Protezioni combinate per una maggiore sicurezza nelle applicazioni mobili
Le statistiche sulla sicurezza dei cellulari mostrano scarsi miglioramenti da quando il primo smartphone è stato immesso sul mercato. Secondo Arxan, leader di mercato nella protezione software per dispositivi mobili, il 90% delle applicazioni contiene vulnerabilità di sicurezza critiche e il 46% delle aziende che creano applicazioni si aspettano che i loro prodotti siano attaccati dagli hacker nell’arco di sei mesi. E mentre sul mercato sono disponibili protezioni, non offrono una protezione adeguata, sono costosi o difficili da usare. “È quasi impossibile per gli sviluppatori determinare il valore che ricevono per i loro soldi, o valutare i benefici e i rischi di investire nella protezione”, afferma Bjorn De Sutter, coordinatore di ASPIRE e professore presso il laboratorio dei sistemi informatici presso l’università di Ghent. Sapendo che la maggior parte delle organizzazioni ha un budget limitato da investire nella sicurezza delle proprie applicazioni, il mercato sembra essere bloccato in un circolo vizioso. Ecco dove la tecnologia ASPIRE entra in gioco: “Abbiamo cercato di spingere l’avanguardia presentando miglioramenti concreti”, spiega il prof De Sutter. “Per esempio, abbiamo sviluppato tecniche anti-debugging che sono veramente difficili da aggirare. Abbiamo spinto il confine della combinazione di molte protezioni, che coprono una vasta gamma di caratteristiche e sfide (come l’attivazione ad esempio a livello sorgente e a livello binario) soddisfacendo sempre i requisiti industriali come la cooperazione con i compilatori di codice standard, in cui non può essere controllata la generazione di codice”. Il consorzio è riuscito a dimostrare la fattibilità di queste soluzioni accademiche su casi d’uso complessi, del mondo reale, e ha sviluppato un sistema di supporto decisionale con una metodologia di valutazione incorporata per sottolineare il livello di protezione del software di base. “È il primo del suo genere, per quanto ne sappiamo, ad assistere gli utenti nella scelta di buone combinazioni di protezioni alla luce del loro software, dei beni, e dei requisiti di sicurezza”, dice il prof De Sutter. Combinazione dei punti di forza Uno dei principali punti di forza di ASPIRE è la combinazione di varie tecniche di protezione. Il punto è, naturalmente, rendere il lavoro degli hacker più difficile, ma anche tenere conto delle esigenze delle molteplici attività incluse in una singola applicazione. Ultimo ma non meno importante, questo approccio consente al sistema di proteggere anche le stesse tecniche di protezione. Come evidenzia il prof De Sutter, tale combinazione di forze rende possibili attacchi che richiedono così tanto tempo e sforzi, che non sono più ritenuti utili. Tecnicamente parlando, ASPIRE combina cinque linee di difesa: nascondere il valore dei dati, offuscare il codice, tecniche anti-manomissione, attestazione remota e tecniche di rinnovabilità. “Le tecniche di rinnovabilità consentono di distribuire differenti versioni dello stesso programma e di aggiornare i programmi di frequente, in modo che i percorsi di attacco di successo, una volta identificati dagli attaccanti, possano essere sfruttati solo su un numero limitato di casi software e durante una limitata finestra di opportunità”, spiega il prof. De Sutter. L’obiettivo è quello di ridurre la possibilità che un attacco diventi redditizio, nella speranza che gli hacker rinuncino ad attaccare. Per verificare l’affidabilità del suo sistema, il prof. De Sutter e il suo team hanno inaugurato una sfida pubblica in cui agli hacker vengono offerti sette programmi da sconfiggere. Agli hacker di successo viene data una ricompensa se condividono il loro metodo di attacco con il consorzio. Guardando avanti I casi d'uso effettuati durante il corso hanno portato a preziose conoscenze che il consorzio intende sfruttare nel futuro. Ci sono stati alcuni risultati positivi, in particolare il fatto che il sistema ASPIRE possa essere efficacemente implementato su librerie complesse incorporate nelle applicazioni Android, e il consorzio ha anche individuato margini di miglioramento nell’efficacia di alcune protezioni. La maggior parte dei codici generati nell’ambito del progetto sarà resa disponibile al pubblico dopo la conclusione del progetto nel mese di ottobre 2016, in modo che i ricercatori possano attuare, ricercare ed estendere le protezioni esistenti. “I partner industriali di ASPIRE stanno lavorando sui loro piani di sfruttamento, e per quanto riguarda il mio gruppo, continueranno a lavorare su questi strumenti, sia per scopi di ricerca interni che di collaborazione con l’industria”, conclude il prof De Sutter.
Parole chiave
ASPIRE, smartphone, sicurezza mobile, app mobili, cibersicurezza