Articoli

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360

Micro imprese: con lo smart working nasce la necessità di introdurre app di rilevazione presenze

In Italia il 95% delle imprese è costituito da micro aziende, e quindi da attività imprenditoriali che contano meno di 10 addetti. Queste realtà danno lavoro a oltre 7,5 milioni di cittadini, ovvero al 44,5% del totale.

Tutte queste aziende – sia quelle che hanno continuato a lavorare in smart working durante l’emergenza Covid-19, sia quelle che stanno pian piano tornando operative – si trovano ad affrontare un contesto lavorativo profondamente cambiato.

Si lavora infatti sempre di più da remoto e in mobilità, con il lavoro agile che, da pratica messa in atto principalmente da aziende medio e grandi, è diventata una metodologia indispensabile anche per le microimprese. Non stupisce però che, proprio in conseguenza dell’introduzione dello smart working, si stiano consolidando esigenze in buona parte nuove, soprattutto per le imprese più piccole: si parla ad esempio delle applicazioni per la gestione aziendale, come le app per la rilevazione presenze e per il calcolo delle ore lavoro.

Nemmeno in questo periodo particolare, infatti, è possibile dimenticare che nel maggio del 2019 la Corte di giustizia dell’Unione Europea ha reso obbligatoria per tutti i datori di lavoro l’adozione di un sistema per misurare in modo preciso la durata del lavoro giornaliero. E mentre gli Stati membri sono chiamati a implementare questa nuova norma, le aziende devono dotarsi dei necessari strumenti per rilevare le presenze, partendo peraltro dal presupposto che una buona app per la rilevazione delle presenze assicura tanti vantaggi, all’impresa e al lavoratore.

5 buoni motivi per digitalizzare la gestione del personale

Ci sono tanti ottimi motivi per digitalizzare i principali processi di gestione del personale:
• Il sistema di rilevazione presenze più adatto, sempre: con o senza badge, con lo smartphone, in sede come da remoto, in ogni situazione è possibile timbrare nel modo più pratico e veloce.
• Basta fogli cartacei e file Excel: ci sono micro imprese che, ancora oggi, si affidano a fogli Excel o persino a documenti cartacei per la rilevazione presenze. Con l’app fluida per la gestione del personale è possibile automatizzare, velocizzare e rendere sicura questa attività.
• Ridurre i costi: poter contare su una app per la rilevazione presenze significa risparmiare tempo e denaro, semplificando e riducendo al massimo il tempo e le risorse per la rendicontazione e per la supervisione delle ore lavorate.
• Comunicazione automatica al commercialista: l’app per la gestione del personale comunica in automatico quanto necessario al software per l’elaborazione delle buste paga del commercialista o del consulente del lavoro di riferimento, riducendo i costi ed eliminando gli errori tipici dell’inserimento manuale dei dati.
• Aggiornamento in tempo reale: in qualsiasi momento, il datore di lavoro e i dipendenti possono accedere a dati aggiornati in tempo reale su presenze, assenze e ferie.

 

Fonte: AziendaDigitale

Numeri di WhatsApp su Google, scoperto un bug che mette a rischio la nostra privacy

Sono circa 300 mila i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.

Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.

La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.

Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.

I dettagli del bug

Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.

In realtà, i numeri degli utenti finiti in chiaro nelle pagine di ricerca di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.

I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.

Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300 mila ignari utenti sono finiti nei risultati della ricerca pubblica.

Purtroppo i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo.

Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.

Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.

Come scoprirlo?

In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:

• basta collegarsi, innanzitutto, alla home page di Google e, nella barra di ricerca, si scrive la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;

• se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.

 

Fonte: Cybersecurity360

App Immuni, i rischi cyber e l’importanza di una corretta sensibilizzazione degli utenti

L’app di tracciamento Covid-19, Immuni, è online: ci sarà ora una fase di avvio di test rendendo disponibile l’applicazione solo in alcune regioni per poi man mano essere messa a disposizione di tutti i cittadini italiani. Una fase dunque molto delicata, perché consentirà di capire quali sono i rischi cyber a cui è realmente esposta e perché potrebbe essere l’occasione giusta per avviare un efficace piano di sensibilizzazione degli utenti sul suo corretto utilizzo.

Quali sono i reali target?

Un momento importante, un banco di prova che tutti stavano aspettando. Il team di sviluppo di Immuni, Bending Spoons, avrà tutti gli occhi puntati su di sé e avrà anche adottato non solo le tradizionali misure di sicurezza preventiva attraverso l’analisi del codice e le attività di Mobile Penetration test, ma anche soluzioni di sicurezza proattiva e predittiva al fine di contrastare da un lato azioni malevole, ma dall’altro anche anticiparle attraverso azioni di Cyber Threat Intelligence.

Un lancio discusso e dibattuto soprattutto per gli aspetti legati alle tematiche di cyber security e di privacy. C’è da aspettarsi che i ricercatori cyber italiani e non inizieranno ad analizzare tutta l’applicazione per identificare le possibili falle e criticità e segnalarle attraverso le tradizionali procedure di Responsible Vulnerability Disclosure, tenuto conto delle informazioni disponibili e dei relativi impatti per gli utenti che liberamente sceglieranno o hanno scelto di registrarsi.

Ma i criminal hacker sono purtroppo già in azione. Mentre tutti si stanno concentrando sul target principale superprotetto e tutelato – almeno questa è l’aspettativa di tutti noi – ci sono due target forse più semplici da approcciare e che possono garantire lo stesso risultato. Mentre i ricercatori si concentreranno sull’app Immuni, quasi sicuramente i target veramente oggetto di cyber attack saranno la stessa azienda di sviluppo Bending Spoons e gli stessi utenti.

La prima sarà sicuramente attenzionata con attività di cyber attack più tecniche, ma per entrambi i target la metodologia maggiormente utilizzata sarà proprio quella di social engineering (attività digitali e non che hanno l’obiettivo di ingannare la potenziale vittima al fine ad indurla ad effettuare azioni o per rubare informazioni).

Bending Spoons sotto la lente di ingrandimento

In Bending Spoons avranno sicuramente dovuto fronteggiare diversi cyber attack. Si saranno scontrati con diversi tentativi di accesso ai vari sottodomini esposti, con i criminal hacker che cercano di carpire dalla naming convention degli url stessi quali e se fanno riferimento proprio all’app Immuni e allo stesso tempo identificare le possibili aree di staging o DB esposti con il rischio di trovare in realtà servizi relativi a terze parti loro clienti.

Un lavoro immane e notevole di contrasto che Bending Spoons ha gestito in maniera brillante e che continuerà sicuramente a fare, tenuto conto del tasso tecnico e tecnologico dell’azienda e del suo team.

Accanto a questi tentativi un po’ più tecnici, ovviamente sono stati e saranno oggetto di varie tecniche di social engineering. È incredibile il numero di informazioni, e-mail aziendali, personali e cellulari che potenzialmente potrebbero essere identificati tramite i canali social o anche tramite le diverse applicazioni di marketing e di biglietti da visita disponibili online.

I rischi di social engineering per gli utenti

L’altro target che sarà oggetto di attenzione da parte dei criminal hacker siamo noi: gli utenti. Prepariamoci, dovremo e saremo costretti a “non abbassare la guardia”. Saremo bersagliati da diverse tecniche di social engineering e il cybercrime cercherà in tutti i modi di carpire le nostre informazioni o di infettare con malware i nostri dispositivi, computer o smartphone.

Le tecniche maggiormente utilizzate saranno sicuramente: phishing e smishing, false mobile app, spoofing, malware advertising.

Rischi cyber: phishing e smishing

Il phishing era e continua ad essere il principale mezzo per la diffusione di malware e, in generale, per lanciare cyber attacchi. La cara e vecchia e-mail contenente allegati, link o sign-up form studiati per rubarci le credenziali è ancora attualissima. Costa poco, richiede pochissimo sforzo tecnico e garantisce un volume di attacchi difficilmente eguagliabile.

La sua forza è letteralmente la nostra debolezza, che sia culturale o semplicemente frutto di paure: dall’offrire cure contro la Covid-19 fino ad impersonare l’Agenzia delle Entrate, i criminal hacker dietro il phishing non hanno certo dimostrato mancanza d’ingegno, l’arrivo di Immuni potrebbe essere l’ennesima leva valida.

Naturale evoluzione di questa tecnica è lo smishing. Nome che deriva dal mezzo attraverso cui sono inviate le comunicazioni malevoli alla vittima: l’SMS appunto (o qualsiasi altro mezzo di comunicazione istantanea come WhatsApp o Facebook Messenger).

Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai cyber criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login.

False mobile app

Leggermente più avanzata come metodologia, la diffusione di fake app, ovvero app civetta che imitano Immuni per acquisire i dati degli utenti, sono sicuramente un altro cyber risk da tenere in considerazione.

Queste colpiscono in particolare i dispositivi Android, visto che Google Play Store è fin troppo spesso ricettacolo di questi fake. Un’emergenza nota alla stessa Google, che ha provato a metterci una pezza con il Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone. Ma questo non ha fermato i criminal hacker che riescono ancora a bypassare il sistema.

Lo spoofing

Lo spoofing, traducibile con “manipolazione” o “occultamento”, è una tecnica usata dal cyber crime per mascherare e imitare l’identità di utenti o di dispositivi. Di fatto è un tipo di falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano assolutamente attendibili.

Come per le altre metodologie di attacco il bersaglio sono sempre i dati sensibili. La versatilità dello spoofing lo rende anche molto adattabile a vari mezzi e strumenti di attacco: mail, DNS, sms e web.

 

Fonte: Cybersecurity360

Chat sicura: quali sono e come scegliere le migliori app per conversazioni private

Le applicazioni di messaggistica istantanea (Instant Messaging) sono in assoluto le applicazioni più usate e più scaricate negli smartphone di tutto il mondo, soprattutto in questo periodo di distanziamento sociale e di smart working in quanto offrono la possibilità di avviare una sessione di chat sicura cifrando le comunicazioni, in particolare quelle di lavoro.

Ma quanto sono davvero sicure le app di messaggistica istantanea? Visto il gran numero di applicazioni disponibili sui vari store mobile, non è semplice scegliere quella che offre il miglior livello di protezione delle nostre conversazioni. In questa guida ragionata impareremo tutti i segreti delle app di messaggistica istantanea, capiremo come funzionano e acquisiremo le competenze giuste per scegliere le migliori.

La diffusione della messaggistica istantanea

Le applicazioni di messaggistica istantanea stanno sostituendo anche le e-mail, perché più veloci e pratiche da usare.

WhatsApp è l’applicazione di messaggistica istantanea più diffusa al mondo: il 12 febbraio 2020 ha comunicato di aver raggiunto i 2 miliardi di utenti nel mondo. Creata nel 2009 da Jan Koum e Brian Acton, nel febbraio 2014 è stata acquistata da Facebook Inc. per 19 miliardi di dollari.

Stranamente, WhatsApp non è la più diffusa negli Usa dove registra 68 milioni di utenti (appena il 20% della popolazione) ed è solo al terzo posto, preceduta da Facebook Messenger (con 117 milioni a fine 2019) e iMessage di Apple.

WhatsApp è pressoché assente anche in Cina (dove predomina WeChat), perché proibita e usata solo clandestinamente. Ma nella gran parte del mondo WhatsApp è il sistema di chat più diffuso e lo è anche in Italia, con 32 milioni di utenti attivi (pari al 54% della popolazione ed a oltre il 95% di tutti gli utenti delle app di messaggistica).

Al secondo posto nella classifica delle app di messaggistica istantanea più utilizzate nel nostro Paese si colloca Facebook Messenger con poco più di 23 milioni di utenti mensili, seguono poi Telegram (9 milioni di utenti italiani, oltre 400 milioni nel mondo), Skype (3,5 milioni in Italia), infine iMessage (l’app di Apple, utilizzabile solo sugli iPhone) e Viber (840.000).

Chat sicura: come valutare le app di Instant Messaging

L’Instant Messaging viene usato spesso anche per comunicazioni aziendali, in alternativa all’e-mail. Questo non sarebbe sbagliato, in termini di sicurezza, perché oggi tutti i sistemi IM implementano nativamente la crittografia end-to-end (E2E) e ciò li rende intrinsecamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP sviluppati negli Anni 80 e notoriamente insicuri.

Tuttavia, proprio a causa della loro enorme diffusione, sono diventate un obbiettivo appetibile anche per il cyber crime. Sono molte le applicazioni IM presenti sul Play Store di Google e sull’App Store di Apple e questa possibilità di scelta permette a chi è davvero attento alla propria privacy – o debba trattare informazioni delicate – di trovare interessanti soluzioni alternative a quelle più note, tra cui WhatsApp.

Nel valutare il livello di sicurezza delle applicazioni di messaggistica istantanea è importante tenere in considerazione alcuni aspetti:

1. la diffusione: un’applicazione molto diffusa sarà sicuramente più esposta ad ogni tipo di attacco: ci saranno molti gruppi di ricercatori, analisti e cyber attaccanti che continuamente ne ricercheranno vulnerabilità da sfruttare;

2. il business model: conoscere il modello di business sul quale queste applicazioni si reggono è fondamentale. Sono quasi tutte gratuite e questo ci obbliga a chiederci in che modo guadagnano o, quantomeno, su cosa si reggono. È persino superfluo richiamare qui la frase che “Se sul web qualcosa è gratis, tu sei il prodotto…”. L’asset intangibile che sta dietro al business potrebbero essere i dati, i nostri dati, quelli che Tim Berners-Lee (l’inventore del World Wide Web) ha definito efficacemente “il petrolio del terzo millennio”.

3. i dati che vengono trasmessi e ricevuti: sarebbe opportuno definire una tassonomia dei dati, in altre parole classificare il dato in funzione della sua importanza (pubblico, interno, riservato, ecc.). Potrebbe sembrare una misura ridondante (e lo è, se usiamo i messaggi solo per inviare le foto di una cena tra amici…), ma diventa importante nel momento in cui nei nostri messaggi viaggiano informazioni importanti, aziendali e riservate. In un certo senso, le metodologie che applichiamo nella privacy dovrebbero essere considerate anche quando abbiamo in mano lo smartphone.

Chat sicura: caratteristiche delle app di messaggistica istantanea

Sono fondamentalmente tre la caratteristiche di sicurezza da prendere in considerazione nella scelta dell’app di IM, soprattutto se questa verrà poi utilizzata in ambito aziendale e per lo scambio di materiale e informazioni riservate.

La crittografia end-to-end (E2E)

Oggi tutte le applicazioni di IM implementano nativamente la crittografia end-to-end (E2E), con la parziale eccezione di Telegram e di Facebook Messenger.

La crittografia end-to-end (letteralmente “da un estremo all’altro”) è un sistema di comunicazione cifrata dove solo il mittente ed il destinatario possono leggere i messaggi. Serve ad impedire l’attacco “man in the middle” (MITM). Questi attacchi puntano a rubare dati e informazioni personali, intercettando “in the middle” la comunicazione tra due utenti.

Acquisendo il traffico di rete di una comunicazione crittografata si ricavano invece pacchetti di dati incomprensibili ed inutilizzabili, dato che le chiavi con cui la comunicazione viene cifrata non sono conosciute dall’attaccante.

La crittografia end-to-end si basa sulla crittografia asimmetrica (detta “a chiave pubblica”), realizzata mediante la generazione di una coppia di chiavi, una “privata” e una “pubblica” che sono differenti, ma legate tra loro da un algoritmo.

Il doppio paio di chiavi crittografiche (ognuno dei due utenti che si scambia il messaggio avrà due chiavi) è necessario per cifrare e decifrare i messaggi in partenza ed in arrivo. Ogni utente utilizzerà una propria chiave pubblica e una propria chiave privata, La chiave privata è destinata a rimanere sul dispositivo di ciascuno dei due “endpoint” e servirà a decrittare i messaggi in arrivo; la chiave pubblica, invece, sarà condivisa con l’interlocutore e verrà utilizzata per crittografare i messaggi in uscita.

Grazie a questa tecnica, le comunicazioni, pur viaggiando attraverso canali “aperti” e potenzialmente intercettabili (come è Internet), saranno leggibili solo dal dispositivo che ospita la chiave privata legata alla chiave pubblica utilizzata nel processo di crittografia.

Quindi se una comunicazione è crittografata end-to-end è sicura? Tecnicamente lo è, ma questo non significa che qualcuno non possa riuscire a leggerla. Il punto debole può essere il dispositivo stesso e soprattutto l’uso che ne fa l’utente (e come sempre torniamo a porre l’attenzione sul “fattore umano”).

In altre parole: se una delle due estremità (endpoint) viene compromessa, se il nostro telefono viene rubato o violato (per esempio con uno spyware, o captatore informatico) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

I Metadati

Esiste nelle applicazioni di messaggistica un’altra criticità, poco nota e grandemente sottovalutata: sono i Metadati. Abbiamo spiegato che il messaggio non è leggibile grazie alla crittografia E2E, ma in realtà, assieme al messaggio, vengono trasmesse molte altre informazioni, definite appunto “metadati”.

I metadati vengono registrati anche quando scattiamo una foto con lo smartphone: sono il luogo ed ora dello scatto, nome del dispositivo utilizzato, l’apertura del diaframma, il tempo di esposizione e molte altre informazioni.

Si tratta quindi di una “fingerprint” (impronta digitale elettronica) che aggiunge automaticamente dati identificativi al messaggio. Tali dati possono fornire ad un soggetto terzo informazioni importanti. Questo permette di profilarci e di costruire il nostro grafo sociale (“Social Graph”).

Conservazione dei dati e backup delle chat

I messaggi ed i relativi metadati risiedono nel nostro smartphone, ma non solo. In alcuni casi potrebbero essere conservati anche sui server del fornitore dell’applicazione. Lo stesso accade per i tradizionali Sms che rimangono nelle mani (e nei server) delle società telefoniche che ci forniscono il servizio.

La scelta di salvare i messaggi ed i relativi backup sui server del provider e/o in cloud genera molte implicazioni che impattano sulla funzionalità della chat, ma anche sul suo livello di privacy e sicurezza.

I vantaggi sono:

• maggiore interoperabilità tra dispositivi diversi;
• possibilità di recupero dei messaggi;
• trasferimento delle chat verso un nuovo dispositivo;

mentre gli svantaggi sono:

• i dati ed i backup potrebbero non essere crittografati, quindi, accessibili per un attaccante o resi disponibili su richiesta di autorità governative o polizie;
• anche se crittografati, le chiavi crittografiche sono in possesso dei provider del servizio che potrebbero essere obbligati a consegnarle. Ricordiamo che dall’ottobre 2001 negli Stati Uniti è in vigore lo USA Patriot Act, che ha molto ampliato i poteri delle agenzie investigative statunitensi, quali CIA, FBI e NSA ed ha conseguentemente ridotto la privacy degli utenti. In forza di questa legge un provider americano (per esempio Facebook/WhatsApp) sarebbe obbligato a fornire l’accesso ai dati che gli venissero richiesti.

 

Fonte: Cybersecurity360

App di videoconferenza, le più sicure e pro privacy per lo smart working

Nella scelta dell’app di videoconferenza più idonea a condurre al meglio la propria attività lavorativa anche da casa, è importante valutare gli aspetti che riguardano la sicurezza, la privacy e la tutela dei dati personali.

Com’è noto, app di videoconferenza come la popolare Zoom – e la meno nota Houseparty – sono state recentemente nell’occhio del ciclone per via di una gestione “grossolana” della sicurezza e della privacy dei loro utenti. Ad esempio, nel caso di Zoom vi sono state diverse lamentele in proposito: in primo luogo, Zoom ha dovuto affrontare dure critiche circa la sua privacy policy, che descriveva in dettaglio la raccolta “indiscriminata” di dati personali; in secondo luogo, gli utenti hanno iniziato a segnalare abusi del servizio di videoconferenza, il quale permetteva ad ospiti indesiderati e non invitati di “imbucarsi” nelle chat e nelle riunioni.

Anche esperti di sicurezza da più parti del mondo hanno segnalato vulnerabilità nelle versioni per Windows e Mac di Zoom. Inoltre, è stato confermato che tale app inviava i dati dei suoi utenti in Cina e le sue registrazioni video risultavano esposte in un database online non protetto. Per rispondere alle critiche, Zoom ha annunciato una serie di nuove misure di sicurezza e funzionalità come password attivate di default per le nuove riunioni, nonché riunioni istantanee, riunioni programmate e riunioni con ID dedicato.

Tuttavia, non si può negare l’incredibile funzionalità di Zoom, anche in seguito ai decisivi miglioramenti lato sicurezza e privacy: se si è sensibili a queste due tematiche, però, è possibile optare per delle soluzioni alternative. Vediamo dunque di seguito alcune app di videoconferenza che dichiarano di fare della sicurezza e della protezione dei dati personali il proprio punto di forza.

Jitsi, l’app di videoconferenza open source

Jitsi è una soluzione di videoconferenza gratuita e open source di proprietà dell’azienda californiana 8×8. Si presenta come una soluzione bivalente: la si può scaricare e installare sul proprio server (es. aziendale); oppure, in alternativa, la si può utilizzare mediante la più famosa e immediata versione “Jitsi Meet”.

Jitsi è disponibile via Web, oppure come app per iOS e Android. L’app è ricca di funzionalità e il numero di partecipanti che si può avere in videochiamata è (teoricamente) illimitato. Oltre alle videochiamate “di gruppo”, Jitsi supporta anche la condivisione dello schermo, lo streaming su YouTube e la possibilità di postare un video YouTube per tutto il gruppo.

Jitsi afferma che le “stanze” ove si tengono le “riunioni” vengono create al momento che il primo partecipante si unisce e vengono distrutte quando l’ultimo partecipante se ne va. Inoltre, se qualcuno si unisce di nuovo alla stessa stanza, si crea una nuova riunione con lo stesso nome ma con nessun collegamento con una riunione “omonima” precedente. Il tutto per rendere i meeting più difficili “da raggiungere” per chi non conosce gli elementi chiave.

In ogni caso, Jitsi afferma che bisogna scegliere con cautela il nome della stanza, per evitare che con un nome semplice faccia imbattere l’utente in persone “non gradite”. Per evitare di scegliere nomi banali che possano permettere l’accesso a chiunque, Jitsi suggerisce di avvalersi del proprio servizio di “generatore di nomi casuali per riunioni”, che creerà dei “nomi-stanza” difficili da rintracciare (al pari di ciò che accade per un generatore di password).

Inoltre, se si punta a un meeting “blindato”, Jitsi consiglia di impostare una password – oltre a un nome – da comunicare a tutti i partecipanti alla riunione. Per quanto attiene la moderazione delle stanze, Jitsi garantisce una moderazione “limitata” alla sola risoluzione di problemi tecnici, come ad esempio i problemi che potrebbero esserci con il microfono o con la disconnessione.

Al di là dell’indirizzo IP del partecipante – ovvero del numero di telefono nel caso di collegamento telefonico – qualsiasi altra informazione che gli utenti scelgano di inserire, come il nome, la foto profilo e l’indirizzo e-mail, è puramente opzionale e viene condivisa solo con gli altri partecipanti alla riunione. Informazioni che vengono distrutte, specifica Jitsi, al termine della riunione.

Stessa sorte “distruttiva” tocca agli altri dati, come le informazioni contenute nelle chat, o le statistiche degli speaker che vengono conservati per tutta la durata della riunione e poi distrutti al termine della stessa. Per quanto attiene le registrazioni, Jitsi dichiara di conservarle sui suoi server fino a quando non vengono caricate sul cloud indicato dall’utente (ad esempio Dropbox). Tuttavia, dichiara Jitsi, se non lo si riesce a fare entro 24 ore dal termine della riunione, le registrazioni vengono automaticamente cancellate.

Cisco Webex: la preferita nei settori sanitario e finanziario

Anche la soluzione di videoconferenza della Cisco spicca per sicurezza e protezione dei dati personali. Tale piattaforma di videoconferenza, che esiste da più di vent’anni, è una delle preferite dal settore sanitario, finanziario e dell’informazione per via della sua “attenzione” alla protezione dei dati. Ciò è dovuto in parte al fatto che questi tre settori si affidavano comunemente alle riunioni virtuali ben prima della pandemia di Covid-19; dall’altro perché Webex ha la reputazione di mantenere una solida sicurezza informatica. Cisco, la società madre, è famosa per essere leader nel settore dell’hardware di rete, del software e dei prodotti di sicurezza.

Nella sua corposa privacy policy, Cisco Webex dichiara che il servizio consente agli utenti di connettersi istantaneamente in modo personale al pari di un “incontro faccia a faccia”. Cisco dichiara che l’organizzatore ha la possibilità di registrare le riunioni, mentre tutti gli utenti hanno la possibilità di caricare e conservare i file condivisi durante e al di fuori delle riunioni.

Infine, Cisco dichiara che l’organizzatore del meeting, nel caso voglia registrare la riunione, deve informare gli utenti della sua “intenzione”. Se l’organizzatore del meeting sceglie di non registrare la riunione, la stessa verrà cancellata immediatamente dopo la conclusione della stessa.

Microsoft Teams: pieno controllo sulle riunioni

Anche la piattaforma di videoconferenza di Microsoft, Teams, è degna di nota quando si parla di sicurezza e di privacy. Microsoft dichiara di offrire una varietà di controlli sulla privacy e sulla sicurezza per consentire agli utenti di gestire chi partecipa alle riunioni e chi ha accesso alle informazioni sulle stesse.

Ad esempio, è l’utente “organizzatore” a decidere chi dall’esterno della propria azienda può partecipare direttamente alle riunioni e chi deve aspettare in attesa che qualcuno lo “faccia entrare”. L’organizzatore può anche rimuovere i partecipanti durante una riunione nonché controllare quali partecipanti alla riunione possono presentare i contenuti. E con l’accesso degli ospiti, è possibile aggiungere persone esterne alla propria azienda, mantenendo comunque il controllo della situazione.

La moderazione da parte di Microsoft consente di controllare chi è o meno autorizzato a pubblicare e condividere contenuti. Inoltre, Microsoft dichiara di utilizzare un’Intelligenza Artificiale avanzata per controllare le chat e prevenire comportamenti negativi come il bullismo e le molestie. Microsoft prosegue dichiarando che quando si registra una riunione, tutti i partecipanti vengono avvisati quando inizia una registrazione. Le registrazioni sono disponibili solo per i partecipanti alla call o per le persone invitate alla riunione. E le registrazioni sono conservate in un archivio controllato e protetto da permessi e crittografia.

La presenza dell’autenticazione multi-fattore (MFA), una funzione attivata dall’amministratore, protegge il nome utente e la password dell’utente, richiedendo una seconda forma di verifica per dimostrare la propria identità. Questo semplice processo di verifica a due fattori è oggi ampiamente utilizzato in molti settori, tra cui quello bancario, e protegge dalla maggior parte degli attacchi che sfruttano password deboli o rubate. Teams, cripta anche i dati in transito, memorizzando gli stessi nella propria rete sicura di data center e utilizzando il protocollo SRTP (Secure Real-time Transport Protocol) per la condivisione di video, audio e desktop. Microsoft dichiara, inoltre, di rispettare le normative globali, nazionali, regionali e specifiche in materia di protezione dei dati personali, tra i quali spicca il GDPR.

FaceTime: l’app di videoconferenza per i dispositivi Apple

Per chi possiede un dispositivo Apple, FaceTime può rivelarsi una scelta agile e sicura per “condurre” videoconferenze a livello ludico e professionale. È possibile accedere a FaceTime utilizzando il proprio Apple ID o il proprio numero di telefono. Se l’utente accede con il proprio Apple ID sul proprio dispositivo, l’utente sarà registrato automaticamente su FaceTime.

Apple dichiara che il proprio Apple ID e il numero di telefono verranno mostrati alle persone che l’utente contatta, e le persone potranno raggiungerlo utilizzando l’Apple ID dell’utente nonché i relativi indirizzi e-mail e numeri di telefono.

L’utente può selezionare da quali numeri di telefono o indirizzi e-mail desidera iniziare nuove conversazioni e da quali numeri di telefono o indirizzi e-mail può ricevere messaggi e rispondere nelle impostazioni di FaceTime.

Apple dichiara di poter registrare e memorizzare alcune informazioni relative all’utilizzo di FaceTime per far funzionare e migliorare i prodotti e i servizi Apple, nonché memorizzare informazioni sull’utilizzo dei servizi in modo da non identificare l’utente.

Apple può registrare e memorizzare informazioni sulle chiamate FaceTime, come ad esempio chi è stato invitato a una chiamata, nonché le configurazioni di rete del proprio dispositivo, e memorizzare queste informazioni per un massimo di 30 giorni. Apple non registra se la chiamata ha ricevuto una risposta e non può accedere al contenuto delle chiamate.

Alcune applicazioni sul proprio dispositivo Apple (tra cui FaceTime) possono comunicare con i server della casa madre per determinare se altre persone possono essere raggiunte da FaceTime. Quando ciò accade, Apple può memorizzare questi numeri di telefono e indirizzi e-mail associati all’account, per un massimo di 30 giorni.

Infine, Apple dichiara che con l’utilizzo di FaceTime l’utente accetta e acconsente alla trasmissione, alla raccolta, alla manutenzione, all’elaborazione e all’utilizzo di queste informazioni da parte di Apple e di terze parti (negli USA e altrove).

Google Meet: pieno controllo dei dati utente

La soluzione proposta dal gigante di Mountain View ha caratteristiche che coniugano sicurezza e privacy con la fruibilità. Google afferma che, al pari delle altre sue soluzioni, l’utente conserva il controllo dei dati; dati che non vengono utilizzati per pubblicità né per vendita a terzi. In Meet – dichiara Google – i dati dei clienti sono criptati durante la trasmissione e le registrazioni sono memorizzate in Google Drive con criptazione di default. Meet non dispone di funzioni che monitorano l’attenzione dell’utente.

 

Fonte: Cybersecurity360

Inps, il malware via sms che sfrutta il bonus 600 euro

Arrivano a pioggia sms che si spacciano provenire da Inps e chiedono di cliccare su un link per modificare la propria domanda di bonus 600 euro.

È stata la stessa Inps a lanciare l’allarme, invitando a non cliccare sul link e specificando che qualsiasi sms proveniente dall’istituto non ne conterrà link.

“Puntuali come sempre, i criminali scelgono il momento opportuno per lanciare gli attacchi di social engineering invitando gli utenti a scaricare una App per aggiornare la propria domanda Covid-19 proprio nei giorni in cui stanno arrivando le notifiche di conferma di ricezione delle domande per il bonus da 600 euro”, commenta l’esperto di sicurezza informatica Paolo dal Checco.

“Accedendo al il dominio “inps-informa.online” contenuto nell’SMS – registrato il 4 aprile ma oggi non più attivo – compariva una pagina simile a quella dell’INPS dove l’utente veniva invitato a scaricare un’App per Android “covid-19.apk” segnalata come malevola da numerosi antimalware”, spiega. “Dalle analisi preliminari sembra trattarsi di Cerberus, un malware bancario per Android che sottrae alle vittime le password di accesso e i codici di autenticazione inseriti nelle App o nei siti di web banking”.

“Continua lo sciacallaggio da parte dei criminali, anche di quelli informatici, nello sfruttare l’attenzione mediatica di cui gode l’attuale emergenza sanitaria”, aggiunge Alessio Pennalisico (P4i, Clusit).

“Dopo aver visto campagne di phishing che hanno provato a sfruttare presunte notizie, aggiornamenti o mappe sull’infezione, ora provano a sfruttare la sensibilità al tema interventi economici straordinari a supporto dei professionisti. Diventa in questo immediatamente evidente quanto possa essere efficace una campagna simile, di quanti cliccheranno quel link ed installeranno quell’app”.

I consigli contro la nuova truffa basata su Inps (e altre simili)

“Vale in ogni caso il consiglio di non installare mai programmi scaricati fuori dallo store ufficiale e, anche per le App lì presenti, valutare comunque i commenti e la data di pubblicazione, perché non di rado i delinquenti riescono a caricare delle versioni infette che vengono prontamente rimosse ma possono rimanere disponibili per qualche ora o persino qualche giorno”, dice Dal Checco.

Aggiungiamo ai consigli dell’esperto la raccomandazione base da seguire per evitare di finire vittime del malspam: ignorare mail, sms o altre comunicazioni che ci chiedono di compiere una qualsiasi azione (download allegato, clic su link…).

Dato che istituti e altre fonti legittime sanno che questa è la modalità seguita dai truffatori, non ci chiederanno mai di compiere azioni nelle mail o sms che ci possono mandare; né metteranno allegati. I messaggi conterranno al massimo informazioni statiche nel corpo del testo.

 

Fonte: Cybersecurity360

Proteggere app e dati senza perdere agilità e produttività del lavoro mobile

Lo smart working è un’opportunità per dipendenti ed aziende, ma senza le dovute misure di sicurezza per i dispositivi mobili può rappresentare un rischio rilevante per la sicurezza dei dati. Un tema che va affrontato e gestito in modo appropriato con le piattaforme di Enterprise Mobility Management.

Il lavoro sta radicalmente cambiando: cambiano le modalità organizzative delle imprese e delle organizzazioni e cambia il modo in cui viene svolto dalle persone.

Le professioni sono sempre meno caratterizzate dalla necessità di disporre di postazioni fisse e diventano sempre più “agili”. I dipendenti, grazie al lavoro in mobilità, sono in grado di migliorare le proprie prestazioni, gestendo con più indipendenza i propri ritmi e i propri tempi nei contesti più appropriati.

È, questa, una delle grandi opportunità della trasformazione e una bella opportunità che viene messa a disposizione dall’innovazione tecnologica. Ma non ci sono solo effetti positivi. Questa “rivoluzione” porta con sé anche una serie di nuovi rischi che devono essere analizzati e compresi a fondo dalle aziende e affrontati nel modo migliore, per tenere al sicuro i dati aziendali anche quando vengono utilizzati e condivisi attraverso queste nuove modalità di lavoro.

La soluzione nel campo dei dispositivi mobili c’è, e si chiama Enterprise Mobility Management (o EMM) e si concretizza in una piattaforma attraverso la quale i manager IT possono gestire da remoto le funzioni degli smartphone e dei tablet dei dipendenti con il duplice obiettivo di garantire sicurezza e di aumentare l’efficienza nelle attività di device management.

Il tutto grazie a un approccio e a una organizzazione dei controlli in grado di separare gli ambiti di utilizzo dei dispositivi attinenti alla sfera professionale e lavorativa, nei quali l’azienda deve poter disporre della massima visibilità, da quelli che attengono invece alla sfera privata, dove è indispensabile garantire il massimo rispetto della privacy.

I vantaggi dell’EMM per lo smart working

Se da una parte lo smart working è una nuova filosofia manageriale che restituisce alle persone flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati, dall’altra si tratta di uno strumento che apporta un cambiamento sostanziale dal punto di vista dei confini e degli strumenti di produzione dell’azienda.

Il cosiddetto perimetro aziendale si estende dunque all’esterno dei tradizionali spazi di lavoro e gli strumenti di lavoro sono sempre più frequentemente rappresentati dai dispositivi mobili dei dipendenti. Un insieme di fattori che rendono questo “nuovo perimetro” azienda più difficile da difendere da intrusioni o minacce informatiche.

I reparti IT hanno la necessità di garantire alle proprie organizzazioni la possibilità per i dipendenti di accedere ai sistemi informativi anche da mobile, nella cornice di una strategia generale pensata per mantenere al sicuro i dati e le informazioni aziendali.

Ma nello stesso tempo l’IT deve essere nella condizione di accompagnare i lavoratori in tutte le fasi dell’attività professionale, sia nel momento in cui si svolge nell’ambito del perimetro fisico dell’impresa: dall’accesso nella sede aziendale alla prenotazione delle sale riunioni, sia nel momento in cui si configura in attività che vengono svolte all’esterno.

A rendere possibile tutto questo sono proprio le piattaforme EMM, che consentono di semplificare e automatizzare la gestione di una serie di funzionalità che prima necessitavano di autorizzazioni e passaggi burocratici causando rallentamenti e inefficienze.

La questione della sicurezza

Con un perimetro aziendale, che smartphone, tablet, PC portatili e dispositivi IoT, come già sottolineato, diventa sempre più variabile, le piattaforme di Enterprise Mobility Management permettono di gestire da remoto e a livello centralizzato tutti i questi dispositivi, con un’attenzione particolare riservata ai temi della sicurezza e della prevenzione.

Grazie a queste piattaforme è infatti possibile evitare le conseguenze di possibili comportamenti incauti da parte dei dipendenti riducendo i rischi di data breach e di altre minacce per l’azienda.

Tra le soluzioni più avanzate per affrontare e gestire queste esigenze c’è la piattaforma Knox Manage di Samsung, che garantisce anche una protezione a livello hardware.

Tra le varie funzionalità la soluzione permette di semplificare la configurazione dei dispositivi, abilita la gestione di whitelist e blacklist applicative e di procedere volte a velocizzare e semplificare le attività di installazione di aggiornamenti e patch di sicurezza senza che sia necessario l’intervento diretto dell’utente.

Allo stesso tempo Knox Manage permette di separare, con modalità diverse in funzione delle piattaforme Android Enterprise o iOS, i dati personali da quelli aziendali, che potranno contare su un importante livello di protezione grazie al fatto che sono gestiti in aree distinte da quelle dedicate all’organizzazione aziendale.

Privacy e smart working avanti di pari passo

Questa gestione “separata”, che in funzione del tipo di ambiente operativo può essere a livello di gestione di OS o a livello di applicazione, rappresenta una importante componente della risposta alle nuove sfide aperte dallo smart working dove troviamo appunto anche la dimensione della privacy.

Chi utilizza il proprio smartphone per lavorare deve poter distinguere tra l’ambito privato e quello professionale. L’azienda deve effettivamente essere nelle condizioni di accedere liberamente alle informazioni che riguardano lo specifico ambito lavorativo; deve avere la certezza che questi dati sono al sicuro anche se sono trattati su dispositivi che operano lontani dal perimetro aziendale e, non ultimo e non meno importante, deve essere nella condizione di garantire al dipendente il massimo rispetto della privacy nella certezza della completa compliance normativa.

 

Fonte: CyberSecurity360