Qual è l’elemento differenziante di BlackBerry nel mercato mobile? La sicurezza è sicuramente uno degli aspetti che rende la casa di Waterloo, in Canada, differente dal resto della concorrenza. Tale elemento è però anche alla base del nuovo smartphone BlackBerry PRIV, il primo Blackberry con Android.

John Chen, AD di BlackBerry, disse qualche tempo fa che non avrebbe usato Android se non fosse riuscito a renderlo sicuro. A questo proposito, l’azienda canadese aveva iniziato una collaborazione con Google con l’intento proprio di portare una maggiore sicurezza sul robottino verde. Ma in cosa si concretizza questo miglioramento? L’azienda lo spiega sul suo blog:

  • Hardware Root of Trust;
  • Verified Boot e Secure Bootchain;
  • un kernel Linux hardened;
  • cifratura completa della memoria interna;
  • infrastruttura BlackBerry;
  • BES12.

Andiamo a spiegare ciascuno di questi punti un po’ più in dettaglio.

Hardware Root of Trust

Letteralmente “radice hardware di fiducia”: si tratta di un processo di produzione che inserisce le chiavi crittografiche delle componenti direttamente nell’hardware per verificarne l’integrità e per avere una “radice della fiducia”, ovvero la certezza che i meccanismi di verifica non sono stati alterati in hardware per attaccare il software. Vengono iniettate chiavi crittografiche nei chip di memoria da cui si esegue il boot e tali chiavi vengono verificate all’avvio; a seguire vengono verificate le chiavi del sistema operativo, del file system di base e gli hash delle applicazioni installate.

Questo meccanismo è necessario per assicurarsi che non sia in atto un attacco utilizzando hardware manomesso: ci si assicura che si possa dare fiducia al “dispositivo 0” che fa da radice su cui si può costruire il resto del sistema – si instaura una cosiddetta trust chain, una catena di fiducia, in cui il primo dispositivo viene verificato e poi utilizzato per come base per verificare il successivo. Se non ci sono intoppi, l’ultimo passaggio è sicuro perché verificato dal precedente, che è verificato da quello ancora prima e così via fino a risalire alla radice. Potete iniziare ad approfondire il tema della chain of trust leggendo la pagina dedicata su Wikipedia (nota: in lingua inglese).

Verified Boot e Secure Bootchain

Questo passaggio è costruito sopra il precedente e ne è, in parte, una conseguenza: una volta che si instaura un meccanismo come quello dell’Hardware Root of Trust è possibile avere una sequenza di boot verificata (secure bootchain) ed è anche possibile verificare che il sistema operativo e le applicazioni che sono caricati siano genuini e non siano stati apportati interventi potenzialmente malevoli o dannosi (verified boot).

Kernel Linux hardened

Un kernel hardened (letteralmente indurito) indica, in gergo, un kernel in cui le misure di sicurezza adottate sono particolarmente stringenti e derivano sia dalle caratteristiche di sicurezza proprie del kernel sia da patch applicate ad hoc per questo scopo. In questo caso specifico BlackBerry ha provveduto a sviluppare diverse patch che hanno migliorato la sicurezza del kernel e ha apportato modifiche allo stesso. Non è noto quali siano questi cambiamenti, ma si può ipotizzare che siano state adottate politiche di SELinux più stringenti e che sia stato migliorato il sandboxing delle applicazioni.

Cifratura completa della memoria

Abbiamo già parlato varie volte della cifratura della memoria interna dei dispositivi – in particolare a proposito dei problemi prestazionali causati a dispositivi come Nexus 6 e Nexus 9. A partire da Android 5.1.1 Lollipop c’è stato un rinnovato interesse verso la crittografia e la sicurezza dei dispositivi, ma BlackBerry ha preferito sviluppare una propria soluzione che è compatibile con lo standard FIPS 140-2 definito dal NIST. Non è noto quale livello di tale standard venga garantito, ma in ogni caso i dispositivi che aderiscono a tale standard sono utilizzabili dai membri delle istituzioni governative statunitensi – che richiedono un alto livello di sicurezza per la grande sensibilità delle informazioni che possono transitare sui dispositivi.

Infrastruttura BlackBerry

Uno dei grossi vantaggi (ma anche svantaggi, come vedremo) di BlackBerry è la sua infrastruttura super-sicura, che permette di scambiare dati cifrati da un capo all’altro della comunicazione (end-to-end) rendendo quantomeno molto difficile l’intercettazione di informazioni. Questo garantisce un elevato livello di sicurezza delle trasmissioni.

Il problema principale sta nel fatto che molti operatori telefonici richiedono un’aggiunta alle tariffe normalmente applicate (la cosiddetta tassa BlackBerry) per accedere a tale infrastruttura – uno dei principali svantaggi per chi volesse usufruire di questa opzione.

BES12

BES sta per BlackBerry Enterprise Service: si tratta di un’infrastruttura di servizi pensata per utilizzare dispositivi e servizi BlackBerry all’interno delle aziende e che dà un grande potere e una grande libertà di gestione di dispositivi, persone e servizi.

BlackBerry DTEK

DTEK è un’applicazione preinstallata sul PRIV che analizza il livello di sicurezza del dispositivo e indica all’utente gli eventuali problemi sorti con applicazioni o impostazioni che possono abbassare il livello complessivo di sicurezza del dispositivo.

In conclusione, quindi, BlackBerry sta giocando tutte le sue carte migliori nel BlackBerry PRIV, nella speranza di tornare ad avere una divisione dispositivi che realizzi dei profitti e che permetta di rovesciare le sorti di quello che era, un tempo, il più grande produttore di smartphone sul pianeta.