giovedì 30 giugno 2011

MUMBLE - Le cloud incontrano il Cybercrime

Ho scritto questo articolo quanche tempo fa e ora posso finalmente renderlo pubblico anche su Punto 1 poichè è stato pubblicato nella seconda uscita della rivista CyberCrime magazine.

----------------------------------------------
Le Cloud sono il futuro dell’ICT e stano aprendo nuovi scenari e nuove opportunità di crescita in tutto il mondo. Negli Stati Uniti, ad esempio, Vivek Kundra, Chief Information Officer (CIO) dell'amministrazione pubblica statunitense, ha prodotto la “Federal Cloud Strategy” in cui, tra le altre cose, viene ribadito che le nuove iniziative IT federali dovranno prendere in esame le soluzioni cloud based in via prioritaria rispetto ad ogni altra opzione.

In questo contesto così florido e ricco di investimenti, i criminali non stanno certo a guardare e hanno cominciato a sviluppare le proprie strategie su questo specifico tema. Al momento stiamo assistendo ad un inizio di interesse da parte dei cyber criminali verso le grandi cloud pubbliche secondo tre direttrici principali:
• come bersagli di valore
• come fonte di nuovi strumenti
• come modelli di business da emulare

Prendendo in esame il caso in cui le cloud fungono da bersaglio dei cyber criminali è facile capire che, data la natura di grandi accentratori di dati provenienti da molti clienti diversi, le cloud sono percepite come uno dei bersagli più appetibili per attacchi di tipo “massivo” che puntano al furto o alla compromissione di grandi quantità di dati. Inoltre, le cloud pubbliche presentano caratteristiche infrastrutturali per le quali una singola vulnerabilità o un singolo errore di configurazione possono comportare una grande superficie d’attacco. I cyber criminali hanno poi l’invidiabile possibilità di ripetere un identico attacco sui molti clienti di una stessa cloud.

Infine, i cyber criminali sono attratti dalle cloud poiché i rischi connessi con questo tipo di attacchi sono attualmente molto bassi, in quanto:

1. le indagini delle forze dell’ordine sono tecnicamente molto complesse
2. la natura transnazionale delle cloud pubbliche complica ulteriormente la scena del crimine
3. in caso di giudizio non ci sono ancora precedenti consolidati sulla presentazione delle prove a carico

Tutto ciò contribuisce alla creazione di un substrato particolarmente favorevole all’azione dei criminali che inizia a dare qualche preoccupazione al mercato, come peraltro dimostrato da alcuni recenti casi di cronaca quali, ad esempio, il “data breach” di Epsilon, un fornitore cloud di servizi marketing per grandi marchi dell’industria mondiale. In questo caso, infatti, milioni di indirizzi email, nomi ed altre informazioni di valore sono direttamente passati dal cloud provider alle poco raccomandabili mani dei criminali.

Passando poi al caso in cui le cloud fungono da strumento per realizzare crimini, la riflessione può partire dalla considerazione che una comune modalità di misura della robustezza di molti meccanismi di sicurezza è data dal tempo necessario per comprometterne il corretto funzionamento con i normali strumenti messi a disposizione dal mercato. Molti meccanismi di sicurezza sono dunque considerati sufficientemente robusti perché garantiscono di resistere a tentativi di compromissione per un tempo considerato adeguato.

Il cloud computing sta mettendo seriamente in discussione questo approccio poiché, con estrema facilità e velocità, i criminali hanno la possibilità di rendere operative infrastrutture ICT capaci di grandi performance computazionali. Da notare, inoltre, che queste infrastrutture possono essere dismesse con altrettanta semplicità complicando quindi la successiva attività investigativa.

A dimostrazione delle reali potenzialità di questo tipo di approccio può essere preso in esame un sito che offre a “penetration tester and network auditors” la possibilità di sfruttare un servizio cloud per l’ottimizzazione della procedura di individuazione delle password di reti WiFi protette con algoritmo WPA.

Come si può leggere nel testo proposto nella home page del sito, il tempo di calcolo richiesto per questa operazione passa da circa 5 giorni a 20 minuti ad un costo di soli 17 dollari.

Infine, come precedentemente anticipato, l’ultimo punto riguarda invece l’aspetto emulativo del cyber crime verso l’approccio cloud. E’ sempre più evidente che i criminali si stanno organizzando per commercializzare i loro “business” in modalità “as a Service”. Exploit pack, spam, attacchi DDoS, phishing, frodi bancarie e quant’altro sia nella mente dei cyber criminali viene messo sul mercato sotto forma di servizi.

Si stanno quindi formando gruppi specializzati nell’erogazione di servizi malevoli ad altri gruppi criminali che quindi usufruiscono degli stessi benefici di economicità e flessibilità riservati ai normali utenti delle cloud. A questo proposito è interessante notare che le botnet, le reti di computer infetti che vengono controllati remotamente da criminali, stanno diventando delle vere e proprie cloud pubbliche in grado di erogare varie tipologie di servizi.

Insomma, dopo IaaS, PaaS e SaaS si sta consolidando anche il MaaS, il Malware as a Service.

E’ necessario quindi affrontare ed indirizzare il rapporto tra cloud computing e cyber crime con decisione, prima che le cloud siano utilizzate a livello globale nell’erogazione di servizi essenziali. Tra le varie indicazioni che possono essere date c’è la predisposizione di seri standard di sicurezza collegati a schemi di certificazione ufficialmente riconosciuti. Questi standard, tenendo conto delle peculiarità delle cloud, contribuiranno a limitare gli “effetti collaterali” della natura condivisa di questi ambienti. Inoltre dovrà essere fatto un grande sforzo a livello di standardizzazione delle procedure e degli strumenti di “forensic” nel mondo cloud in modo che le forze dell’ordine abbiano la possibilità di acquisire in modo efficiente, certo e affidabile le prove di quanto eventualmente accaduto. Infine dovranno essere elaborati dei codici di comportamento per i provider di servizi in modo che gli utilizzi consentiti per le cloud siano strettamente limitati e sottoposti ad adeguati controlli.

----------------------------------------------------------------------------------------------
Un piccolo aggiornamento che risale a qualche giorno dopo l'invio di questo articolo alla rivista. Kaspersky ha messo in evidenza un caso in cui l'infrastruttura di Amazon è stata utilizzata per servire malware agli utenti... la giostra è cominciata!!

3 commenti:

Denis ha detto...

articolo interessante. Ho chiesto il numero di valutazione della rivista e se quanto trattato sarà tutto al medesimo livello, per il costa più che abbordabile, ci scapperà l'abbonamento. È sempre bello trovare nuove risorse di informazioni.

Matteo Cavallini ha detto...

Ciao Denis,

grazie del commento, è sempre un piacere sentirti!

Effettivamente l'iniziativa editoriale mi è sembrata interessante. Se vuoi sul loro sito puoi sfogliare il primo numero della rivista e farti un'idea dei contenuti e poi ho scritto un'articolo anche lì... ;-))

Ciao, alla prossima.
Matteo

Denis ha detto...

mi è arrivato oggi il numero di prova...penso che dopo le vacanze farò l'abbonamento :)

Posta un commento

http://www.wikio.it