Sicurezza armonizzata tra diversi dispositivi
La rapida ascesa dei dispositivi mobili ha lasciato dietro di sé molte lacune nella sicurezza, a destare preoccupazione sono sistemi operativi con difetti, problemi di configurazione, applicazioni vulnerabili e reti pubbliche. In generale, si stima che il 75 % e oltre delle applicazioni mobili non supererebbero test di sicurezza di base. Le vulnerabilità dei sistemi operativi, d’altra parte, raddoppiano ogni anno. Di fronte a queste statistiche allarmanti, i consumatori devono ricorrere a strumenti di protezione che a volte non esistono in tutti i sistemi, hanno capacità che variano di molto tra diversi dispositivi e che spesso consumano troppe risorse. Tutti questi problemi si potrebbero risolvere con un solo cambiamento tecnologico: scaricando l’esecuzione di applicazioni di sicurezza su un dispositivo programmabile in cima alla rete – come una gateway di casa o il router di un’impresa. Il progetto SECURED (SECURity at the network EDge) è impegnato nella progettazione di una soluzione di questo tipo da ottobre 2013. Un paio di mesi prima della fine del progetto, il suo coordinatore, il prof. Antonio Lioy, del Politecnico di Torino, presenta i risultati ottenuti finora, come questa soluzione si inserisce nel panorama tecnologico attuale e i potenziali campi per la sua applicazione. Quali sono i principali problemi dei sistemi di sicurezza dei dispositivi mobili oggi? La sicurezza per i dispositivi mobili attualmente in uso è per lo più basata sul dispositivo: gli utenti devono installare localmente la soluzione appropriata su ognuno dei propri dispositivi, per esempio un anti-virus per proteggerli dal malware o un firewall per bloccare connessioni indesiderate. È una cosa complessa – poiché l’utente medio ha diversi dispositivi – e difficile - poiché alcune applicazioni di sicurezza non sono disponibili per tutti i tipi di dispositivi o non hanno le stesse prestazioni o caratteristiche. Le grandi aziende tendono ad affrontare il problema limitando i tipi di dispositivi mobili usati dagli impiegati e adottando un sistema di MDM (Mobile Device Management). Questo però non è possibile per gli utenti comuni che sono quindi sempre più esposti ai rischi. In breve, la sicurezza dei dispositivi mobili è variabile e per lo più insufficiente, perché dipende dai prodotti disponibili e dal dispositivo usato. In che modo l’architettura SECURED contribuisce a superare questi problemi? SECURED propone di delegare la protezione – totalmente o in parte – a un nodo di rete fidato e sicuro, costruito specificamente per eseguire applicazioni di sicurezza selezionati dall’utente e configurate secondo la politica specificata dallo stesso. Chiamiamo questo dispositivo un NED (Network Edge Device), poiché per assicurare prestazioni ottimali è preferibile metterlo nella rete il più vicino possibile al dispositivo mobile – anche se l’uso di un NED remoto o sul cloud è anche possibile. Quando l’utente collega il suo dispositivo mobile al NED, viene fornita una prova dell’identità e dello stato di integrità del NED in modo che l’utente possa fidarsi del NED e permettergli di lavorare al suo posto e viene creato un dominio di esecuzione virtuale dedicato per l’utente. Il NED poi scaricherà i controlli di sicurezza selezionati dai depositi specificati dall’utente e li configurerà secondo il profilo di protezione dell’utente scaricato da un deposito di politiche. Si può usare su reti esistenti? In che modo? Sì, è possibile, inserendo i NED nella rete e chiedendo agli utenti di connettersi per mezzo di un VPN al loro NED selezionato. Certo se il punto di accesso alla rete dell’utente, la gateway di casa, il punto di accesso Wi-Fi o il nodo di accesso 3G/4G, è già un NED, allora non servirà un VPN e le prestazioni saranno migliori. In ogni caso, l’opzione di avere il NED direttamente disponibile come primo ripetitore nella rete o come entità remota consente molta flessibilità nello schema di schieramento. Questo a sua volta permette un’adozione graduale della soluzione e la rende utilizzabile anche in quegli ambienti che non adottano direttamente la tecnologia SECURED. In altre parole, l’utente può controllare la propria sicurezza e l’unico parametro variabile sono le prestazioni della rete che sono al massimo con un NED locale e diminuiscono con uno remoto. La fiducia e la sicurezza sono garantite in entrambi i casi. E per quanto riguarda l’internet del futuro e più in particolare l’internet delle cose? Il paradigma sviluppato da SECURED è adatto anche all’internet delle cose. In genere i nodi di questi ambienti hanno potenza e capacità limitate e quindi hanno una protezione bassa o nulla perché non possono eseguire controlli di sicurezza complessi. Possiamo ottenere un buon grado di protezione per i nodi dell’internet delle cose collegandoli alla rete esterna per mezzo di un NED, che si occupa della loro protezione. Grazie al vostro sistema è possibile anche applicare politiche di sicurezza trasversali alla rete. Come ci siete riusciti? Il NED attualmente è un componente che coinvolge molte parti, a seconda di chi ne è proprietario. Per esempio, i NED offerti da un ISP (fornitore di servizi internet) o da un MNO (gestore di rete mobile) applicheranno la politica di sicurezza non solo dell’utente ma anche dell’operatore. SECURED ha sviluppato algoritmi per associare queste diverse politiche e applicare quella che ne risulta. Certo nei casi in cui la politica dell’operatore è più restrittiva di quella dell’utente, il NED informa l’utente delle restrizioni aggiuntive e offre l’opzione di disconnettersi. Poiché i controlli e le politiche di sicurezza sono scaricate sul NED a richiesta quando un utente si collega a una rete e questo funziona automaticamente in diverse reti. Inoltre la soluzione fornisce anche un sostegno senza interruzioni per la mobilità: se un utente si sposta da un punto di accesso a un altro, il suo dominio virtuale di esecuzione viene automaticamente collegato al nuovo punto di accesso. Può parlarci delle tecnologie che avete sviluppato? Ci rivolgiamo a utenti normali che non sono necessariamente esperti di sicurezza tecnica. Abbiamo quindi cercato di semplificare l’uso di SECURED il più possibile. Prima abbiamo creato un’interfaccia di alto livello per specificare la politica di sicurezza in un linguaggio quasi naturale – in realtà un linguaggio limitato, per esempio solo i verbi legati alla protezione sono disponibili, come “permettere”, “negare” o “registrare”. Poi l’utente può accedere a un punto d’acquisto dove sono disponibili varie applicazioni di sicurezza, molto simile al tipico punto d’acquisto che si può trovare sugli smartphone. Gli utenti esperti possono selezionare direttamente le applicazioni desiderate mentre i neofiti possono usare la selezione automatica basata sulla politica da loro specificata. Per esempio, se l’utente ha chiesto di bloccare l’accesso a siti web che hanno contenuti non adatti ai bambini e di essere protetto dal malware, allora il sistema suggerirà di acquistare un’applicazione di controllo parentale e una anti-virus. Se è disponibile più di un’applicazione dello stesso tipo, all’utente sono presentate le caratteristiche che le distinguono come il prezzo, le prestazioni e le raccomandazioni di altri utenti. Il progetto si concluderà presto. Come pensate che sarà ricevuto sul mercato? Quando abbiamo cominciato il progetto nel 2013, il nostro obiettivo principale erano i fornitori di reti e servizi e gli hotspot Wi-Fi. Pensiamo ancora che questi siano utilizzatori logici ma, allo stesso tempo, abbiamo scoperto che sono emersi nuovi e interessanti campi di applicazione. Oltre al paradigma già discusso, le moderne reti basate sul software sono un grande obiettivo: i paradigmi SDN (reti virtuali) e NFV (virtualizzazione delle funzioni di rete) stanno cambiando rapidamente lo scenario del collegamento in rete da uno basato sull’hardware a un basato sul software. Questo significa che la rete stessa è un possibile utilizzatore della tecnologia SECURED poiché essa offre funzioni di sicurezza su richiesta configurate secondo politiche specifiche ed eseguite in un ambiente fidato. Abbiamo presentato un demo a febbraio 2016 in occasione di un incontro del gruppo di lavoro ETSI NFV e la tecnologia SECURED ha suscitato molto interesse. Ci sono quindi vari mercati in cui secondo me SECURED avrà un ruolo importante nel prossimo futuro. SECURED Finanziato nell'ambito di FP7-ICT Sito web del progetto Pagina del progetto su CORDIS
Paesi
Italia