venerdì 3 dicembre 2010

MUMBLE - Il lato oscuro delle cloud

Un recente articolo apparso su Darknet.org.uk si è saldato con alcuni pensieri che stavo facendo proprio in questi giorni circa il mondo Cloud. 

A me pare che, finora, dal punto di vista della sicurezza delle cloud, ci si sia concentrati solo sull'aspetto della "difesa" dei dati e delle applicazioni che vengono spostati sulle nuvole. E questo mi sembra assolutamente naturale e giusto, dato che le cloud sono percepite, principalmente, come una risorsa potenzialmente strategica su cui investire. Si cerca quindi di capire quanto siano effettivamente sicuri questi servizi.

Già, ma questa è solo una parte del problema... l'altra parte, certamente meno frequentata ma altrettanto interessante per capire gli scenari futuri, è la seguente... le tecnologie Cloud quali scenari aprono dal punto di vista dei possibili attacchi e quali nuove possibilità possono offrire ai "cattivi"?

Come sappiamo, ogni nuova tecnologia ha, con il tempo, presentato un aspetto "evil" che in alcuni casi è risultato addirittura preponderante rispetto a quello inizialmente pensato... vero signor Nobel?

Ebbene qualcuno ha già pensato a come sfruttare il mondo cloud per fini non propriamente umanitari. Ad esempio, Thomas Roth, un ricercatore di sicurezza tedesco ha usato delle risorse cloud, basate su GPU, per eseguire un attacco di forza bruta finalizzato alla rottura degli hash SHA-1. E' già noto da almeno cinque anni che SHA-1 non poteva più essere considerato sicuro ma ciò che rende interessante il lavoro di Roth è la dimostrazione che ciò che richiedeva un lungo tempo di elaborazione o, in alternativa, molti soldi, può ora essere fatto da una sola persona, in pochi minuti, utilizzando delle risorse messe a disposizione da un cloud provider al prezzo di un caffè. Roth, infatti, ha speso poco più di 2 dollari.

Questo è solo un esempio, se ci si sofferma a pensare a quali possono essere gli impieghi malevoli delle cloud ci si apre davvero un mondo di possibilità...

Pensate quali vantaggi avrebbe chi dovesse nascondere dei dati compromettenti se utilizzasse un cloud provider compiacente con la propria sede in un paese dalla legislazione (o polizia) non propriamente attenta... 

Pensate a quali scenari si aprono se delle forze dell'ordine dovessero dare corso ad un sequestro di dati ospitati sulle cloud; quali difficoltà si troverebbero ad affrontare dal momento che non sarebbe nemmeno dato sapere dove si trovano fisicamente i dati stessi. E poi, le enormi difficoltà che si dovrebbero risolvere affinché il sequestro sia effettivamente utilizzabile in un eventuale processo.  

Pensate a tutti i servizi cloud di virtualizzazione di una postazione di lavoro, dove una moltitudine di soggetti può operare sulla stessa postazione e sugli stessi dati da tutto il mondo senza lasciare tracce se non nei log del fornitore di servizio (che può sempre essere un soggetto compiacente) rendendo quasi impossibile capire chi ha fatto cosa. 

Si potrebbe pensare anche a sistemi di comando e controllo di server reali che vengono portati a termine con le stesse modalità lasciando di nuovo le forze dell'ordine... all'asciutto. 

In ogni caso, come sappiamo bene, la creatività dei criminali in genere, e di quelli cyber in particolare, è veramente senza confini e quindi un potente strumento come quello delle cloud può essere facilmente sfruttato in modi che non è facile immaginare e prevedere.

In modo molto lungimirante, Brendan O'Connor, Ministro australiano per gli Affari Interni e la Giustizia, in un discorso recentemente tenuto presso la Conferenza Annuale di Sydney della "International Association of Privacy Professionals", ha trattato proprio di questi temi. 

Speriamo che il livello dei "decisori" sia sensibile a questi temi perché la realizzazione di un sistema internazionale di garanzie per le cloud non rappresenterebbe solamente un presupposto fondamentale per la costruzione di opportunità reali di business tramite questi strumenti ma diventerebbe un valido strumento per limitare la deriva verso il "lato oscuro" che potrebbe caratterizzare l'utilizzo futuro di questi strumenti.

Nessun commento:

Posta un commento

http://www.wikio.it