Cerimoniale e romanticismi a parte, non v’è dubbio che la moda delle smart business card soddisfi esigenze di speditezza, economicità e rispetto dell’ambiente, eliminando l’uso della carta; ma, al contempo, essa cela nuove minacce cyber che bisogna conoscere e mitigare per evitare che - specialmente in occasioni ghiotte come fiere, seminari e conferenze - malintenzionati possano portare attacchi informatici, rubare dati personali, rendere indisponibili i servizi di rete, falsificare documenti o sabotare dispositivi elettronici.
La minaccia beneficia peraltro di alcune condizioni predisponenti, per via della scarsa conoscenza delle tecnologie che “ci si porta nel taschino” e della inadeguata attenzione che generalmente viene prestata alle tematiche di sicurezza e privacy. Si immagina a torto, ad esempio, che la semplice lettura di un tag elettronico tramite la rete di prossimità del nostro telefono non possa avviare alcun automatismo; per di più in molti sono convinti - e sbagliano - che la limitata capacità di banda di queste tecnologie, unita alla necessità che i dispositivi comunicanti debbano stare ad una distanza inferiore ai 10 cm, non permetta penetrazioni informatiche di una certa consistenza.
Questi miti vanno sfatati. Anzitutto, come principio generale, bisogna considerare che ogni volta che si apre la porta di un dispositivo elettronico - poco importa che essa sia cablata o radio - si offre la possibilità di sfruttamento da remoto a chiunque. E, con riguardo proprio alle tecnologie NFC, vi sono studi che mostrano come la superficie di attacco agevolata dall’uso di trasmissioni di prossimità sia in realtà piuttosto ampia. Il codice responsabile dell'analisi delle trasmissioni NFC, infatti, inizia nei driver del Kernel - il nucleo del sistema operativo di un dispositivo, l'elemento più critico dal punto di vista della sicurezza - procede attraverso servizi intesi a gestire i dati NFC e alla fine termina con applicazioni che agiscono su tali dati. In sostanza, è possibile attraverso l'interfaccia NFC accedere ad un telefonino e, senza il consenso dell’utente, aprire pagine Web, analizzare file di immagini, documenti di ufficio, video, eseguire applicazioni ecc. Ed è anche possibile attuare attacchi cibernetici di tipo “relay”, tipiche tattiche “Man-in-the-Middle” con cui si intercetta abusivamente il traffico dati altrui.
Dunque il rischio di security e di privacy esiste e non è trascurabile.
Le contromisure di sicurezza elettrica ed elettronica sono fondamentalmente tre. La prima è quella di utilizzare dispositivi e applicazioni con funzionalità “Preview & Authorize” che richiedano sempre la preventiva autorizzazione dell’utente prima di eseguire l’indirizzamento ad una pagina web o l’esecuzione di istruzioni potenzialmente dannose sul dispositivo. La seconda precauzione è quella di disabilitare le funzionalità NFC quando non servono. Infine l’ultima cautela, che riduce drasticamente il rischio, è quella di proteggere lo smartphone con NFC-blocking case: custodie schermanti in grado di proteggere dall’irradiamento elettromagnetico in ambiti di frequenza RFID e NFC.
Vi è inoltre una contromisura di natura organizzativa: é buona norma utilizzare dispositivi "muletto" quando ci si reca all'estero che non contengano le informazioni personali o di lavoro, così riducendo il rischio di furto o compromissione di dati.
Orazio Danilo RUSSO
Per approfondire:
https://csrc.nist.gov/publications/detail/sp/800-98/final
https://ieeexplore.ieee.org/abstract/document/6428872
https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33
Nessun commento:
Posta un commento