Post di Dario Maggiorini, Direttore di TechBusiness e professore presso l’Università degli Studi di Milano –     

Il malware sappiamo tutti molto bene cos’è: si tratta di una tipologia di software che si installa su un dispositivo e agisce contro gli interessi del suo proprietario. Ci sono malware che cifrano i dati e ci chiedono un riscatto (e li chiamiamo ransomware), altri invece iniziano a guardare tutto quello che facciamo e lo comunicano all’esterno (spyware). In generale, tutti sono a caccia di una cosa molto preziosa: i nostri dati.

Il problema di molti è che, quando pensano al malware, lo associano esclusivamente ai PC, sottovalutando il fatto che questi tipi di software possono insinuarsi anche nei nostri telefoni. Del resto, la distanza tecnologica tra computer portatili e smartphone si è drasticamente ridotta in questi ultimi anni.

Questa consapevolezza è però emersa recentemente, e in modo burrascoso, a seguito della vicenda che ha coinvolto Paragon Solutions: un’azienda israeliana produttrice di un software, Graphite, che è stato usato per mettere sotto controllo (secondo i dati divulgati al pubblico) i cellulari di circa 90 persone, tra cui anche giornalisti. Il contagio è stato effettuato con una modalità zero-touch, ovvero senza richiedere ai proprietari di interagire con un link o con un allegato come invece accade nei casi più classici.

Stiamo correndo un rischio?

Esulando dall’aspetto politico, oggi molti si chiedono se anche i loro cellulari siano suscettibili a questo tipo di attacco e come proteggersi. Avere il proprio cellulare sotto controllo rappresenta una violazione molto profonda della privacy, non solo per i dati contenuti nel dispositivo stesso, ma anche perché questo è dotato di un microfono, una fotocamera e un GPS sempre attivi e pronti all’uso. Se poi si tratta di un dispositivo che usiamo per lavoro, la situazione diventa ancora più critica.

La brutta notizia è che sì, siamo tutti a rischio. Ed è anche vero che questi tipi di malware non sono stati inventati da Paragon Solutions, ma esistono già da anni. Senza andare troppo lontano, è di circa una decina di anni fa il caso dell’azienda italiana Hacking Team, che commercializzava un prodotto in grado di sfruttare la stessa tipologia di vulnerabilità, sempre sui cellulari.

Un malware di questo tipo, però, non è diverso da quelli che si attivano cliccando su un link dannoso come nel classico phishing. Cambia solo la modalità di attivazione: questi si innescano con procedure automatiche che il nostro telefono avvia al ricevimento di un messaggio o di un allegato di posta. Se ci pensiamo, quante volte il nostro antivirus ci ha segnalato un rischio anche solo per l’apertura di una pagina web, pur senza aver cliccato su alcun link al suo interno? La chiave, a questo punto, è inquadrare il fenomeno nella giusta prospettiva e capire che cosa si può fare per contrastarlo.

Quanto è probabile essere vittime di un contagio zero-touch?

Onestamente, poco, a meno che non siamo bersagli di una certa importanza come soggetti politicamente esposti. Anche le vulnerabilità che consentono gli attacchi zero-touch possono essere eliminate con un aggiornamento software. Si innesca però una dinamica piuttosto bizzarra: chi implementa questi attacchi non ha alcun interesse a diffonderli su larga scala, anzi, è l’ultima cosa che desidera.

Avere il proprio cellulare sotto controllo rappresenta una violazione molto profonda della privacy. Se poi si tratta di un dispositivo che usiamo per lavoro, la situazione diventa ancora più critica.(Designed by Freepik)

Perché, quando un attacco diventa di dominio pubblico, il produttore del telefono interviene molto rapidamente a protezione del proprio business, annullando quello che di fatto è un asset degli attaccanti. Per questo motivo, è decisamente più conveniente limitare l’uso di questi strumenti a pochi soggetti che detengono dati di forte interesse, chiedendo invece a chi li vuole usare somme molto alte. Quindi, sebbene siamo tutti potenziali bersagli, è importante valutare se i dati nel nostro dispositivo giustificano economicamente un attacco mirato nei nostri confronti.

Come possiamo difenderci?

Per proteggerci dai malware – e qui possiamo allargare il discorso anche a quelli più classici che richiedono interazione – vale il vecchio adagio: meglio prevenire che curare. È estremamente più importante, a mio parere, impegnarsi a tenerli fuori piuttosto che contenerli ed eliminarli quando li abbiamo già nel dispositivo.

Sicuramente, installare un antivirus per il nostro telefono è un buon inizio, e ci sono ottimi prodotti disponibili sul mercato. Alcuni fornitori di servizi antivirus enterprise danno, oltre al controllo remoto tramite operatore di sicurezza, anche la possibilità di creare all’interno dello stesso dispositivo ambienti separati e distinti per i dati personali e aziendali.

Un’altra opportunità è quella di far monitorare i contenuti da una terza parte prima che arrivino sul nostro dispositivo. Questo si fa oggi solo con la posta elettronica aziendale, ma può contribuire molto a farci stare più tranquilli. Vale non solo per i link nei messaggi, ma anche per tutti i contenuti che si annidano nella struttura interna delle mail, che ormai sono vere e proprie pagine web. Qualcuno non è d’accordo sul fatto che ci sia una manipolazione dei messaggi di posta in arrivo ma, personalmente, lo vedo come un piccolo prezzo da pagare, soprattutto a livello aziendale.

Le buone pratiche personali

Infine, è bene adottare delle buone pratiche personali per evitare di esporsi a rischi inutili. Banalmente, tenere sempre aggiornato il proprio dispositivo, sia per il sistema operativo sia per le applicazioni. Inoltre, è importante sostituire il telefono quando questo non riceve più aggiornamenti di sicurezza dal costruttore, anche se ciò implica qualche scomodità. Altrimenti è come lasciare la porta di casa con una serratura che sappiamo essere non sicura, solo perché ci troviamo bene con la forma della maniglia. A volte, purtroppo, le aziende hanno tempistiche di sostituzione che non tengono conto del supporto garantito dal costruttore: chi si occupa degli approvvigionamenti dovrebbe invece tenerne conto.