Archivi tag: cloud

Ancora su signorotti, vassalli e cloud

Lo scorso articolo, Se la sicurezza la garantisce il signorotto, ha iniziato un interessante dibattito, in particolare sul gruppo LinkedIn Italian Security Professonial (gruppo che consiglio a tutti gli addetti ai lavori perché ci sono sempre contenuti e discussioni molto interessanti).

In ogni caso vorrei chiarire qualche altro punto emerso dall’analisi che avevo fatto, continuando a leggere quello che hanno scritto Schneier e Morozov.

Sicuramente la filter bubble di un motore di ricerca fa subito storcere il naso, e contribuisce ad inquadrare il problema in tutta la sua gravità. Se non altro perché è una cosa che impatta immediatamente sulla nostra vita, visto che cerchiamo le cose su Google diverse volte al giorno.

Però il discorso, in particolare quello di Schneier è un po’ più ampio, e riguarda anche i servizi che i vari signorotti erogano “gratis”. Spesso sottovalutati, o usati marginalmente, sono poi in realtà il modo più forte che i provider hanno per applicare le loro regole ai loro clienti, sia come funzionalità che, soprattutto, come rischi di perdite di dati, lock-in e tutto quanto il resto.

Quindi i servizi cloud sono da evitare come la peste? Direi di no, come in tutte le cose c’è sempre un lato positivo, o in questo caso utile. Basta ovviamente ragionare e avere consapevolezza di dove si vanno a mettere i propri dati.

Continua infatti Bruce:

Feudalism is good for the individual, for small startups, and for medium-sized businesses that can’t afford to hire their own in-house or specialized expertise. Being a vassal has its advantages, after all.

Ed ha ragione. Non dimentichiamo che la forza di tante piccole startup, o aziende che tentano di aggredire nuovi settori di mercato, è proprio quella di azzerare (o quasi) i costi dei servizi IT. Perché con un abbonamento light o addirittura free a Google Apps, Salesforce, Dropbox o similari, si hanno comunque servizi efficienti, disponibili ovunque e, soprattutto, rapidi.

La rapidità di risposta e di azione è infatti la chiave del successo per una startup, e i servizi cloud possono supportarla in maniera eccellente. Se n’è accorto anche Forbes, che l’anno scorso nell’articolo How Cloud Computing is Fueling the Next Startup Boom scrive:

There was a time when launching a serious startup required serious capital. Seed money was required for hiring talent, marketing and promotion, office space, and for technology to make it all happen. The technology portion of the equation is suddenly diminishing, dramatically. Thanks to cloud computing and social networking resources, it now costs virtually pennies to secure and get the infrastructure needed up and running to get a new venture off the ground.

Ecco, questo è il punto di forza dei signorotti. E mi sembra chiaro che alla fine i conti non possono che essere a loro vantaggio, proprio perché gestire gli stessi servizi in proprio è fuori dal budget di una startup. Senza contare che oltre a soldi, un’infrastruttura IT in grado di supportare una grossa azienda è lenta nell’adeguarsi ai cambiamenti di mercato, spesso dipende da tante diverse componenti aziendali in contrasto tra loro e per questo non sempre è di ausilio al business, anzi…

Ovvio che, tornando al tema principale, non tutto è rose e fiori. Scheier dice appunto che:

Yet feudal security isn’t without its risks.

E i rischi sono proprio quelli che vanno considerati per primi e come quelli più importanti, perché visto che non c’è trattativa col signorotto, lui fa come vuole per “proteggere” i propri vassalli, anche contro la loro volontà.

Schneier infatti cita il caso in cui Amazon ha segato l’account Kindle di un cliente per un problema di residenza, o la brutta storia di come Matt Honan fu colpito da cybercriminali che hanno proprio sfruttato le vulnerabilità incrociate dei vari signorotti.

‬The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.‪

Proprio come il sistema feudale, l’unico proprietario di tutto (prima erano le nostre vite, ora sono i nostri dati) è il signorotto. Che agisce ovviamente nel suo unico interesse, a maggior ragione perché ora queste sono entità commerciali, quindi lo scopo non è tanto allargarsi su quello o quel terreno per arrivare alla corona.

Lo scopo che loro hanno è far soldi.

E magari se gli serve possono anche venderli, i loro vassalli. Bruce cita un paio di casi ma io mi rifaccio ad un bell’articolo di Matteo Flora, Non usate Google se siete una ONG, in cui fa due osservazioni non di poco conto:

  • Google collabora nel 95% dei casi con le autorità americane, ma solo nel 60% con quelle italiane
  • Se avete le vostre mail su Google sappiate che la tutela italiana (con ordine di un magistrato) non conta nulla e che potreste essere sottoposti a controllo senza che nemmeno lo sappiate

Ecco queste sono cose da sapere, prima di affidarsi alle amorevoli cure del signorotto. Sono discorsi molto complessi, lo ammetto, però sono necessari a coltivare una consapevolezza nell’uso degli strumenti (chiamiamoli cloud, web2.0 o come volete).

Perché si fa presto a fare un bel filmato di marketing e mostrare come è facile usare questo o quel servizio, solo che dopo possono insorgere insidie inaspettate, sulle quali la vostra ragione non verrà quasi mai considerata valida.

Molte cose non si possono conoscere a priori certo, Morozov da come improbabile la pubblicazione di certi metodi di filtraggio o di certi algoritmi, ma si augura che vengano almeno mostrati ai chi è incaricato di arbitrare la situazione:

Silicon Valley wouldn’t have to disclose its proprietary algorithms, only share them with the auditors. A drastic measure? Perhaps. But it’s one that is proportional to the growing clout technology companies have in reshaping not only our economy but also our culture.

Mentre la chiosa finale di Schneier è un po’ più drastica, soprattutto sul ruolo di controllo e bilanciamento delle forze che dovrebbero avere i governi in questo campo (che poi però sono i primi a cui fa comodo una corsia preferenziale di controllo sui contenuti ospitati dai signorotti):

But these days, government has largely abdicated its role in cyberspace, and the result is a return to the feudal relationships of yore.

Schneier conclude ripetendo che la sicurezza è un trade-off. Chi lavora in questo settore lo sa da sempre, come sa che non esiste un sistema 100% sicuro. Ed è per questo che molte aziende non firmano contratti con provider di questo tipo a cuor leggero, preferendo magari sistemi sviluppati in casa, sui cui si ha il pieno controllo. Anche a costo di sacrificare soldi e velocità nel seguire i flussi di business.

Questione di scelte certo. Ma fare una scelta presuppone avere gli strumenti, le conoscenze e la consapevolezza di farle.

Non tutti ce l’hanno, soprattutto in questi tempi in cui tutto è a disposizione “gratis”.

Io penso comunque che si sta sviluppando una consapevolezza di questo tipo, un awareness rispetto a chi ci offre qualcosa facendoci vedere solo quanto è bella e armata la cittadella fortificata, quanto sono organizzate le guardie e quanto è ricco il mercato dentro. Senza dirci però che, una volta dentro, non possiamo più uscire.

In fondo una parte di questa consapevolezza di come stanno le cose, buona o cattiva che sia, si chiama hacktivistm.

Bye!

Una panoramica sulla Cloud Forensics

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 4 di Hakin9 Extra.

Introduzione

Il cloud computing è senza dubbio una delle grandi innovazioni dei nostri tempi. Introduce un nuovo modo per implementare architetture complesse che solo dieci anni fa sarebbero costate centinaia (se non migliaia) di volte tanto.

Questo è avvenuto sia per l’introduzione della virtualizzazione delle risorse, dovuta all’elevato potenziale dei moderni computer, sia per una nuova più scalabile e flessibile organizzazione dei servizi offerti, orientati più verso un modello di business orientato ai Servizi stessi e non al Software.

Tutto ciò, insieme ad un nuovo modo di usare le applicazioni (tramite un browser, e non con il vecchio paradigma client-server), ha introdotto ciò che il NIST descrive come:

Un modello per abilitare un accesso pratico, on-demand via rete ad un gruppo di risorse condivise e configurabili (ad es. reti, server, storage, applicazioni e servizi), che può essere rilasciato rapidamente, con una minima gestione o interazione col provider.

Ci sono tuttavia dei problemi portati da queste innovazioni. Il principale è che tutti i modelli tradizionali, non ideati in tempi di cloud, devono essere ripensati.

Uno di questi modelli è appunto la computer forensic. Come fare questo tipo di attività su sistemi in the cloud, e come interagire correttamente con i provider di servizi cloud.

In questo articolo cercheremo di fare una panoramica su quali sono le nuove sfide che un professionista della forensic deve superare per fare bene il proprio lavoro, e cosa chiunque usi un servizio cloud, o ne gestisca uno, deve tenere in mente per evitare questo tipo di problemi nel futuro.

Cosa è cambiato?

Perché ci sono queste nuove sfide? Vediamo cosa è cambiato nel cloud.

Il modello della forensic tradizionale è basato su:

  • Raccogliere le evidenze on-site.
  • Rispettare la legge, e garantire la catena di custodia.
  • Analizzare i dati per trovare evidenze, eindividuare le prove.

Questo, nel cloud, cambia completamente.

Non esiste un sito fisico. Già, avete letto bene. “Nel cloud” non c’è un posto dove si può andare e sequestrare un pc o un server per analizzarlo in seguito. Nel cloud ci sono numerosi CED che ospitano contemporaneamente i dati che state cercando.
Questo è veramente un incubo, anche perché siamo al primo passo e già sembra un ostacolo insormontabile.
Considerato che l’architettura cloud consiste nella condivisione dei dati, risorse e servizi su diversi CED, infrastrutture virtualizzate e servizi aperti a chiunque, non c’è modo di essere certi che i dati necessari siano stati raccolti completamente.

Non c’è una singola legge. Garantire la catena di custodia significa che bisogna rispettare leggi specifiche, di una nazione specifica (in genere la vostra). Ma nella prospettiva del cloud non c’è una singola nazione. Una rete diffusa di centri di elaborazione dati significa una rete diffusa di giurisdizioni. E questo significa che può essere molto complesso (in alcuni casi, volutamente, impossibile) interagire con nazioni che non hanno leggi moderne sulla criminalità informatica.

Non c’è un singolo provider. Analizzare i dati significa che tutto quello che è stato raccolto deve essere coerente e può essere usato come prova. Ma se i servizi cloud che state analizzando sono relativi ad un’altra infrastruttura, potete garantire di non aver perso nulla? E chi vi può fornire ulteriore assistenza?
Questo è un problema reale già ora, facciamo un esempio. C’è un servizio molto noto che permette di sincronizzare e condividere file su diversi computer e dispositivi. Basta inviare, o meglio “droppare” un file in una cartella, o un “box”, e sono disponibili ovunque. Ora questo servizio di cloud utilizza risorse di un altro servizio sempre di cloud, di più altro livello, gestito da una nota libreria online di una “femmina cavallerizza”… La domanda ora è chi comanda? Chi realmente gestisce questo sistema? Difficile rispondere.
La risposta è che, dopo aver affrontato diverse giurisdizioni, la sfida qui è capire cosa quei dati significano, e cosa le due entità coinvolte sanno di quei dati e possono darvi. E questo può essere molto difficile.

Quindi è tutto così complicato? No, non tutto.

Poiché il modello cloud è una grande opportunità per tutti, può essere una grande opportunità anche per i professionisti della forensic. Questo però significa che anche i provider di servizi cloud devono essere pronti a confrontare i loro sistemi con le nuove sfide presentate dal nuovo modello.

Molti provider cloud non sanno cosa dire quando è il momento di parlare di cloud forensics, questo perchè fondamentalmente loro non conoscono il problema. Non se ne occupano perché il modello cloud è troppo veloce, scalabile e ampio per avere a che fare con questo tipo di problemi, strettamente legati al modello passato.

Ma questo è sbagliato in molti sensi. È sbagliato per il cliente, perché se succede qualcosa (e qualcosa prima o poi succederà) vi ritroverete in un gran guaio. È inoltre ancora più sbagliato per il cloud provider stesso, visto che è lui il responsabile di quello che succede sui suoi sistemi e sui servizi che offre. Questo quando le cose vanno bene, certo, ma ancora di più quando le cose andranno male.

Il cybercrime non sta a guardare

Finora abbiamo parlato di servizi regolare. Ma come è facile immaginare, il modello cloud non è un modo efficiente di fare business solo per le aziende normali, è un ottimo modello anche per i criminali.

Questo crea una notevole minaccia per chiunque gestisca un servizio cloud. E la minaccia è doppia.

Il primo problema è che potreste scoprire che il vostro servizio (lecito) è usato da cybercriminali per fare cose illegali. Ad esempio ci sono numerosi riscontri sul fato che qualche servizio online di malware scan è usato da chi scrive il malware per dimostrare la bontà del loro prodotto. È come se dicessero: vedete? Nessuno lo riconosce, comprate il mio malware!
Questo è un usonon proprio lecito di uno strumento perfettamente legale, ma magari tra qualche tempo i tizi vestiti di blu potrebbero fare un salto da voi e chiedervi “cosa sta succedendo?”.

L’altra minaccia è che anche i criminali stanno attivando i loro servizi nel cloud. Oggigiorno ci sono una quantità enorme di toolkit per produrre “malware fatto in casa”, e si possono acquistare per pochi dollari. La cosa interessante è che questi prodotti vengono venduti, supporto incluso (sì, c’è anche un helpdesk per usarli), su infrastrutture praticamente uguali a al modello diffuso di software-as-a-service (SaaS).
Ma quando un sistema come questo viene bloccato e, magari, sequestrato, come fa un professionista della computer forensic a capire cosa stava succedendo lì sopra? Come può estrarre i dati necessari a provare il crimine?

Questi sono casi reali, come reali sono le sfide che pongono.
E poi, pensateci, non è anche una botnet un “servizio cloud”? 🙂

Opportunità

L’abbiamo detto prima e lo diciamo ancora: siate pronti. Questo è un problema molto importante, e non deve essere sottovalutato.

Questo significa anche che molti professionisti della computer forensic possono realmente aiutare a implementare strumenti e strategie di cloud forensics nei nuovi servizi. Poiché questo è un problema che ogni cloud provider dovrà affrontare prima o poi, questa è un’eccellente opportunità per fornire supporto a definire una strategia della cloud forensics.

Il paradigma cloud è talmente versatile che è possibile, e infatti ci sono già dei progetti in tal senso, sviluppare una piattaforma di forensic-as-a-cloud-service, fatta specificatamente per il cloud.

Se siete un provider, può essere una grande opportunità anche per voi, perché definire una strategia e un’architettura per la cloud forensics significa implementare quegli strumenti e quelle procedure nei vostri servizi cloud, e questo è quello che va fatto ora. Questo significa sia una raccolta di dati proattiva, basata su strumenti di computer forensic (sì, anche quelli standard attuali!), sia una dettagliata procedura di incident response che includa la forensic, sia infine un addestramento per il vostro staff al fine di fargli comprendere meglio i rischi del nuovo modello (questo passo, sinceramente, è valido in ogni caso).

Tutto ciò significa anche comprendere le leggi delle nazioni dove sono i vostri CED. E questo è importante non solo per essere pronti in caso di incidente, ma anche per evitare possibili procedimenti legali nel caso le leggi siano troppo stringenti.

Negli Stati Uniti, ad esempio, molti tribunali e molti giudici stanno chiedendo sempre di più prove e dati provenienti dai sistemi informatici. E chiedono come le prove sono state raccolte, come sono state conservate ed analizzate.

E se siete voi l’azienda alla sbarra, e non sapete rispondere alla domande del giudice, potreste incorrere in sanzioni, o peggio.

Per concludere: non aspettate il vostro turno per finire nei guai, preparatevi.

Federico Filacchione
pubblicato originariamente come “An Overview on Cloud Forensics” su Hakin9 Extra numero 4/12© Software Press, Poland.

Una panoramica sulla Cloud Forensics – Articolo su Hakin9 Extra

Hakin9 Extra Cloud ForensicsÈ appena uscito Hakin9 Extra numero 4 totalmente dedicato alla Cloud Forensics, l’articolo di apertura della rivista è mio e si intitola  An Overview on Cloud Forensics.

Si tratta di una panoramica generale su quali sono le principali problematiche e criticità, ma anche quali sono le possibili opportunità, su come fare forensics su infrastrutture di cloud computing.

L’articolo è in inglese e questo l’abstract:

There’s not a single law. Preserving the chain of custody means that you’ve to comply with specific laws, regarding a specific country. But in a cloud perspective there’s no single country. A huge network of data centers means a huge network of jurisdictions. So could be very complex to interact with some countries that don’t have modern computer crime laws.

Il resto lo potete leggere abbonandovi e scaricando il numero, oppure tra qualche giorno su Glamis on Security!