Ok, la notizia non è nuova: il trojan Zeus, che punta principalmente al phishing di credenziali bancarie e che già aveva una versione per cellulare, a quanto pare si è organizzato per coordinare gli attacchi fra PC e cellulare, e superare quindi anche le protezioni dei meccanismi in cui attraverso il cellulare viene fornito un numero per l’autenticazione della transazione in corso sul PC. Se consideriamo che in molti casi i cellulari vengono sincronizzati con il pc (agenda, rubrica…) la possibilità che un utente si trovi entrambi infetti è probabilmente meno remota di quello che sembra. È la solita corsa al riarmo fra attaccanti e difensori… ma questo episodio mette in evidenza un punto importante, una di quelle cose che più o meno tutti sanno ma di cui si parla troppo poco: con la tendenza attuale, i cellulari non sono minimamente più sicuri dei pc per quanto riguarda la possibilità di installazione di malware, e questo perché qui più che altrove è in atto il “creeping featurism”, la continua aggiunta di funzionalità che lo rendono complesso e ingestibile quanto e più di un pc. È chiaro che lo sviluppo dei cellulari non ha la sicurezza come fattore importante, e questo perché i cellulari vengono comprati in base ad altri criteri. Ho recuperato questa notizia per ribadire un altro concetto noto da tempo: per ottenere della vera sicurezza per transazioni, firma digitale ecc. serve un componente semplice, verificabile, fidato e dedicato che gestisca le credenziali e permetta all’utente di gestire l’autenticazione/firma e di vedere le informazioni di base della transazione. Per intenderci, stiamo parlando di un oggetto tipo “smart card con tastierino e piccolo display” che permetta di inserire localmente il pin e di vedere una descrizione sintetica della transazione. Il cellulare in origine sembrava ideale (ha la SIM, la tastiera e il display), ma poi ha ceduto sul punto più importante: non è più semplice e verificabile. Per funzionare, uno strumento di autenticazione di questo tipo non deve permettere installazione di componenti o interpretazione di formati di dati complessi (es. audio/video/html), altrimenti le vulnerabilità buttate fuori dal pc rientrano nel componente, che è quello che è successo al cellulare.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
