Ne abbiamo sentito parlare spesso negli ultimi quattro anni: il regolamento europeo 2016/679 (GDPR per gli amici) è entrato in vigore a fine Maggio 2018.

In questo post cercherò di spiegare i punti chiave del regolamento, in maniera semplice e senza troppi dettagli soporiferi.

Intanto il nome: “General Data Protection Regulation”, ci dice che si tratta di un Regolamento.

Questo significa che il 25 Maggio del 2018 è diventato di fatto una legge in tutti gli stati membri dell’Unione Europea. Faccio questa precisazione perché a differenza della Direttiva, che chiede agli stati membri di scrivere una legge in una certa direzione, un Regolamento non ha bisogno di alcun ulteriore passaggio.

Il GDPR stabilisce le regole per proteggere i dati personali dei cittadini europei, da non confondere quindi con dati aziendali quali ad esempio: prototipi, progetti, brevetti, bilanci o quant’altro.

In pratica tutti i soggetti (aziende, enti ma anche altri cittadini), anche extra UE, che trattano dati personali di cittadini europei, devono rispettare il regolamento.

Prima di entrare nel vivo e scoprire cosa dice il GDPR, è fondamentale avere chiare alcune definizioni.

Spesso si fa confusione con la traduzione italiana (che effettivamente non è delle migliori), per questo tra parentesi, metto l’equivalente in inglese:

Dati personali (personal data)

L’articolo 4 del GDPR dice: “qualsiasi informazione riguardante una persona fisica identificata o identificabile anche indirettamente mediante riferimento a qualsiasi altra informazione …”

Quindi un nome, un indirizzo ma anche la targa dell’auto, sono tutti dati personali.

Non importa che il dato sia visibile a tutti (pensiamo alla targa della macchina ad esempio) è l’abbinamento del numero di targa alla persona che forma il dato personale.

Un altra parola importante da conoscere è Trattamento (processing).

Con trattamento si intende: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”

Ma veniamo alle definizioni più importanti, intanto gli attori:

Interessato (data subject)

L’interessato è il proprietario dei dati (ovvero ciascuno è l’interessato dei propri dati personali)

Titolare del trattamento (controller)

il titolare è la persona, la società o l’ente che chiede dati personali per poterli trattare e decide come e perché trattarli. Attenzione non è chi li gestisce ma colui che decide di trattarli.

Responsabile del trattamento (processor)

è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento

Responsabile della protezione dei dati (Data Protectiom Officer)

Noto anche come DPO, acronimo della definizione inglese, questa figura viene designata dal titolare e dal responsabile del trattamento, per fare da consulente in qualità di esperto in materia (solitamente è un avvocato). In pratica si occupa di aiutare chi deve trattare dati personali, a rispettare il GDPR, fornendo pareri, informando e sorvegliando.

Categorie particolari di dati personali (special categories of personal data)

Prima del GDPR si chiamavano dati sensibili, stiamo parlando di tutti quei dati che riguardano:

l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Violazione dei dati personali (personal data breach)

la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Pseudonimizzazione (pseudonymisation) – incute timore ma l’attività in realtà è semplice

il trattamento dei dati personali in modo che questi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.

Immaginate di avere due registri, uno con due colonne: la prima colonna contiene i nomi delle persone e la seconda un codice numerico associato a ciascuno; l’altro registro contiene il codice numerico nella prima colonna e nella seconda colonna, il dato personale da proteggere. Per capire a chi appartiene il dato, è necessario correlare le informazioni presenti sui due registri. Ecco fatto: i dati personali nel secondo registro sono “pseudonimizzati”.


Dopo questa lunga ma necessaria introduzione, scopriamo insieme quali sono i diritti dei cittadini europei in merito ai dati personali.

L’articolo più importante (ce ne sono 99) è naturalmente il primo. In particolare il punto 2, a mio avviso è il cuore del regolamento:

“Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Ma cosa significa esattamente? Quali sono i diritti e le libertà che protegge?

Un intero capitolo del regolamento è dedicato ai “Diritti dell’interessato”; il capitolo si divide in cinque sezioni, andiamo ad analizzarle rapidamente

Trasparenza e Modalità

Questa sezione comprende un solo articolo (il 12) che si intitola: “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”.

Sostanzialmente l’articolo dice che il titolare del trattamento (chi raccoglie i dati) deve comunicare con l’interessato in maniera chiara e limpida e deve agevolarlo nelle sue richieste (in relazione ai dati personali in trattati dal titolare) e in generale nell’esercitare i diritti previsti dal regolamento

Informazione e accesso ai dati personali

Qui entriamo nel vivo. Per riassumere: il Titolare ci deve dire, prima di trattare i nostri dati:

chi e perché tratta i nostri dati, per quanto tempo li conserverà e soprattutto ci dirà che possiamo chiedere in qualsiasi momento, di visionare, modificare o cancellare i nostri dati personali in suo possesso.

Rettifica e Cancellazione

E’ nostro diritto chiedere di modificare i nostri dati (rettifica) o chiederne la cancellazione, il famoso “diritto all’oblio”. Di fatto possiamo in ogni momento revocare il consenso al trattamento e chiedere di essere dimenticati (utile per difendersi da alcuni campagne di marketing molto aggressive)

Molto interessante è il Diritto alla portabilità dei dati (articolo 20) che consente all’interessato, di richiedere (al titolare), tutti i dati personali che lo riguardano “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”

Questo articolo, di fatto è quello che ha obbligato Google, Facebook e gli altri giganti del web, a metterci a disposizione un link per richiedere tutti i nostri dati in loro possesso. Funziona e vi consiglio di provare almeno una volta.

Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche

Questo fa il paio con l’articolo sul diritto all’oblio ma vale in quei casi in cui non è stato necessario chiederci il permesso di trattare i nostri dati perché il tutto è avvenuto “nel legittimo interesse del titolare o di terzi” (art. 6, par. 1, lett. f)

Limitazioni

Ovviamente l’UE può limitare diritti e obblighi stabiliti dal regolamento per salvaguardare interessi più importanti come la sicurezza nazionale, l’indipendenza della magistratura e dei procedimenti giudiziari, la sicurezza pubblica, la tutela dell’interessato o dei diritti e delle libertà altrui e altre criticità.

Responsabilità del titolare del trattamento e del responsabile del trattamento

Il capitolo quattro descrive gli obblighi del titolare e del responsabile del trattamento dei dati personali. In particolare si descrivono le responsabilità delle due figure al rispetto del regolamento, l’obbligo di proteggere i dati personali che trattano (cifrandoli o applicando la pseudonimizzazione), di tenere un registro dei trattamenti, di valutare l’impatto dei trattamenti prima di procedere.

L’ultimo aspetto che merita di essere trattato è quello delle violazioni dei dati personali (data breach). La sezione 2 del capitolo 4 è dedicata proprio alla sicurezza del trattamento. L’articolo 33 è certamente uno dei più importanti:

Notifica di una violazione dei dati personali all’autorità di controllo

il primo comma è la famosa comunicazione al Garante in caso di “data breach”:

“In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Per concludere, quello che ha reso famoso questo regolamento, sono sicuramente le salatissime sanzioni amministrative e pecuniarie a cui vanno incontro i titolari che non rispettano il regolamento.

Senza entrare troppo nel dettaglio, diciamo che a seconda delle violazioni, le multe possono variare ma sono comunque molto rilevanti. Si parte da multe fino a 10 milioni di euro o (per le aziende) al 2% del fatturato ad esempio per non aver nominato un responsabile del trattamento. Si arriva fino a 20 milioni di euro o al 4% del fatturato per violazioni più gravi, come la mancata notifica di una data breach.

Secondo uno studio di DLA PIPER, a Gennaio 2020 le violazioni di dati personali riscontrate in Europa, dall’entrata in vigore del GDPR, erano circa 160000 con sanzioni comminate per circa 114 milioni di euro. L’Olanda guida la classifica con 40647 data breach, seguita da Germania (37636), Regno Unito (22181), Irlanda (10516) e Danimarca (9806).

Per le sanzioni, sul podio troviamo la Francia con 51 milioni di euro, segue la Germania (24,5 milioni) e l’Austria (18 milioni).

E in Italia come siamo andati? Sempre secondo lo stesso report, dal 25 Maggio 2018 a Gennaio di quest’anno, sono state notificate al Garante 1886 violazioni di dati personali (undicesimo posto in Europa) e comminate multe per 11,55 milioni di euro (quarto posto in Europa).

Alla fine di Maggio attendiamo un nuovo report per l’analisi a due anni esatti dall’entrata in vigore del GDPR.

DA DOVE PROVIENE IL TERMINE SPAM?

Autore: D'Agostino Rocco 15 marzo 2024
Un viaggio dalla carne in scatola alle e-mail indesiderate: scopriamo l’insolita evoluzione del termine ‘Spam’.

LOCKBIT: LA GANG DEL CYBER CRIMINE

Autore: D'Agostino Rocco 22 dicembre 2023
Sicuramente in questi giorni avrai sentito parlare di LockBit e dell’attacco alla pubblica amministrazione. Ma chi è LockBit, quando è nato e soprattutto, perché esiste? CyberBrain , il cyber team di HRC, è qui per rispondere alle tue domande!

CYBERBRAIN, LIBRAESVA & SYNETO | TI ASPETTIAMO IL 16 NOVEMBRE

Autore: D'Agostino Rocco 9 novembre 2023
Vieni a scoprire il meglio della sicurezza made in Italy
Firewall

I firewall: cosa sono e tipologie

Autore: D'Agostino Rocco 5 ottobre 2023
Un firewall è un componente essenziale della sicurezza informatica che serve a proteggere una rete o un sistema informatico da minacce esterne come attacchi informatici, malware, virus, tentativi di accesso non autorizzato e altri tipi di intrusioni.

NON PERDERTI A TORINO IL CYBERSECURITYTOUR – 20 SETTEMBRE 2023

Autore: D'Agostino Rocco 1 agosto 2023
Le vacanze sono alle porte, ma qui in HRC, il nostro impegno nel tenerti sempre aggiornato sulle ultime novità tecnologiche non si ferma mai! Siamo entusiasti di annunciare il nostro prossimo evento: il CyberSecurityTour a Torino. In collaborazione con Sophos , uno dei nostri partner storici, abbiamo creato un’esperienza formativa, piacevole e divertente per te, che si terrà il 20 settembre. Scopriamo insieme in cosa consiste il CyberSecurityTour! Affrontare le Minacce Informatiche : Le minacce informatiche stanno diventando sempre più sofisticate e frequenti. Secondo recenti statistiche, il 72% delle organizzazioni ha segnalato un aumento del numero di attacchi nell’ultimo anno, mentre il ransomware ha colpito il 78% delle organizzazioni in più rispetto allo scorso anno. La sicurezza informatica è diventata una priorità cruciale poiché il 69% dei responsabili IT ha visto aumentare il carico di lavoro correlato. La Sfida della Tecnologia : Le organizzazioni si affidano in media a oltre 46 strumenti di monitoraggio della sicurezza informatica, ma la maggior parte dei team di sicurezza si trova sommerso dagli avvisi e dalla reportistica. L’investimento in sicurezza informatica è significativo, con un costo medio di 7.500 dollari per dipendente. Tuttavia, in un mercato altamente competitivo, l’aspetto più critico è attirare e trattenere esperti di sicurezza informatica. La tecnologia da sola non è più sufficiente per proteggere le organizzazioni dalle minacce informatiche. Ciò di cui hai bisogno è un servizio gestito da esperti, in grado di monitorare 24/7 l’infrastruttura aziendale e perfettamente integrabile con gli strumenti già utilizzati in azienda. Rilevare le minacce è solo l’inizio, è necessario adottare un approccio proattivo e strategico per contrastarle efficacemente. Unisciti a Mauro Pisoni , Senior Sales Engineer di Sophos Italia e al nostro CTO Nino D’Amico il 20 Settembre per il nostro CyberSecurityTour dedicato alla sicurezza, scopri di più su come affrontare le sfide e conosci i migliori metodi per contrastare le attuali minacce, ti invitiamo a partecipare al nostro evento il 20 settembre presso il Circolo del Design in via San Francesco da Paola, 17.  L’evento inizierà alle ore 14:30 e sarà completamente gratuito, ma i posti sono limitati, quindi affrettati!

ESTATE 2023: ECCO QUALCHE CONSIGLIO SULLA CYBERSECURITY PER LE TUE VACANZE

Autore: D'Agostino Rocco 31 luglio 2023
È ora di partire, prima però assicurati di essere al sicuro con i nostri consigli
Kevin Mitnick

Kevin Mitnick - "Condor" 6 agosto 1963 - 16 luglio 2023

Autore: D'Agostino Rocco 21 luglio 2023
Kevin Mitnick è stato uno degli hacker più famosi nella storia di Internet, soprannominato "The Condor".
vpn

VPN (Virtual Private Network)

Autore: Raffaella Loprete 16 febbraio 2022
Parlare di VPN ovvero, di Virtual Private Network , senza usare termini tecnici e fornendo indicazioni utili anche ai non addetti ai lavori, non è una cosa facile; spesso questa definizione è utilizzata per descrivere cose leggermente diverse tra loro ed è quindi necessario fare alcune distinzioni tra le principali tipologie di VPN esistenti: VPN site to site : molte aziende hanno più sedi geografiche, ovviamente quando lavoriamo sul nostro pc vogliamo accedere indistintamente a dati e sistemi aziendali, senza dover pensare in quale sede geografica si trovano. Questo avviene spesso grazie alle VPN site to site, l’azienda installa degli apparati (ad esempio firewall) in ogni sede, questi apparati collegano di fatto le due sedi utilizzando la rete internet, ma cifrando i dati che transitano cosicché nessun altro possa carpirne il significato. Significa quindi che i vostri dati passano da una rete di fatto pubblica, ma “virtualmente privata” perché sicura e cifrata. VPN aziendale : la VPN aziendale è quella che vi consente, ovunque voi siate, di raggiungere i sistemi della vostra azienda, l’unica cosa che vi serve è una connessione ad Internet, ad esempio la connessione domestica, un hotspot WiFi di un hotel o la connessione del vostro cellulare. Anche qui il principio è lo stesso, se aprite ad esempio la intranet aziendale da casa di fatto utilizzate la vostra connessione internet, per collegarvi su un server delle vostra azienda. Ovviamente la vostra azienda non vuole che determinate risorse siano pubblicate su internet e quindi accessibili a tutti, quindi vi fornisce un client VPN o una VPN clientless. Quando vi collegate in VPN il vostro traffico viene cifrato, dandovi un accesso sicuro alle risorse aziendali. VPN personali : negli ultimi anni sono comparsi sul mercato una serie di software VPN personali. Questi software di fatto cifrano tutto il traffico dal vostro dispositivo fino a dei server remoti per provider VPN. Queste soluzioni sono molto utili se ad esempio siete connessi a rete WiFi pubbliche, perché su quelle reti un cybercriminale potrebbe in maniera abbastanza facile catturare il vostro traffico non cifrato e rubarvi informazioni personali o altre informazioni trasferite durante la sessione di navigazione. Inoltre questi software possono esservi utili per bypassare restrizioni locali, ad esempio in Russia non è concesso accedere a Linkedin, per cui se doveste recarvi in vacanza a San Pietroburgo potreste usare un software VPN per far si che la vostra connessione “esca su internet” da un’altra nazione e quindi accedere al vostro profilo Linkedin senza difficoltà. Quando usare la VPN aziendale? Il mio consiglio è quello di utilizzare la VPN aziendale ogni qual volta si lavora da un luogo che non sia l’ufficio, non importa se state accedendo al CRM aziendale o se state discutendo con un collega riguardo ad un progetto usando un programma di messaggistica istantanea come ad esempio WhatsApp. In questo modo sarete certi che tutti i dati scambiati siano cifrati e protetti. Quando invece utilizzare una VPN personale? Ogni qual volta ti colleghi ad internet esponi un informazione molto importante, il tuo indirizzo IP. Puoi verificare il tuo IP pubblico attraverso diversi siti come ad esempio: https://www.whatismyip.com/ ; questa informazione, insieme ad altre come ad esempio i cookie, espone i tuoi dati personali e consente a di tracciare la tua navigazione, le tue preferenze ecc. I rischi legati alla navigazione aumentano quando vi collegate a reti WiFi pubbliche. Le stesse caratteristiche che rendono gli hotspot Wi-Fi gratuiti appetibili ai consumatori li rendono desiderabili anche agli hacker: si tratta della possibilità di stabilire una connessione di rete senza effettuare alcuna autenticazione. Questo offre agli hacker l’opportunità di accedere liberamente ai dispositivi non protetti connessi alla stessa rete.
wi fi pubblico

I rischi del Wi Fi Pubblico per le nostre risorse informative

Autore: Raffaella Loprete 16 febbraio 2022
Molti professionisti svolgono le loro mansioni anche fuori dall’ufficio: trasferte di lavoro, appuntamenti con clienti o altro e spesso capita di doversi collegare ad internet per inviare un’email urgente o consultare un documento importante. Negli ultimi anni, i punti di accesso pubblici e gratuiti, si sono diffusi enormemente: centri commerciali, aeroporti, alberghi e ristoranti offrono questo tipo di servizio ed è innegabile la comodità e la tentazione di sfruttare gratuitamente la connessione. Tuttavia questa grande diffusione e il largo utilizzo che se ne fa, hanno dato un’ulteriore chance ai criminali informatici per violare i nostri dati e la nostra privacy. I rischi delle connessioni Wi-Fi, se non adeguatamente protette, sono tutt’altro che trascurabili e le tecniche di hacking note come Man in the Middle (MITM), mettono in grave pericolo le nostre risorse informative. Cerchiamo di capire qualcosa di più su queste tecniche e come mitigare il rischio di furto di dati: Spoofing: si tratta di un tecnica attraverso la quale l’attaccante crea una rete Wi-Fi con un SSID identico a quello della rete pubblica esistente, ad esempio in un centro commerciale, e attende che qualcuno caschi nel suo tranello e si colleghi al suo dispositivo invece che a quello autentico. Una volta attivata la connessione, il traffico dati dell’utente passerà attraverso il dispositivo dell’attaccante che farà da relay in maniera del tutto trasparente Sniffing: questa tecnica è una conseguenza dello spoofing e consente all’attaccante di avere sotto controllo tutto il traffico dell’ignaro utente che si è collegato al suo dispositivo. Sniffando il traffico, l’attaccante è in grado di scoprire abitudini di navigazione, informazioni personali, cookie di sessione, credenziali di accesso ai servizi online, con tutti i rischi che ne conseguono. Uno scenario del genere rende molto semplice per l’attaccante, far scaricare all’utente un malware sul suo dispositivo che potrebbe aprire una backdoor per un futuro attacco all’interno della rete aziendale una volta rientrato in ufficio. Questo tipo di attacchi non richiedono particolari competenze tecniche o elevati investimenti economici. Un dispositivo alla portata di tutti è il Wi-Fi Pineapple, nato come strumento utile per effettuare penetration test nelle reti Wi-Fi, viene venduto a 150 dollari e include molte funzionalità I rischi per la sicurezza legati alle reti Wi-Fi gratuite non sono da sottovalutare considerando altresì che i nostri dispositivi mobili si connettono automaticamente alle reti Wi-Fi aperte. Tuttavia esistono delle precauzioni per evitare di essere un facile bersaglio e difendere la confidenzialità delle informazioni che trattiamo, soprattutto per quanto riguarda i dati aziendali: Se è necessario collegarsi alla rete aziendale tramite un hotspot Wi-Fi pubblico è fondamentale utilizzare una connessione VPN (Virtual Private Network), i dati in questo modo vengono cifrati e trasmessi in sicurezza Se non la vostra azienda, malauguratamente, non rendesse disponibile una connessione VPN, Utilizzate, almeno per la navigazione internet, il plugin HTTPS Everywhere , che garantisce, quando disponibile, la connessione cifrata del traffico web. Disattivare la modalità Wi-Fi quando non si ha necessità di collegarsi a internet , lo so è difficile e la tentazione è sempre dietro l’angolo, ma il tuo dispositivo con questa modalità attiva continua a cercare le reti a cui si è connesso in passato, fornendo di fatto, un’arma formidabile ad un attaccante che volesse attirarvi sulla sua rete per sniffare il vostro traffico. Disabilitare, sul proprio dispositivo, l’opzione per collegarsi automaticamente alle reti Wi-Fi aperte Avere maggiore consapevolezza dei potenziali pericoli della rete, a tale scopo, la nostra piattaforma CyberBrain Awareness , fornisce preziosi consigli per incrementare le competenze personali in termini di cybersecurity e fornisce un eccellente supporto ai non addetti ai lavori per imparare e riconoscere e difendersi dagli attacchi informatici.
apple versus android

Rooting and Jailbreaking

Autore: Raffaella Loprete 16 febbraio 2022
Avrete certamente sentito queste due parole costantemente presenti sui blog dedicati ad Android e iPhone. Oggi, scopriamo insieme di cosa si tratta e quali rischi e benefici queste due pratiche possano determinare per l’utilizzatore dello smartphone. Partiamo dal rooting dei dispositivi Android. Per capire di cosa si tratta è bene fare una premessa: Android è un sistema operativo basato su kernel Linux. In ambienti Linux, l’amministratore di sistema è un utente chiamato “root”. Il sistema operativo Android, per ragioni di sicurezza non permette all’utilizzatore di eseguire determinate operazioni, in pratica l’utente non ha i privilegi di amministratore. Il rooting è l’operazione che permette all’utente di ottenere i privilegi di amministratore di sistema (diventare “root” appunto) e quindi di poter eseguire operazioni sullo smartphone, normalmente impossibili. Tra le varie attività che si possono fare, una volta ottenuti i privilegi di amministratore troviamo: Disinstallare qualsiasi applicativo presente sul telefono Ogni casa produttrice infatti preinstalla sugli smartphone una serie di programmi proprietari (il browser, la galleria, il widget del meteo o delle news ecc.) detti anche bloatware perché accusati (spesso con ragione) di consumare batteria e preziose risorse del nostro smartphone, senza poter essere disabilitati Aggiornare il proprio sistema a versioni successive o installare una Custom ROM Un’altra possibilità è quella di poter aggiornare il proprio sistema a una versione più recente. Per gli utenti più smaliziati, però, il vero obiettivo è quello di poter cambiare la ROM cioè caricare una versione modificata del sistema operativo (che rimane comunque Android). Una ROM diversa permette di personalizzare il proprio smartphone ad esempio utilizzando un’interfaccia spartana, per aumentare la durata della batteria, o avere a disposizione caratteristiche particolari non presenti nella versione Android originale. In realtà con il pieno controllo del sistema operativo, si può fare praticamente tutto: dal modificare l’IMEI del dispositivo al tracciare e bloccare le connessioni di rete, fino a modificare alcuni parametri della CPU e della GPU del dispositivo. Passiamo ora al jailbreaking , pratica riservata ai possessori del melafonino. Apple ha preso spunto per iOS (così si chiama il sistema a bordo degli iPhone), da BSD, un sistema operativo di tipo UNIX. Qui la filosofia è diversa, si è deciso di blindare l’iPhone consentendo di installare solo applicazioni ufficiali tramite l’ App Store. Questa grande differenza rispetto ad Android, lo rende sicuramente meno vulnerabile, in quanto le app sullo store di Apple vengono verificate ed approvate, prima di essere rese scaricabili dagli utenti. Anche il jailbreaking, come il rooting esegue una “privilege escalation” ma le differenze sono parecchie sia dal punto di vista tecnico che teorico. L’iPhone infatti nasce con molte più restrizioni “by design”: ad esempio non è possibile utilizzare un browser o un client di posta diversi da quelli predefiniti. In pratica, quello che l’utente Apple normalmente vuole ottenere con il jailbreaking (installare applicazioni al di fuori dell’App Store) l’utente Android lo può fare fin da subito, senza restrizioni. Mentre il rooting di Android permette sostanzialmente di avere il controllo completo del sistema operativo, il jailbreaking è solo la rimozione di alcune restrizioni presenti nel software. C’è però una caratteristica che rende simili queste due tecniche: i rischi legati alla sicurezza che introducono nei dispositivi. Nel caso del rooting, il problema nasce dal fatto che, come dice Spider man “da un grande potere deriva una grande responsabilità”. Avere controllo totale senza conoscere a fondo il sistema operativo, può portare l’utente a danneggiarlo irreparabilmente. Inoltre qualsiasi applicazione malevola, potrà uscire dal suo ambiente protetto ed accedere ai file di sistema, a tutti i dati presenti sul telefono e le conseguenze possono essere pesanti. Una delle prime azioni che diversi malware per Android eseguono, è infatti quella di provare ad ottenere i privilegi di root. Se sullo smartphone è stato effettuato il rooting, il malware sarà in grado di rubare password, cancellare file di sistema e addirittura modificare il firmware in modo che, anche effettuando un ripristino alle impostazioni di fabbrica, il telefono sarà già infetto al primo avvio. Per quanto riguarda il Jailbreaking, il problema principale è che questa modifica disabilita la sandbox (l’ambiente protetto all’interno del quale girano le applicazioni) di iOS rendendo quindi il sistema operativo e i dati degli utenti estremamente vulnerabili ad attacchi di malware e trojan. La sandbox infatti, è la difesa principale di iOS che blocca l’accesso ad alcuni dati e ai file di sistema (inoltre facendo girare le app in un ambiente protetto, si rende più difficile il verificarsi di crash). Il fatto è che iOS, non mette in conto che le app possano girare con i privilegi di amministratore e per questa ragione, una volta che il dispositivo è “jailbroken”, le misure di sicurezza praticamente non esistono. La maggiore sicurezza che Apple garantisce ai suoi utenti (limitando la possibilità di installare un’app malevola), scompare immediatamente una volta effettuato il jailbreaking, e il dispositivo iOS diventa un facile bersaglio per qualsiasi trojan o malware che voglia approfittarne. Per concludere, un consiglio che ci sentiamo di darvi è di non effettuare il rooting o il jailbreaking dei vostri dispositivi, a meno che non siate pienamente consapevoli di ciò che fate, e conosciate a fondo il sistema operativo del vostro smartphone.
Altri post
Share by: