Attacchi di tipo Social Engineering nel reale

Durante la giornata di ieri sono stato coinvolto da un mio cliente, che ovviamente lascerò anonimo, per un attacco di tipo Social Engineering, ovvero che conteneva un aspetto "sociale" estremamente forte. L'attacco ha causato una perdita economica estremamente considerevole e difficilmente recuperabile.

Il social engineering consiste nell'introdurre una componente sociale importante in un attacco che di tecnico potrebbe avere anche poco o nulla. Un esempio "didattico" lo introdussi quando uno dei miei attuali collaboratori iniziò a lavorare per noi. Per trasferire l'importanza della sensibilizzazione degli utenti, gli chiesi di chiamare dei clienti a caso, presentarsi come uno dei nuovi tecnici dell'azienda manutentrice e chiedere loro, con una scusa qualsiasi, la password d'accesso ai propri computer. Con suo immenso stupore, una percentuale molto alta diede la password pur non avendo mai sentito la voce ed il nome del nuovo collaboratore. Da quel giorno nacque una continua campagna di sensibilizzazione, perchè investire tempo su un utente non è meno nobile di investirlo nella revisione delle regole di firewalling o nella messa in sicurezza di un server pubblico.

Tutti noi, chi più chi meno, abbiamo fatto gli anticorpi ai file .zip o .exe, o, in genere, agli allegati via posta. Più o meno sappiamo riconoscere il phishing quotidiano e, con gradi di perspicacia certamente differente, ne stiamo alla larga. Ci sono, tuttavia, degli attacchi in grado di portare l'effetto ad un livello superiore.

Proviamo, quindi, ad analizzare step-by-step l'attacco avvenuto, tenendo in considerazione che non solo si tratta di un attacco reale, ma che ha sortito l'effetto voluto verso utenti solitamente attenti e affatto superficiali.

- step 1: la compromissione tecnica

la casella di posta di un fornitore del mio cliente viene compromessa. L'attaccante, a differenza di quanto accade normalmente, rimane in ascolto. Legge tutte le email ed elabora un piano attendendo una situazione favorevole.

- step 2: la situazione fa l'uomo ladro

il fornitore entra, dopo qualche settimana, in una situazione debitoria. L'attaccante, quindi, registra un dominio molto simile a quello originario (utile solo ad impostare il "rispondi a") e manda un'email al mio cliente dalla casella reale e compromessa del fornitore indicando la nuova banca per effettuare il bonifico. Trattandosi di una situazione internazionale, il fatto che la banca fosse altrove non ha destato alcun sospetto.

NB: L'email riportava l'intero elenco della conversazione con svariati reforward precedenti, i riferimenti reali dell'ordine (numero, data, importo, merce), le firme, i nomi degli interlocutori, lo stile discorsivo e sintattico del mittente originario. Non è un semplice phishing, era per tutto ed in tutto assolutamente veritiera. Era studiata perfettamente nei minimi dettagli ed era frutto di un'analisi durata probabilmente settimane.

- step 3: la veridicità

il mio cliente risponde (e la risposta va in automatico sul nuovo dominio del "rispondi a", tenendo all'oscuro il fornitore originario), lo scambio di email si interrompe alla seconda risposta, dove si indica di aver effettuato il bonifico correttamente.

Dopo qualche giorno, il fornitore reale invia richiesta di saldo, e si scopre il tutto.

Morale della favola: la sicurezza informatica non può prescindere da una buona dose di diffidenza e conoscere il fenomeno degli attacchi a sfondo sociale è assolutamente fondamentale. Questo esempio è, purtroppo, un perfetto esempio di come molto spesso un grado tecnico relativamente elementare può, se sfruttato al meglio e se coadiuvato da tecniche di tipo sociale, causare gravi danni.

WiFi ad altissima densità (eventi sportivi, concerti, etc..)

Recentemente ho avuto l'onore di essere coinvolto come responsabile informatico di una delle sei sedi di un importante evento sportivo: un mondiale di uno degli sport più diffusi al mondo dopo il calcio.

Questa esperienza, durata per ben due settimane, mi ha consentito di accumulare nozioni in uno dei campi più ostici e meno riproducibili del mondo del wireless. Progettata fin dall'inizio seguendo determinate logiche, alcuni importanti accorgimenti, giorno dopo giorno, ci hanno consentito di trovare un equilibrio perfetto ed erogare il servizio oltre ogni più rosea aspettativa.

Lo scenario e gli obiettivi

Lo scopo era erogare connettività wireless e cablata a circa 100 giornalisti (ed operatori) internazionali per un totale di circa 350-400 apparati (tra server, sistemi di gioco, utilizzatori e devices secondari). Tutti i dispositivi avevano necessità di bande importanti, dovevano trasmettere i video ed il materiale fotografico durante e dopo le partite e molto spesso i giornalisti avevano in stream la partita stessa che stavano vedendo dal vivo, per visionare moviole ed ascoltarne i commenti live.

La location: un palazzetto dello sport, capienza circa 6000 spettatori (molto a ridosso del campo di gioco), sempre pieno durante le competizioni in cui si esibiva l'Italia.

Il sistema: 17 access point (13 2,4Ghz e 4 5Ghz), gestiti da un controller centralizzato in grado di intraprendere azioni sugli utenti (spostarli di cella, bloccarli, etc..).

Qualche numero

In due settimane di evento sono stati trasferiti circa 6 Tb di dati, di cui oltre 2 Tb su wireless.

Durante la competizione circa 450 device hanno avuto accesso ed hanno utilizzato la rete wireless almeno una volta.

Abbiamo "subito" l'accensione di circa 600 access point indesiderati ed abbiamo avuto un totale di quasi 50.000 spettatori complessivi nelle 9 giornate di manifestazione.

I problemi

In situazioni di questo tipo, all'aumentare degli spettatori aumentano i problemi. Avere 8.000 device che fanno anche solo una scansione di rete ogni 120 secondi, comporta un carico per le celle non indifferente. Basti pensare al momento in cui le squadre sono schierate e parte l'inno nazionale della nazione ospitante. Migliaia di device verranno riaccesi per filmare il momento o fare delle foto, e questo comporta delle operazioni in background che finiscono per incidere sull'impianto.

Come se non bastasse, ogni squadra, ogni sistema video, ogni sistema audio, ogni sistema di gioco (dai tablet per gli arbitri allo scoresheet) richiede l'utilizzo di apparati radio, spesso mal configurati e con ampiezze di banda larghissime e potenze estremamente alte.

Ad aggiungere una ulteriore dose di problemi non da poco, molti utilizzano i propri device come hotspot, creando a tutti gli effetti centinaia di access point in sovrapposizione ai soli 3 canali utilizzabili del wireless a 2,4ghz. Nelle due settimane dei mondiali, abbiamo avuto un incredibile numero di quasi 600 rogue access point rilevati in conflitto con il sistema installato.

(questi sono i canali in sovrapposizione superiori ai -65db, non sono visibili i circa 30 access point sotto questa soglia, fondamentalmente hotspot privati)

Per chi fa wireless, questa è la tempesta perfetta e supera di molto gli ingredienti necessari per rovinare una piacevole serata.

Chi ha dimestichezza con gli analizzatori di spettro, troverà certamente interessante la schermata di cui sopra.

Le contromisure e le precauzioni adottate

• Aumentare il numero di access point al massimo possibile, evitando le sovrapposizioni di canali. Quindi questo significa che in ogni ambiente dovrò avere un massimo di 3 access point, rispettivamente sui canali 1,6,11. Le connessioni tenderanno a bilanciarsi naturalmente e le performance ne beneficieranno.

• Utilizzare quanto più possibile la rete a 5Ghz; ormai molti telefoni, tablet e notebook hanno la radio a 5 e preferiranno questa modalità rispetto a quella a 2,4Ghz. Nei momenti di massima congestione, i device a 5Ghz, nel mio caso, avevano oltre 25Mbit di banda utilizzabile, contro i 3Mbit di quelli a 2,4ghz.

Riguardo questi due punti, le mie aree "critiche" erano 3: uffici, sala stampa e area giornalisti a bordo campo. Creando isole di (massimo) 3 AP a 2,4Ghz e 2 AP a 5Ghz abbiamo gestito efficacemente anche 160 connessioni simultanee e a spalti completamente pieni.

• Abbassare le potenze: è assolutamente fondamentale avere potenze basse, meno pubblico "prende" la rete e meglio è. Le celle devono coprire delle aree ridottissime e null'altro. Questa è la chiave di tutto. Utilizzare dove possibile delle antenne fortemente direttive, diffondere omnidirezionalmente non è sempre la scelta giusta, soprattutto in questi casi.

• DHCP veloci! Se avete dei DHCP parassiti (e ne avrete tra i mille apparati che si collegheranno), gli unici due modi per non farsi rilasciare IP sbagliati sono: 
• 1) impostare il dhcp snooping su tutti gli switch (ma non è cosa semplice perchè questa funzione è gestita da switch di profilo medio-alto e non potrete propagare tutto questo anche sugli switch da poche porte che serviranno a gestire situazioni impreviste
• 2) avere server DHCP veloci, in grado di rilasciare IP prima che lo facciano altri; nel mio caso ho utilizzato 3 server DHCP nei 3 armadi di distribuzione verticale.

• Gestire le band limitation: gli abusi sono all'ordine del giorno, è importante limitare l'utilizzo di chi "esagera". E per esagera io ho definito il limite di 30Mbit di banda internet utilizzata per più di 15 minuti. Superata questa soglia il client veniva limitato a 5Mbit e successivamente a 3Mbit. Ovviamente è importante definire chi deve fare traffico perchè è il suo scopo, quindi nel mio caso i fotografi potevano caricare senza limiti in ogni caso.

• Cercare gli AP di terzi, gestirli, limitarli, offrirsi di riconfigurarli per evitare sovrapposizioni di bande. Questo aspetto più "sociale" che tecnico non è affatto da sottovalutare.

• Utilizzare ampiezze mai superiori ai HT20 (spesso definito come "velocità massima") sia sul 2,5 che sul 5Ghz. Eviteranno di catturare disturbi e sovrapposizioni, garantendo comunque una banda più che sufficiente in tutte le condizioni.

• Incentivare l'utilizzo della rete cablata. Sembra banale, ma non è scontato che una patch a 20 cm dal proprio notebook venga preferita alla connessione wireless.

• Non sottovalutare l'aspetto "networking tradizionale", laddove possibile raddoppiare i link in LACP o utilizzare percorsi ridondati in Spanning Tree non è mai una cattiva idea.

Personalmente ho ritenuto utile (purtroppo mi è venuto in mente solo alla fine della competizione) anche adottare un piccolo stratagemma: definire le potenze "a regime", ma poi mantenere gli apparati al massimo della potenza (fino a qualche minuto dal momento della "congestione radio"), lasciando libero un canale. Tutti gli Access Point parassiti (dalle chiavette agli hotspot), tenderanno a posizionarsi in "auto" sul canale più libero, quindi a regime potrete ribassare le potenze nella speranza che gli access point che non è stato possibile limitare, si siano spostati tutti sul canale lasciato volontariamente libero. Molti di loro negoziano il channel solo all'accensione, e non periodicamente.

TrueCrypt è morto?

TrueCrypt ha sempre destato fascino in alcuni e noie per altri. Ma andiamo con ordine.

Cos'è TrueCrypt?

Per i pochissimi che ancora non sanno cos'è TrueCrypt, basti pensare che ormai era diventato un must nel mondo della crittografia multipiattaforma. Che il tuo sistema operativo fosse Windows, Linux o Mac, poco importava, potevi montare un volume integralmente crittografato per poi smontarlo appena terminato. I volumi erano visti come macro file della dimensione del disco montato. La semplicità, la sicurezza e l'efficacia di TrueCrypt lo hanno da sempre, e per moltissimi anni, spinto in vetta nei download.

A chi crea problemi TrueCrypt?

TrueCrypt crea problemi a chi vuole accedere ai dati crittografati. 

Il suo codice opensource era trasparente, nessuna organizzazione poteva introdurre facilmente backdoor. Avevamo, quindi, un software incredibilmente stabile (io uso truecrypt da circa 10 anni, e non ricordo di gravi vulnerabilità che ne abbiano mai compromesso significativamente il sistema, del resto il rilascio degli aggiornamenti era sporadico, indice quasi sempre di un'alta affidabilità intrinseca) ed eccezionalmente sicuro (l'utilizzo di più algoritmi crittografici aumentava esponenzialmente la difficoltà nell'accesso ai dati sfruttando le vulnerabilità di un singolo algoritmo; l'utilizzo di un keyfile ed una password strong  - minimo 22 caratteri consigliava TC - lo rendevano davvero un punto di riferimento nella sicurezza dei dati).

Ha schiacciato qualche piede? Evidentemente si. Ha schiacciato i piedi di organizzazioni che hanno come scopo quello di accedere a delle informazioni sensibili. E' noto che l'NSA sotto questo punto di vista non abbia mai risparmiato metodi a dir poco discutibili e del tutto incuranti di qualsiasi diritto umano alla riservatezza e alla privacy.

Qualcosa non torna

Qualche mese fa qualcuno mise in giro voci che screditavano TrueCrypt. Si bisbigliava che contenesse backdoor, che fosse insicuro e così via. Gli sviluppatori e la community, quindi, investirono del tempo nella revisione completa del codice e dichiararono, pertanto, che non era presente alcuna backdoor e non vi era alcun dubbio legato alla sicurezza del software.

Qualche settimana dopo, tuttavia, il progetto chiuse. Il codice sorgente venne tolto (così da evitare che altri creassero dei prodotti simili), i download rimossi. Il tutto venne sostituito da una bella paginetta che puzzava di presa in giro lontano un miglio:

http://truecrypt.sourceforge.net/

Perchè?

A questo punto le domande sono molte.

1. Perchè gli sviluppatori hanno investito del tempo a revisionare il codice, a dichiararlo tutto sommato sicuro, ed ora improvvisamente TrueCrypt è diventato pericolosissimo?
2. Perchè non si parla di quali e quante vulnerabilità abbia TC?
3. Perchè il codice sorgente è scomparso? (http://www.truecrypt.org/docs/source-code è stato rimosso e punta alla paginetta-farsa) E' consuetudine che un progetto opensource venga migliorato da tutti coloro i quali possano ritenerlo opportuno. Se ho un problema nel mio codice, la community può vivere di vita propria e portare avanti un progetto che io, autore, ho deciso di non seguire più. Questo è del tutto normale e sono migliaia i progetti abbandonati e ripresi da altri.
4. Perchè non è più possibile scaricare vecchie versioni di TC?
5. Perchè viene osannato il passaggio a BitLocker (Microsoft, codice chiuso, backdoor inseribile facile facile...)? Se a me non interessa più sviluppare un prodotto, non certo mi metto a scrivere una guida su come fare la stessa cosa con altri software. Che senso ha tutta questa spinta verso BitLocker?

Ammesso che la chiusura sia voluta e non si tratti di un banale defacement o abuso della piattaforma sourgeforge (per cui decaderebbe qualsiasi ipotesi e si risolverebbe in un banale "scherzo"), lascio a voi le conclusioni.

Viviamo davvero nell'era della libertà digitale? Forse no, forse il macchiavellico concetto del fine che giustifica i mezzi è andato persino oltre le peggiori e pessimistiche aspettative. Il motto "combattiamo il terrorismo" è diventato forse il passepartout legale per ogni azione, seppur riprovevole?

Monitoraggio delle connessioni, controllo dei lavoratori e giurisprudenza Italiana

Molto spesso mi viene posta questa domanda: "posso, ed in che misura, legalmente monitorare le connessioni degli utenti?".

La legislazione Italiana è articolata e si divide tra il diritto del lavoratore a mantenere la propria privacy ed il diritto dell'imprenditore o dell'amministratore di rete ad impedire o limitare utilizzi impropri. Il tutto assorbendo le indicazioni del Data Protection Working Party, organo dell'UE preposto a consigliare gli stati membri su questo specifico argomento.

Proviamo a sintetizzare e semplificare il panorama attuale.

Affinchè un datore di lavoro o un amministratore di rete possano memorizzare e consultare informazioni sulle connessioni aziendali, è necessario ed imprescindibile che vengano rispettati i seguenti principi:

• Vi sia una reale e motivata necessità, ossia le attività di raccolta dati non siano di carattere generico e prive di un significativo scopo (volto a garantire la sicurezza, la continuità aziendale e a prevenire illeciti);
• Il lavoratore venga preventivamente ed accuratamente avvertito, garantendo sempre la trasparenza delle operazioni di verifica (Art. 4 Statuto dei Lavoratori);
• Chi esegue un controllo deve farlo proporzionalmente al fine, un controllo sproporzionato è esso stesso un illecito (se ad esempio si vuole appurare un'intrusione informatica su di un server pubblico e la raccolta dati sulla navigazione degli utenti non è necessaria, non va effettuata);
• I dati raccolti devono essere trattati in sicurezza e conservati per un periodo di tempo non superiore a quanto strettamente necessario.

Fatti salvi questi principi, dettati in appositi suggerimenti del Garante, ogni prova raccolta non in ottemperanza della Legge non è utilizzabile in sede giudiziaria e viene invalidata.

In relazione al principio di trasparenza, il Garante propone delle linee guida per la creazione delle Policy Aziendali, fondamentali affinchè il lavoratore venga adeguatamente informato. Eccone alcuni esempi:

• Indicare cosa è tollerato e cosa no (utilizzo di social network, ascolto di musica, visione di contenuti multimediali, etc.), ed in che fasce orarie;
• Indicare se è consentito l'utilizzo personale dei mezzi aziendali (posta elettronica, etc.), ed in che misura;
• Indicare quali informazioni sono memorizzate, per quanto tempo e con quali modalità verranno effettuati i controlli.

Il Garante, inoltre, consiglia l'adozione di strumenti atti a prevenire i controlli. Meglio (e lecito), quindi, bloccare i social network, piuttosto che analizzare i log alla ricerca di chi li usa.

Sono espressamente vietati dal Garante:

• I sistemi di ripresa audiovisiva in grado di risalire puntualmente alle attività svolte dai lavoratori, nello specifico è assolutamente vietato posizionare telecamere in grado di videoriprendere i monitor;
• I sistemi di memorizzazione immotivata di dati sensibili che possano dare indicazioni su orientamenti religiosi, politici e dati sensibili (quindi tutti i content filtering/proxy e logger delle pagine web);
• Keylogger ed ogni sistema in grado di memorizzare i caratteri digitati sul terminale;
• Programmi in grado di consentire l'analisi occulta delle macchine utilizzate dai lavoratori;

BlackBerry 10 (Z30) vs Android & iOS. Sicurezza e non solo...

Uno degli obiettivi più interessanti per chi produce malware o per gli spammer "professionisti" è indubbiamente il mondo del mobile. Pensiamoci per un attimo, sul nostro smartphone spesso è possibile trovare più informazioni di un computer. Oltre agli account tradizionali di posta, su un dispositivo mobile ci finisce spesso tutto il cloud (che si chiami Dropbox, Box, iCloud, SkyDrive o Google Drive, ma anche evernote o lastpass, poco importa), ma spesso anche informazioni finanziarie, come PIN, carte di credito, codici utenti e così via. Indubbiamente tutto questo è comodo, avere a portata di mano password e PIN è interessante, ma non dobbiamo dimenticarci che questo interesse può muovere anche chi di professione utilizza questi dati in maniera "opinabile".

Molto spesso mi sono domandato quale fosse il dispositivo più "sicuro", e molto spesso la risposta è stata "il nokia 3310". Scherzi a parte, rimango dell'idea che la sicurezza in ambito mobile praticamente non esista. Mentre i sistemi operativi desktop hanno affinato le loro protezioni dopo decenni di lotta e di debugging, i dispositivi mobili sono indubbiamente troppo "freschi", oltretutto le protezioni sono ridicole, almeno quanto un antivirus eseguito con privilegi utente. 

Prima era diverso anche lo spirito, le vulnerabilità venivano scovate e pubblicate, ora invece c'è più riservatezza e si tende a monetizzare le proprie scoperte e ad utilizzarle in maniera occulta. Ma questo è un aspetto "sociale" che meriterebbe un capitolo a parte.

Di certe ci sono solo due considerazioni: la prima è che da recenti statistiche si stima che il 52% dei dispositivi Android sia compromesso in maniera più o meno grave; la seconda è che un codice aperto può migliorare l'identificazione di backdoor, ma al superamento di un numero significativo di linee di codice la leggibilità viene indubbiamente e gravemente intaccata. Linus Trovalds stesso ha dichiarato che il kernel linux ora è troppo voluminoso causando, seppur in un codice in chiaro, illeggibilità.

Cosa concorre a raggiungere l'incredibile soglia di 1 telefono su 2 compromesso? Le App? Le ROM "cucinate" a codice aperto ma di oltre 300Mb e quindi quasi illeggibili? La disattenzione dell'utilizzatore che acconsente ad un semplice notepad di poter leggere le email, i contatti, i file condivisi, la posizione e quant'altro? I rootkit? Probabilmente una percentuale di tutte e quattro. Come una ricetta golosa, impastando e mescolando, guardate chi vi sta difronte o accanto: uno di voi due ha uno smartphone compromesso i cui dati in misura più o meno importante vengono utilizzati per fini poco nobili. Spiacevole, vero?

Personalmente ho sempre ritenuto che l'approfondimento nasca da una prova tangibile e pratica di ogni prodotto e di ogni sistema. Possiedo Android, Apple ed ora BlackBerry. Così come lavoro su Linux, utilizzo Windows e possiedo un notebook Mac. La chiave per non scendere nella pericolosa e spesso dilagante cecità tecnologica sta nell'esprimere giudizi solo dopo aver provato anche l'opposto. Sembra banale, ma non lo è. Un appassionato di MAC e che utilizza solo MAC parlerà bene di quest'ultimo. Ma che ne sa dei passi in avanti fatti dall'interfaccia di Windows 7 se è rimasto a Windows XP? E viceversa, e con Linux, e con tutto.

Arriviamo al dunque. Questa non vuole essere una recensione del BB10 Z30 tradizionale, non voglio parlare della scocca, del supermega display iperfull HD (che non ha, tra l'altro). Di recensioni ce ne sono tante, e vi invito a vederle, soprattutto se vi aspettate questo. Io, invece, voglio contestualizzare il dispositivo a due fattori primari:

1. L'utilizzo in ambito Business
2. La sicurezza

Partiamo da una rapida panoramica, molto generica e del tutto personale. E' vero, l'ho detto, non voglio parlare della scocca, ma qualche "pro e contro" seppur assolutamente personale, opinabile e superficiale è doveroso e si ricollega ai punti di cui sopra.

Pro

• Batteria: La batteria è strabiliante. Con un uso intensivo arriva anche a sfiorare i due giorni. Laddove a fine giornata con altri dispositivi si cerca ossessivamente una porta USB o una presa di corrente come fossimo tossico-energetici-dipendenti, con il BB Z30 guardi il telefono e ti accorgi di avere ancora il 60% di carica. Per la prima volta con uno smartphone non mi sono preoccupato di spegnere il GPS, di spegnere l'accesso ad internet o di centellinare l'utilizzo del navigatore o di applicazioni "battery killer" tipo skype, indoona et simila. La batteria c'è, puoi usarla quanto vuoi, ma lei non ti lascia alle 18,00, puoi starne tranquillo. Se sei stato proprio discolo ed hai abusato palesemente del dispositivo, dandoti alla pazza gioia con YouTube ed AngryBirds, lo ricaricherai prima di addormentarti al 35%.

• Audio e Vivavoce: Anche qui la differenza con i competitors è abissale. La qualità audio è quella di un BlackBerry, ottima, efficace, nitida. Troppo spesso gli smartphone sono tutto tranne che degli ottimi telefoni. Hanno 4 core, le GPU imbarazzano quelle di un notebook, ma le telefonate sono pessime, la ricezione è scadente... questo è anche un telefono. Indubbiamente. Per la prima volta mi sono ritrovato ad abbassare il volume delle applicazioni multimediali, perchè troppo potente (oltre a restituire un audio pieno su ogni lunghezza d'onda). Il vivavoce è eccellente, ormai in ufficio parlo solo in vivavoce, ho dismesso gli auricolari. Suono nitido, sento e mi sentono perfettamente anche se mi allontano. Una spanna sopra ogni cosa che abbia mai provato. Tablet inclusi.

• GPS: Le mappe e la navigazione è ottima, l'aggancio alla rete GPS è immediato, nella peggiore delle ipotesi, con il telefono "buttato" su qualche sedile, ci mette un paio di secondi.

• Ricezione: La ricezione è un punto a favore, solitamente superiore a Samsung S4 e ad iPhone 4. Perchè non ho provato con iPhone 5? Perchè non ne avevo sotto mano. Semplice.

• Costo delle App: Più simile ad Android che ad iOS, ad ogni modo molto accessibile.

• Crittografia: Nei concorrenti la crittografia ha un costo in termini di performance. A volte anche molto significativo. L'ultimo tablet Android che ho crittografato era al limite dell'inutilizzabile. Sullo Z30 francamente io non ho trovato alcuna differenza tra il dispositivo in chiaro e completamente crittografato. Non è un dettaglio da sottovalutare, crittografare in AES256 ed in maniera "serena" un dispositivo è un addon importante sotto il profilo della sicurezza.

• BlackBerry Hub: Il BlackBerry Hub è un "centralizzatore" di notifiche. Inizialmente lo si vede con un occhio molto critico, si è abituati ad aprire ogni singola applicazione per vedere le notifiche della stessa. Dopo qualche giorno diventa inseparabile ed indispensabile. Non solo risulta veramente ben integrato con tutto (dai social a linkedin, dalle email ad ogni app di messaggistica, dagli sms alle sveglie o agli allarmi di sistema), il vantaggio di gestire ogni notifica immaginabile da un'unica, ben fatta e rapida, interfaccia è notevole. Non è più necessario entrare in ogni applicazione. Con uno sguardo, a display bloccato o meno, si accede a tutto. Il grado di stress da "iper-connessioni" si riduce drasticamente e non si perde alcun messaggio.

• Google Account: Piena compatibilità con l'account google, contatti e calendari sono bidirezionali e funzionano in maniera eccellente. Non c'è alcuna differenza nell'utilizzo di un device Android con i contatti google ed un BB con gli stessi contatti.

• Sblocco a Griglia: Lo sblocco schermo a griglia numerica è uno degli sblocchi più efficaci che abbia mai visto, nonchè uno dei pochi in cui un visualizzatore esterno difficilmente capirà come sbloccare il dispositivo nonostante abbia visto la procedura:

        La griglia numerica è casuale e cambia ad ogni sblocco, mentre l'immagine di sfondo è scelta dall'utente. Ho preso l'immagine con dei bottoni per semplificare. Lo sblocco avviene portando un numero scelto in precedenza in un punto dell'immagine. Quindi immaginiamo di sbloccare il telefono portando il numero "1" sul bottone nero in alto verso destra. La griglia si sposta completamente e tutta trascinando un qualsiasi punto, quindi è del tutto impossibile comprendere la procedura di sblocco vedendolo fare. Oltretutto, cambiando la griglia e la disposizione dei numeri ad ogni sblocco, l'operazione di spostamento è sempre diversa.

Contro

• Display: La risoluzione e la definizione è ottima, ma la luminosità è più bassa del normale. Va detto, tuttavia, che comunque è molto leggibile in ogni condizione. Pian piano ci si abitua e ci si rende conto che spesso si abusa della luminosità semplicemente per migliorare la leggibilità. Se un display risulta nitido e leggibile anche con il sole alle proprie spalle, allora viene meno l'esigenza stessa di aumentarne l'intensità. Notevoli i neri, non si distingue il dispositivo spento da uno con uno sfondo nero.

• Tasti: Inizialmente si sente la mancanza del tasto "indietro" e del tasto "impostazioni", almeno fin quando non si prende la mano con il gesture del sistema.

• Touch: Risulta sensibilmente meno preciso di Apple e di alcuni dispositivi Android.

• Controllo Vocale: Il controllo vocale è davvero pessimo. SIRI è generazioni avanti ed anche Android è decisamente migliore. Il controllo vocale BB è al limite dell'inutilizzabile.

• CardDav: Il supporto a CalDav è ottimo, ma con la 10.2.1 CardDav (utile per sincronizzare contatti condivisi non google) è problematico. Va detto che questa, ad oggi, è una Beta e che nella versione precedente il problema non sussisteva, quindi indubbiamente verrà rivisto nella prossima Stable.

• BB World e App: Le app non sono molte se paragonate a quelle Android, ma non sono nemmeno poche. Ho trovato quasi tutto, e ciò che non ho trovato, l'ho scaricato da Snap. Snap consente l'installazione di ogni applicazione Android 4.2, in maniera controllata, chiusa, quasi in modalità "chroot" (giusto per fare un paragone). Da un punto di vista, quindi, è possibile trovare ogni app non presente in BB World ripiegando su un simil-AndroidPlay, da un altro punto di vista la sicurezza con cui queste app vengono eseguite rende il dispositivo ragionevolmente al riparo dalle classiche dinamiche Android (pur rendendo incompatibili un numero considerevole di app -quelle molto hardware oriented e quelle iper-googleaccount based-, cosa che verrà affinata a Gennaio con il rilascio della Stable). Per fare un esempio: Youtube di BB è pessimo, ma quello android gira perfettamente senza alcun problema.

• La situazione Aziendale: RIM con BB non sta passando un buon momento e non è escluso che l'azienda fallisca. Non penso accadrà mai di avere un dispositivo morto e non supportato, ma c'è la possibilità che si assista ad un profondo ridimensionamento del personale. Non è escluso, pur trattandosi di un'ipotesi remota, ma c'è ed è giusto citarla.
• Supporto tecnico: Praticamente assente in Italia, se avete avuto la sfortuna di avere un telefono guasto e non avete sottoscritto l'estensione di garanzia con l'operatore telefonico, incredibilmente non potrete vedere ottemperati i vostri diritti alla garanzia perchè non esistono centri d'assistenza tecnica. Valutate attentamente questo punto, da solo potrebbe contare più di tutti i pregi elencati sopra.

BlackBerry Z30, Utilizzo in ambito Business

Indubbiamente il BB Z30 è incredibilmente orientato al mondo business. Ha delle caratteristiche che lo portano su un piano professionale. La sensazione è che ci siano pochi fronzoli e molta sostanza. "I giochini e le migliaia di app incontrollate e pericolose, le lasciamo su altre piattaforme. Questo strumento è per chi lavora. E se vuoi Clash of Clans, comprati un iPhone." Sembra essere questo il messaggio chiaro dell'azienda Canadese. Tutto è di qualità e c'è poco spazio all'approssimazione.

Conclusioni

BB10, che io ho provato in Beta 10.2.1 su Z30, è un'ottima e valida alternativa ad Android ed Apple. Meriterebbe indubbiamente più mercato di quanto non abbia ora. Restituisce allo smartphone finalmente caratteristiche telefoniche di spessore, ci rende meno energetico-dipendenti ed ha una chiara connotazione business.
L'assenza di anche una minima forma di supporto tecnico condiziona la scelta e, ad oggi, non lo riacquisterei solo per questo motivo.
Da un punto di vista di sicurezza informatica è indubbiamente migliore dei suoi rivali (anche se l'architettura è solo uno degli ingredienti che fanno di un dispositivo innocuo un pericoloso ed invadente strumento contro di noi), inoltre non è sbagliato ricordare le maggiori certificazioni acquisite (che lo rendono compatibile con i criteri che un dispositivo deve avere per essere adoperato da moltissime agenzie governative internazionali):

• FIPS 140-2
• Common Criteria Certification
• CESG APS (CAPS)

Che poi questo possa o meno contribuire a fermare la dilagante insecurity di Apple e Android, ma non serva a fermare l'NSA, questo è indubbio. Ma questa è un'altra storia...

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.