare il call stack: in questa situazione è possibile bypassare anche protezioni di code signing o di non-executable memory; per la seconda, il set di istruzioni ha lunghezza fissa di 32bit, quindi il problema appena descritto tipico di x86 non sussiste.

Va però precisato che esistono set di istruzioni a 16 bit denominati Thumb che agevolano la creazione di codice su piattaforme meno performanti. In situazioni in cui vi siano parti di codice realizzate con istruzioni a 32bit e altre con elementi a 16 bit è potenzialmente possibile rientrare nelle problematiche di Return-oriented programming (ROP).