In questi ultimi anni la diffusione di dispositivi mobili, come smart phone o PDA, è andata aumentando. Questo ha portato a nuove possibilità per lo scambio di informazioni fra gli utenti diversi, ma anche ad accresciuti rischi. In effetti, sono sorte numerose problematiche riguardanti la sicurezza dei dati e delle informazioni per tali dispositivi. In particolare è sorta la necessità di studiare e sviluppare nuovi meccanismi che assicurino, ad esempio, che una possibile applicazione scaricata dalla rete o dal gestore telefonico sia realmente affidabile e sicura o che le informazioni memorizzate su un dispositivo di sicurezza siano completamente confidenziali. Basti pensare che nella sola Chicago ogni giorno 400 telefono cellulari vengono abbandonati nei Taxi! Il gruppo di ricerca sulla sicurezza informatica dell'IIT-CNR ha effettuato diverse attività di ricerca sulla sicurezza sui sistemi mobili, tema di grande attualità. Tale gruppo è anche partner del progetto europeo S3MS ([1]) (che coinvolge anche molti partners industriali), il cui obiettivo è quello di studiare, analizzare e sviluppare un framework e un insieme di soluzioni tecnologiche per l'installazione e l'esecuzione fidata in ambienti eterogenei. L'obiettivo del progetto S3MS è consentire l'apertura del mercato del software per dispositivi mobili (da telefono cellulare in modo intelligente PDA) anche ad applicazioni in cui è previsto l'uso di terze parti fidate per garantire la sicurezza senza compromettere la sicurezza e la privacy. Il framework prevede che ogni applicazione abbia un "contratto" che ne specifica il comportamento riguardo le azioni che hanno impatto sula sicurezza del device. Specifiche procedure controlleranno poi che il codice dell'applicazione sia conforme al contratto e che a sua volta il contratto sia conforme alla policy locale stabilita dall'utente. In questo modo si può evitare di monitorare a run-time le applicazioni con evidente risparmio in termini di efficienza. Nel caso in cui non sia possibile effettuare il controllo sul codice è comunque previsto un controllo a run-time sul loro comportamento. Tutte le azioni non conformi alla policy stabilita dall'utente saranno vietate. Il nuovo paradigma non sostituisce, ma rafforzare l'odierna meccanismo di sicurezza, e fornisce un flessibile, semplice e scalabile della sicurezza e della privacy meccanismo di protezione per i futuri sistemi mobili. Esso consente a un operatore di rete e ad un utente di decidere cosa sia permesso fare ad una data applicazione, impedire ad un'applicazione di girare e di permettere di progettare e implementare applicazioni.
Il nuovo paradigma di "security-by-contract" interessa l'intero ciclo di vita delle applicazioni mobili e servizi: i contratti devono essere forniti come requisiti di sicurezza e di privacy ad alto per le applicazioni per le piattaforme mobili, devono essere sviluppati linguaggi di programmazione per la formulazione di contratti, i compilatori devono essere modificati per produrre contratti eseguibili per parti di software, deve essere possibile un controllo statico delle informazioni, che possono essere controllate a tempo di caricamento, e sistemi di run-time devono essere equipaggiati con i meccanismi necessari per garantire che i contratti siano soddisfatti durante l'esecuzione . Altre attività sono state svolte nell'ambito dello sviluppo di meccanismi di sicurezza per sistemi mobili, come, per esempio, "Secure Messaging SMS", una applicazione Java che consente l'invio e la ricezione di SMS permettendo di garantire l'autenticità del mittente e l'integrità e la confidenzialità del messaggio. Un'altra applicazione è la "TLS Messaging", che consente lo scambio di un messaggio, reso sicuro dalla firma digitale, tra un smart phone e un personal computer o tra due smart phones (attraverso l'uso di una terza parte fidata). Alcuni riferimenti posso essere trovati in [2,3,4,5]
Diverse applicazioni per l'autenticazione sono stati sviluppate ([6]): "Bluetooth token" consente di utilizzare uno smart phone come un token per l'autenticazione. L'autenticazione è basata su meccanismi di crittografia a chiave asimmetrica, certificati trusted e nonce challenge/response. "EAP-SIM", in cui i meccanismi di autenticazione sono basati sullo scambio di credenziali, e "SignIT-mobile", che permette di applicare la firma digitale. Al fine di difendere i dati memorizzati su un dispositivo mobile è stato sviluppato un "difensore dei dati". L'obiettivo è quello di realizzare un applicazione per PDA e smart phone, al fine di garantire che i dati personali e le informazioni, memorizzati su un dispositivo personale, siano sicuri. Un'altra interessante applicazione è stata sviluppata in modo da consentire di votare anche utilizzando una smart phone, garantendo la privacy di ogni elettore: "m-voting" ([7]). Queste attivita' hanno anche ricevuto un notevole attenzione nella stampa nazionale.
Riferimenti
[1] http://www.s3ms.org/index.jsp?code=1
[2] Da "Il Giornale dell'information & communication technology" . Febbraio 2006.
[3] Da "Cellulare Megadine". Aprile 2006.
[4] Da "Kataweb". Febbraio 2006.
[5] Da "La Repubblica".Febbraio 2006.
[6] Da "Il Sole 24 ore". Agosto 2007.
[7] Da "Adnkronos". Febbraio 2007.
Focus