di  -  lunedì 15 settembre 2008

Le possibilità di utilizzo a disposizione dell’utente con i telefoni odierni sono diventate enormi, rispetto a qualche anno fa.

Con la potenza computazionale di smartphone e PDA-Phone siamo in grado di utilizzare suite office, navigare, comunicare tramite videoconferenza perché racchiusi in pochi centimetri di spazio ci sono dei veri e propri computer a permetterci queste operazioni.
Ma è altrettanto vero che maggiori sono gli usi e maggiori sono i pericoli a cui noi utenti siamo esposti.

Oltre ai tradizionali dati sensibili come la rubrica telefonica si sommano anche tutti quelli tipicamente memorizzati sui pc come gli indirizzi di posta elettronica, numeri di carta di credito per le operazioni di homebanking e acquisti online.

I recenti scandali sulle intercettazioni operate da mariti o moglie gelose hanno portato alla luce il fenomeno chiamato snoopware, cioè quella forma di spyware che è in grado di raccogliere informazioni sulle conversazioni e messaggi di testo.

In questo quadro di potenziali pericoli, il fatto che il mercato sia enormemente frammentato di certo non aiuta.

Gli operatori telefonici esercitano spesso e volentieri un controllo molto stretto sulle applicazioni da installare, il che apre di conseguenza le porte all’utilizzo, da parte dei produttori, di piattaforme aperte o di kit che renda la creazione di applicazioni homebrew.
Prima il rilascio del Software Development Kit per l’iPhone, il nascituro Android di Google e il futuro OpenSymbian di cui abbiamo recentemente parlato.

Gli sviluppatori sono diventati improvvisamente uno degli obiettivi primari per le politiche strategiche, influenzate dal modello Open Source che si è rivelato vincente anche nei modelli di business recentemente proposti.
Ma questo richiede anche un maggiore equilibrio tra le vocazioni di apertura e di ispirazione “open” e le necessità di sicurezza e di controllo delle applicazioni durante tutto il processo di deployment.

Symbian 7 e 8 avevano utilizzavano un’architettura che rendeva particolare semplice l’installazione e l’esecuzione di programmi compatibili senza alcun controllo di provenienza tramite firma digitali e accorgimenti affini e che avrebbe comportato una crescita esponenziale del malware disponibile nel breve-medio periodo. Per ovviare a questa situazione, Symbian 9 è stato progettato per essere molto più chiuso, una conseguenza che però, secondo Khoi Nguyen product manager Symantec, ha provocato enormi difficoltà da parte delle software house impegnate nell’ambito della sicurezza a fornire soluzioni ad hoc per device mobili.

Recentemente si è tenuto il CTIA Wireless I.T. & Entertainment show a San Francisco, dove Mark Kominsky, CEO di Bluefire Security Technologies ha affermato in 12-18 mesi saremo davanti ad uno importante spartiacque, qualcosa di simile a quel che coinvolse il settore dei notebook circa 20 anni fa’.

Banda larga, piattaforme open, poco controllo sull’installazione di software, utilizzo massiccio da parte di centinaia di milioni di utenti, sono gli elementi critici di un mercato che grazie all’espansione di Paesi emergenti come la Cina e l’India appare florido con più di un miliardo di unità venduti l’anno scorso.

Per questo si rende necessaria formazione da parte di utenze aziendali  e la creazione di una consapevolezza sui pericoli che si possono verificare specialmente in spazi pubblici con connessioni fornite da hot-spot.

5 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    carlos
     scrive: 

    Incredibile la tua visione del mondo open source e del free software. Ti consiglio un giretto su sul sito http://www.fsf.org per maggiore chiarezza sui benefici introdotti dal free software e più in generale dall’open source.

    Tra i quali maggiore controllo da parte dell’utente su quello che il device fa e non quello che “dovrebbe fare”. Non solo maggiore utilizzo del software open spinge gli sviluppatori stessi alla ricerca di una maggiore sicurezza non come l’attuale livello (quasi inesistente) di sicurezza proprietaria basata sulla peggiore difesa possibile (ovvero il non diffondere bene le specifiche del sistema di sicurezza).

    Altra piccola svista, anche in caso di critical vulnerability di un software open, qualsiasi sviluppatore, perfino chi ha scoperto la falla, ha la possibilità e il diritto di poter fixarla. Roba da poco in un mondo nel quale i dispositivi mobili ancora parlano di FIRMWARE mentre le cpu embedded sono ormai più potenti dei vecchi 486.

    Ciao, Carlos!

  • # 2
    Stargazer
     scrive: 

    E’ sempre la solita solfa no
    pericolo open -> vulnerabilità facile
    più che sicurezza per l’utente imho è più “il pericolo per le grosse multinazionali e software house e i loro profitti mancati”
    come wifi libero e telefonia mobile ad esempio :-þ

    Basta poco comunque per smascherare queste false informazioni mirate
    Prendiamo una persona esperta di pc e che pianifica le installazioni di software utile in base alle sue necessità scegliendo cosa installare tramite secunia o altro autorevole database sui rischi sicurezza e scelgiendo quindi i programmi meno usati e altrettanto validi
    Prendiamo un perfetto niubbo che basa le sue installazioni sulle maggiori marche e più conosciuti software in commercio e pagandoli profumatamente pure
    incasinamenti con norton a parte :D il niubbo sarà sicuramente più a rischio in quanto i software da lui usati sono talmente diffusi che sono i più gettonati da crackers e lamers di varia natura alla ricerca di nuove falle

  • # 3
    Jacopo Cocchi (Autore del post)
     scrive: 

    Immaginavo commenti di questo tipo.
    Prima che la discussione si trasformi in un “non sai una mazza di Open Source, leggiti questo, leggiti il resto” vorrei precisare un paio di punti.
    E lo faccio rispondendo a ciascuno di voi, con però una premessa doverosa.

    Avete visto “Open” e lo avete associato all’OSS, ma se leggete con più attenzione e vi soffermate ai concetti estrapolati, vi accorgerete che questa è una vostra erronea interpretazione.
    l’iPhone non utilizza una piattaforma OpenSource tanto quanto non la usano i Mac; MacOSX infatti non lo è, anzi è un sistema chiuso, forse il + chiuso che esista oggi come oggi tra i sistemi consumer (e il fatto che utilizzi porzioni di codice OpenSource, proveniente dal campionario BSD è un ALTRO paio di maniche che nulla a che vedere con la sua licenza e il suo tipo di proposta commerciale).
    Piattaforma open (open platform) non significa che sia una piattaforma OpenSource.
    I due concetti possono coincidere ma non necessariamente, come l’esempio dell’iPhone (ma anche Android mi pare, anche se non ne sono sicurissimo, non verrà rilasciato con licenza affine a GNU/GPL).
    Per cui consiglierei le prossime volte, una lettura un po’ meno frettolosa, se volete discuterne in proposito ;)
    Jmy2c, poi fate vobis naturalmente.

    x Carlos:
    “Incredibile la tua visione del mondo open source e del free software. Ti consiglio un giretto su sul sito http://www.fsf.org per maggiore chiarezza sui benefici introdotti dal free software e più in generale dall’open source.”

    Con molta umiltà ti rispondo che non ho alcun bisogno di leggere documentazione né di frequentare il sito della FSF perché sono anni che mi documento sugli argomenti più svariati, in merito alla sicurezza e non solo e apprezzo molte iniziative come quella portata avanti a proposito dell’incredibile vicenda dei brevetti software.
    La Free Software Foundation comunque non possiede né la Verità Assoluta in materia Open né stabilisce i dogmi secondo cui dovrebbero essere gestite le politiche open che per inciso vanno oltre la materia informatica ma coinvolgono come ho accennato nell’articolo anche ai modelli di business, perché è un insieme di metodologie.

    Per essere più precisi aborro qualsivoglia interpretazione del fenomeno Open che vada oltre la sua dimensione; e nello specifico rigetto personaggi alla Stallman che dividono la realtà secondo una concezione manicheista per cui o una cosa è bene (open) o una cosa è male (closed) per l’utente. E dopo averlo conosciuto personalmente lo trovo ancora più sgradevole, sconfessando quel poco di buono che pensavo di lui prima.
    Chi ha queste concezioni può trovare sfogo nella teologia o nella filosofia, non nell’informatica che è una materia prettamente pragmatica e utilitaristica.

    “Tra i quali maggiore controllo da parte dell’utente su quello che il device fa e non quello che “dovrebbe fare”. Non solo maggiore utilizzo del software open spinge gli sviluppatori stessi alla ricerca di una maggiore sicurezza non come l’attuale livello (quasi inesistente) di sicurezza proprietaria basata sulla peggiore difesa possibile (ovvero il non diffondere bene le specifiche del sistema di sicurezza).”

    Perdonami ma stai stai descrivendo in senso general generico un qualcosa che non esiste.
    L’attuale livello quasi inesistente di sicurezza proprietaria è una tua affermazione che non trova alcun riscontro nella realtà.
    Il sistema desktop/consumer ad oggi con meno vulnerabilità risulta Windows Vista ed è banalmente closed source.
    Uno dei sistemi più utilizzati per il segmento mission critical – vulnerabile è QNX ed è una versione commerciale di Unix ed è principalmente closed source (in realtà utilizza una doppia licenza, al pari di altri, ma la principale è closed). Per la cronaca presenta un quinto/un sesto le vulnerabilità di OpenBSD, che De Raadt continua a strombazzare come la versione BSD più sicura. E di esempi se ne potrebbero fare a bizzeffe (Opera VS Firefox e via dicendo)
    Ah questi per inciso sono dati che potete ritrovare in qualsiasi database pubblico di sicurezza come Secunia o affini.

    La verità è che, e i numeri lo testimoniano, non esiste una metodologia di sviluppo più sicura e non è possibile dimostrarlo aprioristicamente, perché ogni realtà va modellata con un particolare approccio che si dimostra di volta in volta il migliore in termini di problem solving.

    “Altra piccola svista, anche in caso di critical vulnerability di un software open, qualsiasi sviluppatore, perfino chi ha scoperto la falla, ha la possibilità e il diritto di poter fixarla. Roba da poco in un mondo nel quale i dispositivi mobili ancora parlano di FIRMWARE mentre le cpu embedded sono ormai più potenti dei vecchi 486.

    Ciao, Carlos!”

    Di firmware continueremo a parlare ancora per molto, finché le alternative come l’EFI non prenderanno piede in tutti i settori dell’informatica.
    Dici bene in ogni caso, “qualunque”. Ma chi mi assicura che quel qualunque non introduca un ulteriore bug fixando quello trovato?
    Un’altra comune critica che viene fatta al modello closed è che le tempistiche sono molto + alte rispetto a quelle open; a parte il fatto che il recente documento, che ho linkato a proposito dei pericoli nel web e il crescere del malware (e ti invito a leggerlo http://www.appuntidigitali.it/2180/sicurezza-web/ ), non si considera che tappare una falla non lo si può fare con una gara a chi ci mette meno ma deve seguire delle precise, standardizzate procedure per evitare che il workaround utilizzato non provochi altri comportamenti anomani (che poi andrebbero di nuovo analizzati e ri-sottoposti allo stesso procedimento).
    E’ il periodo di testing che fa la vera differenza in termini di tempistica ed è quella che intercorre tra le politiche di deployment utilizzate in una grande software house e quelle dove la gestione non è ben chiara e dove le mani le possono mettere “tutti” (il che non significa che il modello debba essere piramidale, ma ristretto a persone che sanno il fatto loro sì).

  • # 4
    Jacopo Cocchi (Autore del post)
     scrive: 

    x Stargazer

    probabilmente ho fatto male a non mettere il link alle varie fonti (ma lo faccio ora, scusandomi per l’inconveniente) http://www.arnnet.com.au/index.php/id;1664097075), tra cui la CTIA ma tengo a precisare che le analisi riportate, sono il frutto di un’elaborazione personale e di parole espresse da alcuni tra i massimi dirigenti delle software house più grandi e maggiormente impegnate nell’ambito della Security IT e non elucubrazioni partorite dopo un’indigestione di cozze (cito un cibo che personalmente non mi piace :)) dalla prima persona che passa.

    Nello specifico credo ci sia stato un misunderstanding tra il messaggio recepito e quello evidenziato che è poi il testo (quasi tutto) grassettato.
    La chiave del ragionamento è:
    mercato frammentato —> chiusura/blocco dei telefoni da parte degli operatori telefonici (ricordando che la formula imperante nel mondo è quella degli abbonamenti o piani prepagati in abbinamento ad un telefono sim/op-lock) —-> apertura a sviluppatori terzi tramite la pubblicazione di devkit quali quello iPhone oppure intere architetture come saranno probabilmente Android (anche se le licenze ad oggi non sono totalmente chiare) o alcune di quelle linux-based.

    L’apertura indiscriminata a sviluppatori terzi senza meccanismi di controllo che autentichifino l’installazione di applicazioni non certificate o sviluppate dalla casa madre apre evidentemente un problema di sicurezza, considerato che da una parte con i cellulari di oggi si può fare di tutto e di più e dall’altra i programmi si trovano nelle più svariate forme, installabili anche da semplici messaggi testo, come allegati.
    Questo è il succo del discorso.
    Non ho detto che le piattaforme Open né facciano schifo né siano più insicure a priori.
    E ribadisco che Open non significa per forza di cose Open Source, significa aperte a terzi
    .

    Per favore leggete bene :)

    E poi basta prendere articoli in cui ho trattato l’Open Source per capire che non lo disprezzo di certo.
    Lo contesto quando ha pretese di essere l’UNICA via e quando lo si vuole far passare per quello che non è, politicizzandolo.
    Anche perché non è la ricetta della nonna per cui il “prendila e poi passa tutto” funzioni; serve fare informazione, creare consapevolezza all’utente che deve imparare a utilizzare con criterio gli strumenti informatici e di comunicazione in generale (e sono politiche agnostiche alle tecnologie utilizzate)

  • # 5
    pageup
     scrive: 

    Io è da un anno che conosco un modo per loggarmi su un sistema linux da locale senza conscere la password (sotto determinate condizioni).
    Il bello è che se non avessi avuto i sorgenti non avrei mai potuto trovare il bug, visto che un algoritmo complesso come quello non si puo certo studiare partendo dall’assembly.
    Adesso cosa pensate che faccia, fanboy dell’open source, che lo dica a tutti dov’è o semplicemente sistemo il mio pc e continuo a usare l’exploit per entrare sui pc degli altri?
    Se pensate la prima siete degli ingenui.
    Alcuni amici piu sgamati di me ne conoscono addirittura piu di uno (non me li dicono pero…).
    La teoria secondo cui dati abbastanza occhi ogni bug viene alla luce funziona solo finche il numero di developer è maggiore dei cracker e la loro preparazione è migliore, altrimenti è un suicidio rilasciare i sorgenti.
    La verita è che linux e i software open source in generale erano al sicuro solo finche erano di nicchia, adesso che iniziano a diffondersi in massa si prenderanno pali da tutte le parti, come quello che scrive mail anonime a cesare.

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.