Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta sicurezza informatica. Mostra tutti i post
Visualizzazione post con etichetta sicurezza informatica. Mostra tutti i post

sabato 8 novembre 2014

Sicurezza: ritorno alle basi

Dando una occhiata alle diverse riviste di settore ci si può rendere conto di quanto la sicurezza informatica sia diventata importante. Non solo si sono moltiplicati i vendor e le tecnologie, ma le informazioni sul fenomeno si sono diffuse e adesso entrano a far parte anche del lessico di quotidiani e magazine non specialistici.

Ma quanto questo parlare ha aumentato la consapevolezza?

Una serie di suggerimenti interessanti può venire dalla lettura del nuovo rapporto 2014 Clusit, l’Associazione Italiana per la Sicurezza Informatica (Clusit).

Il documento che prende in considerazione oltre 2.800 incidenti avvenuti negli ultimi 36 mesi e si avvale dei dati forniti dal Security Operations Center di Fastweb. Il Rapporto identifica il cyber-crimine come la causa principale (più del 50 per cento) dei cyber-attacchi registrati durante tutto il 2013.

Si tratta di una crescita del 258 per cento rispetto al 2012 mentre si fanno strada fenomeni relativamente nuovi come hacktivismo (+22,5 per cento) e spionaggio informatico/telematico (+131 per cento). Le tecniche preferite dai cyber-criminali includono attacchi DDoS, cracking di account e Advanced Persistent Threat (APT) mirati verso organizzazioni specifiche.

L’aumento vertiginoso è frutto di tre fenomeni due “negativi” ed un terzo “positivo”:

  • L’aumentato valore economico di tali attività, che spinge la malavita ad orientarsi verso nuove forme di arricchimento illecito.
  • Lo stato di obsolescenza di gran parte delle strutture informatiche italiane, con un particolare deficit nei confronti della sicurezza sia in termini di tecnologie adottate che di creazione di processi interni di gestione
  • Un aumento della sensibilità che porta all’emergere di una serie di eventi che prima rimanevano nascosti tra le mura delle entità attaccate, aumentando gli ostacoli ad una corretta presa di coscienza del fenomeno.

Risulta particolarmente interessante notare come i 3 principali temi di attacco risultino essere di tipo abbastanza noto nei primi due casi, e di nuova generazione nel terzo.

DDoS e Cracking di account sono in effetti storicamente tra i più vecchi metodi di attacco utilizzati, e sia la letteratura che le notizie dal mondo della sicurezza informatica riportano clamorosi casi di violazione di database di account o di blocchi di siti.

DDoS la base dell’acktivism

Gli attacchi DDoS hanno infatti preso posto nelle cronache a seguito di alcuni episodi legati a fenomeni di attivismo online di gruppi quali anonymous o lulzsec. Assieme al deface, il blocco parziale o totale di siti è stato infatti uno strumento particolarmente utilizzato, addirittura con la distribuzione diffusa di software come LOIC (Low Orbit Ion Cannon) altrimenti in uso dagli “addetti ai lavori”.

La diffusione e relativa facilità con cui è possibile procedere ad un DDoS non è passata inosservata neanche alle bande di Cyber criminali che hanno trovato in questo un interessante strumento per ricattare vittime minacciando blocchi dei servizi web. I target di questo tipo di ricatto sono stati inizialmente siti di vendite online e, soprattutto, di scommesse. Pur esistendo tecnologie anti DDoS da anni il parco implementato di soluzioni in Italia è ancora desolatamente basso. Sia dal punto di vista delle tecnologie di networking che dal punto di vista della protezione di servizi chiave (si pensi ai servizi DNS) nonostante vi sia una offerta di mercato interessante dal punto di vista qualitativo il mercato italiano è ancora decisamente restio ad affrontare tali implementazioni, anche perché oltre alla richiesta economica vi sono richieste in termini di processi da affrontare, al fine di non far diventare questi strumenti oggetti belli ma fondamentalmente inutili perché non gestiti nella maniera corretta, fine che hanno subito nel nostro paese anche molte implementazioni IPS\ISD e SIEM.

Cracking di account

Le basi della informatica (e della sicurezza) insegnano che la prima attività che ha in carico un utente per poter accedere ad una struttura informatica è quella di effettuare il login. Nella maniera più diffusa questo viene fatto attraverso la coppia di dati username e password.

Sono oramai diversi anni che gli esperti di settore fanno notare come questa modalità di ingresso nella rete sia di tipo poco sicuro, in particolare l’uso delle password risulta essere spesso un vero e proprio tallone di Achille in termini di sicurezza. Le password comuni sono spesso facili da “craccare” anche attraverso elementari servizi di brute forcing, ma l’uso di password complesse risulta spesso intollerabile agli utenti che tendono a evadere i vincoli con strutture facilmente ripetibili. Un altro problema dell’uso delle password è che all’aumentare del numero di password richieste aumenta la tendenza ad unificarle indipendentemente dal tipo di servizio cui si accede. La password aziendale cosi è spesso utilizzata anche come password per accedere alla propria webmail o al proprio social network, esposti a continui attacchi ed hack.

Soluzioni di strong authentication esistono sul mercato da parecchio, ma oggi prodotti che integrano one time password generation ai sistemi di log-in sono diventate economiche, multipiattaforma e grazie al diffondersi dell’uso di app non richiedono più nemmeno la famosa “chiavetta”.  Anche in questo caso purtroppo in Italia il livello di implementazione è ancora troppo basso rispetto a quello che accade al di fuori dei nostri confini.

APT: non si bloccano se non ci sono le basi

“Dulcis in fundo” (o forse più correttamente dovremmo dire “in cauda venenum”) troviamo l’emergere del fenomeno APT, da una pressante campagna informativa da parte dei vendor di sicurezza informatica, quale nuova frontiera della protezione delle nostre reti.

Il fenomeno APT è un fenomeno estremamente complesso, e soluzioni magiche che ne indirizzino tutti gli aspetti non sono pensabili se non in termini di service che copra tutti gli aspetti della struttura IT. I prodotti presenti oggi offrono strumenti di protezione estremamente sofisticati che, però, necessitano a monte di una struttura adeguatamente preparata in termini di tecnologie e processi. L’APT nasce da una serie di attività che vanno dal social engineering al più tradizionale sfruttamento di una vulnerabilità per ottenere un accesso. Le stesse attività di DDoS e Account cracking possono essere in realtà componenti di un APT e richiedono attenzioni specifiche.

Quello che i dati ci dicono quindi è che il fenomeno non è più un oggetto di folclore ma che la sicurezza informatica incomincia ad essere un fenomeno che deve interessare la massa degli utenti IT e non solo poche realtà particolari. Un interesse che deve essere accompagnato dalla introduzione\implementazione di practice e tecnologie coerenti per poter essere efficaci. Non serve dotarsi della più sofisticata porta blindata se si lasciano aperte le finestre.

 

 

 

Sicurezza: ritorno alle basi

Dando una occhiata alle diverse riviste di settore ci si può rendere conto di quanto la sicurezza informatica sia diventata importante. Non solo si sono moltiplicati i vendor e le tecnologie, ma le informazioni sul fenomeno si sono diffuse e adesso entrano a far parte anche del lessico di quotidiani e magazine non specialistici.

Ma quanto questo parlare ha aumentato la consapevolezza?

Una serie di suggerimenti interessanti può venire dalla lettura del nuovo rapporto 2014 Clusit, l’Associazione Italiana per la Sicurezza Informatica (Clusit).

Il documento che prende in considerazione oltre 2.800 incidenti avvenuti negli ultimi 36 mesi e si avvale dei dati forniti dal Security Operations Center di Fastweb. Il Rapporto identifica il cyber-crimine come la causa principale (più del 50 per cento) dei cyber-attacchi registrati durante tutto il 2013.

Si tratta di una crescita del 258 per cento rispetto al 2012 mentre si fanno strada fenomeni relativamente nuovi come hacktivismo (+22,5 per cento) e spionaggio informatico/telematico (+131 per cento). Le tecniche preferite dai cyber-criminali includono attacchi DDoS, cracking di account e Advanced Persistent Threat (APT) mirati verso organizzazioni specifiche.

L’aumento vertiginoso è frutto di tre fenomeni due “negativi” ed un terzo “positivo”:

  • L’aumentato valore economico di tali attività, che spinge la malavita ad orientarsi verso nuove forme di arricchimento illecito.
  • Lo stato di obsolescenza di gran parte delle strutture informatiche italiane, con un particolare deficit nei confronti della sicurezza sia in termini di tecnologie adottate che di creazione di processi interni di gestione
  • Un aumento della sensibilità che porta all’emergere di una serie di eventi che prima rimanevano nascosti tra le mura delle entità attaccate, aumentando gli ostacoli ad una corretta presa di coscienza del fenomeno.

Risulta particolarmente interessante notare come i 3 principali temi di attacco risultino essere di tipo abbastanza noto nei primi due casi, e di nuova generazione nel terzo.

DDoS e Cracking di account sono in effetti storicamente tra i più vecchi metodi di attacco utilizzati, e sia la letteratura che le notizie dal mondo della sicurezza informatica riportano clamorosi casi di violazione di database di account o di blocchi di siti.

DDoS la base dell’acktivism

Gli attacchi DDoS hanno infatti preso posto nelle cronache a seguito di alcuni episodi legati a fenomeni di attivismo online di gruppi quali anonymous o lulzsec. Assieme al deface, il blocco parziale o totale di siti è stato infatti uno strumento particolarmente utilizzato, addirittura con la distribuzione diffusa di software come LOIC (Low Orbit Ion Cannon) altrimenti in uso dagli “addetti ai lavori”.

La diffusione e relativa facilità con cui è possibile procedere ad un DDoS non è passata inosservata neanche alle bande di Cyber criminali che hanno trovato in questo un interessante strumento per ricattare vittime minacciando blocchi dei servizi web. I target di questo tipo di ricatto sono stati inizialmente siti di vendite online e, soprattutto, di scommesse. Pur esistendo tecnologie anti DDoS da anni il parco implementato di soluzioni in Italia è ancora desolatamente basso. Sia dal punto di vista delle tecnologie di networking che dal punto di vista della protezione di servizi chiave (si pensi ai servizi DNS) nonostante vi sia una offerta di mercato interessante dal punto di vista qualitativo il mercato italiano è ancora decisamente restio ad affrontare tali implementazioni, anche perché oltre alla richiesta economica vi sono richieste in termini di processi da affrontare, al fine di non far diventare questi strumenti oggetti belli ma fondamentalmente inutili perché non gestiti nella maniera corretta, fine che hanno subito nel nostro paese anche molte implementazioni IPS\ISD e SIEM.

Cracking di account

Le basi della informatica (e della sicurezza) insegnano che la prima attività che ha in carico un utente per poter accedere ad una struttura informatica è quella di effettuare il login. Nella maniera più diffusa questo viene fatto attraverso la coppia di dati username e password.

Sono oramai diversi anni che gli esperti di settore fanno notare come questa modalità di ingresso nella rete sia di tipo poco sicuro, in particolare l’uso delle password risulta essere spesso un vero e proprio tallone di Achille in termini di sicurezza. Le password comuni sono spesso facili da “craccare” anche attraverso elementari servizi di brute forcing, ma l’uso di password complesse risulta spesso intollerabile agli utenti che tendono a evadere i vincoli con strutture facilmente ripetibili. Un altro problema dell’uso delle password è che all’aumentare del numero di password richieste aumenta la tendenza ad unificarle indipendentemente dal tipo di servizio cui si accede. La password aziendale cosi è spesso utilizzata anche come password per accedere alla propria webmail o al proprio social network, esposti a continui attacchi ed hack.

Soluzioni di strong authentication esistono sul mercato da parecchio, ma oggi prodotti che integrano one time password generation ai sistemi di log-in sono diventate economiche, multipiattaforma e grazie al diffondersi dell’uso di app non richiedono più nemmeno la famosa “chiavetta”.  Anche in questo caso purtroppo in Italia il livello di implementazione è ancora troppo basso rispetto a quello che accade al di fuori dei nostri confini.

APT: non si bloccano se non ci sono le basi

“Dulcis in fundo” (o forse più correttamente dovremmo dire “in cauda venenum”) troviamo l’emergere del fenomeno APT, da una pressante campagna informativa da parte dei vendor di sicurezza informatica, quale nuova frontiera della protezione delle nostre reti.

Il fenomeno APT è un fenomeno estremamente complesso, e soluzioni magiche che ne indirizzino tutti gli aspetti non sono pensabili se non in termini di service che copra tutti gli aspetti della struttura IT. I prodotti presenti oggi offrono strumenti di protezione estremamente sofisticati che, però, necessitano a monte di una struttura adeguatamente preparata in termini di tecnologie e processi. L’APT nasce da una serie di attività che vanno dal social engineering al più tradizionale sfruttamento di una vulnerabilità per ottenere un accesso. Le stesse attività di DDoS e Account cracking possono essere in realtà componenti di un APT e richiedono attenzioni specifiche.

Quello che i dati ci dicono quindi è che il fenomeno non è più un oggetto di folclore ma che la sicurezza informatica incomincia ad essere un fenomeno che deve interessare la massa degli utenti IT e non solo poche realtà particolari. Un interesse che deve essere accompagnato dalla introduzione\implementazione di practice e tecnologie coerenti per poter essere efficaci. Non serve dotarsi della più sofisticata porta blindata se si lasciano aperte le finestre.

 

 

 

venerdì 24 ottobre 2014

Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

  • la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare  Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

  • un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

  • va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.

 

Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

  • la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare  Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

  • un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

  • va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.

 

venerdì 20 giugno 2014

V-Valley Security: Cloud e Information Technology

Slide1

Questo secondo articolo è tratto dalla mia seconda presentazione tenuta in occasione dell’ICT Trade di ferrara.

Il focus è dedicato alle problematiche inerenti il “cloud”.

Slide2

Uno dei termini che va per la maggiore al giorno d’oggi è il termine “cloud”.

Cosa in realtà significhi questo termine e cosa ci sia dietro, però, eè spesso oggetto di confusione e fraintendimento, che differenza c’è fra “cloud”, “internet” e “remoto”? cosa sono davvero i servizi cloud? e cosa significa “cloud” in termini di sicurezza?


 

Le Basi del Cloud


 

Innanzi tutto occorre capire cosa significhi cloud. In funzione dei vari messaggi MKTG cui siamo bombardati in prima istanza un servizio basato sul “cloud” (mi si conceda di non usare l’equivalente italiano “nuvola” che mi suona ridicolo almeno quanto chiamare un mouse “topo”) è un servizio che si trova in una località non meglio precisata su internet e cui l’utente accede remotamente grazie alla propria connessione alla grande rete.

Slide3

questa definizione, valida ai fini di una comunicazione rivolta alla grande massa degli utenti, non è però valida per capire cosa sia il cloud in realtà, ne ci da indicazioni di quali siano le differenze tra un servizio “cloud” ed uno remoto generico, se non il fatto che vi si accede attraverso una rete pubblica o una rete virtuale provata (VPN).

Un primo chiarimento su cosa significhi in realtà cloud lo si può ottenere andando a vedere presentazioni dei diversi servizi cloud.

Slide4

Pur non dandoci ancora indicazione precise su cosa significhi “cloud” da un punto di vista implementativo, la classica definizione di “cloud” come erogatore di un “Qualcosa” “come un servizioXaaS, “Xas a service arricchisce il concetto di “cloud” come qualcosa decisamente più complesso, dandoci anche indirettamente le prime indicazioni delle inerenze del cloud in termini di sicurezza.

Definizioni tipiche dei servizi cloud come “Platform as a Service“, “Software as a Service” già ci dovrebbero far capire che il livello di complessità legato al cloud è non indifferente, non tanto nei termini di uso da parte dell’utente\cliente ma in termini implementativi e di design da parte di chi si occupa di sicurezza e da parte di chi eroga il servizio.

Le problematiche di sicurezza del cloud infatti possono essere legate alle esigenze specifiche degli utenti ma anche a quelle dei provider che erogano tali servizi. Nel mare magnum dei termini legati al cloud molti sono di difficile comprensione proprio perchè non si ha una esatta idea di cosa si stia parlando.

 

Slide5

Occorre quindi fare un passo indietro e capire cosa ci sia dietro il termine “cloud”


 

Dentro il cloud


 

Slide6

Invece di partire dalla definizione ufficiale (ne esistono, tanto per cambiare, decine) partiamo dalla prima impressione di qualcosa erogato in una località non meglio precisata ed apriamo queste “nuvole” di servizi per vedere cosa siano in realtà…

Squarciando il velo delle nuvole quello cui ci ritroveremmo a vedere è: un insieme di dacenter.

Slide7

La prima osservazione che occorre fare è che stiamo parlando di più di un datacenter, questo perchè nel concetto di “cloud” è insito il fatto che vi siano più punti di erogazione del servizio geograficamente dislocati in modo tale da poter offrire la stessa qualità di servizio agli utenti abilitati “ovunque” essi siano.

Un singolo server, un singolo datacenter non sono cloud anche se si appoggiano su “internet” per l’erogazione dei servizi. l’entità geografica dei servizi “cloud” è un tratto distintivo specifico. Ovviamente questa distinzione non sempre viene evidenziata a dovere e quindi diventa difficile distinguere tra un generico servizio di hosting, ad esempio, da un vero servizio “PaaS” (Platform as a Service).

La discriminante geografica è di sicuro un elemento distintivo necessario, ancorchè non sufficiente.

Slide8

essendo questi datacenter legati tra loro ma distinti e distanti in termini di locazione geografica, appare evidente che questi ultimi devono essere in qualche modo interconnessi.

Questo punto non è di secondaria importanza ed ha impatti specifici abbastanza pesanti come ha dimostrato anche la storia recente, basti pensare che l’encryption dei canali di comunicazione tra datacenter è una novità di questi ultimi anni, a seguito dello scandalo NSA-Snowden. Persino i server di Google prima dello scoppio di questa questione si limitava ad inviare i messaggi in chiaro tra i suoi vari datacenter.

Le problematiche di sicurezza Cloud quindi hanno aspetti inaspettati a chi non ha una idea di cosa sia effettivamente un servizio cloud.


I nodi della questione


 

Per rendere comprensibile un argomento altrimenti abbastanza complesso, potremmo iniziare a considerare i servizi cloud come dei servizi erogati da più nodi separati geograficamente che utilizzano, per consentire l’accesso agli utenti,  internet in veste di cloud pubblico e tecnologie internet ma in gestione privata quando parliamo di private cloud.

Per rendere ancora più esplicito il messaggio questi nodi sono datacenter in qualche maniera tra loro connessi che offrono servizi tramite protocollo tcp\ip e altri protocolli “standard” o non propietari.

Nel caso gli IP di erogazione del servizio non siano accessibili via rete pubblica possiamo parlare a ragion veduta di cloud privato. si noti che invece autenticazione o uso di canali criptati non definisce di per se un cloud privato, infatti qualsiasi erogatore di servizi cloud può richiedere autenticazione ed encryption (ssl\ipsec\tls) per accedere ai servizi erogati.

Questi nodi “datacenter” sono in linea di massima descrivibili in termini di:

 

  • infrastruttura
  • potenza di calcolo
  • capacità di storage
  • comunicazione

 

Slide9

ognuna di queste aree ha ricadute in termini di sicurezza specifiche sia per quello che concerne le esigenze del provider erogante che di quelle dell’utilizzatore.

Infrastruttura:

un aspetto della sicurezza poco curato, almeno nel nostro paese, è quello infrastrutturale. Sotto questa definizione si può mettere un sacco di roba, in realtà, tutto quello, ad esempio, che afferisce alla infrastruttura fisica: dai calcoli di carico statico dei rack al power consumption e il raffreddamento sia intermini di temperatura che di volumi di aria mossi.

Non è banale pensare che un datacenter debba essere accuratamente pianificato anche da questo punto di vista, altrimenti perfomance e potenza di calcolo potrebbero essere seriamente compromesse, ad esempio da un eccessivo calore o da serie limitazioni all assorbimento energetico in aree critiche del datacenter stesso.

Altro aspetto critico è l’accesso e la sorveglianza fisica del datacenter. In una struttura cloud vengono tenuti gestiti ed elaborati dati provenienti da diversi utenti con diverse esigenze in termini di sicurezza, controllo e compliance. L’accesso alle strutture potrebbe essere un requirement necessario in alcune aree geografiche, ma contemporaneamente un problema per alcuni utenti. immaginate una server farm che ospiti un servizio “X” scherato tra diversi clienti, immaginate che si conceda l’accesso a uno di questi che inavvertitamente o con dolo senziente danneggi l’operatività funzionale di un altro…

Sebbene la politica più comune e pratica sia quella di non concedere accessi a terzi se non al personale del provider, anche questo è, in realtà, un blocco più formale che sostanziale: vendor, consulenti, contractor hanno spesso accesso a queste aree.

CPU:

Superato lo scoglio infrastrutturale, che impatta principalmente il provider di servizi (ed il propietario del datacenter fisico, qualora non coincidano), ci troviamo alle classiche problematiche di condivisione della potenza di calcolo.

Qui le problematiche sono tra le più disparate in quanto si va dallo sharing di risorse a risorse più o meno dedicate, SLA e capacità distributiva del carico di lavoro in termini geografici.

per fortuna le tecnologie di virtualizzazione e grid computing hanno fatto passi da gigante e le modalità commerciali di offering oggi offrono uno spread di modalità abbastanza esaustivo. rimane la problematica di calcolare quali siano gli effettivi bisogni e di come blindarli in SLA opportuni a costo del rischio di rendere vano il nostro investimento nel cloud.

Storage:

Lo storage è in questo senso, molto più complesso. non si tratta solo di distribuire una risorsa fisica che deve essere allocata opportunamente, ma anche di garantire che i dati siano protetti. NSA insegna accedere ai dati non è impossibile, e in alcuni casi persino il service provider più integerrimo può essere obbligato a dare accesso ai dati su “disco” anche in maniera distruttiva, si pensi alla vicenda legata a megaupload ad esempio.

Le problematiche legate alla tipologia di dati salvati nel cloud sono quindi particolarmente complesse e hanno a che fare sia con il tipo di dato che la sua locazione geografica. tecnologie di encryption multilayer sono di solito indispensabili, dove per multilayer si intende che da un lato il provider deve, o dovrebbe, fornire un minimo livello di data encryption, ma poi l’utente dovrebbe provvedere con un secondo layer indipendente dal provider che lo metta al sicuro da eventuali intrusioni.

Connectivity:

per quanto banale possa sembrare, la connettività è da sempre un problema, e nei servizi cloud questo problema è particolarmente evidente.

Da un lato ci sono le prestazioni e la raggiungibilità, un servizio cloud deve essere raggiungibile dai suoi utilizzatori, per banale che sia questa è una osservazione importante.

La raggiungibilità è un punto focale anche se si introducono tecnologie di sicurezza quali ipsec o vpn\ssl, per questo di solito queste tecnologie sono utilizzate in ambienti cloud private, mentre per quello che concerne l’accesso dell’utilizzatore si punta generalmente a fornire accessi https con buona pace del bug heartbleed.

Alcuni servizi solitamente trascurati, come il DNS, sono fondamentali tanto che molti provider di servizi cloud, si pensi a Google ad esempio, hanno deciso di intervenire sulla questione offrendoli direttamente al pubblico con l’aggiunta del layer di security DNSsec che ancora stenta ad essere adottato in ambito italiano.

Della connettività si devono preoccupare tanto i clienti, che devono valutare con attenzione gli standard di accesso promossi dal provider cloud, che il cloud provider stesso anche per le comunicazioni inter-datacenter.

Slide10

in particolare il provider di servizi cloud deve porre attenzione alle dorsali di connettività ed assicurarsi, a meno che non sia esso stesso un propietario di tutta la catena fisica di comunicazione, che le comunicazioni tra i suoi vari nodi rimangano protette anche in presenza di salti carrier su carrier.

Storicamente questo è infatti uno dei punti di attacco comune da parte di hacker e forze dell’ordine, agire sul carrier da accesso immediato al flusso di dati e quindi consente un monitoraggio “facile” e trasparente. NSA ancora docet in questo senso, ma pensiamo anche all’affaire telecom di qualche anno fa in italia.

Cryptare le comunicazioni diventa quindi un “obbligo” anche se i grandi content provider ci sono arrivati solo negli ultimi due anni…

Slide11

Problematica duale è quella per l’utilizzatore del servizio cloud, anche questo infatti dovendo accedere al cloud attraverso un internet service provider dovrà preoccuparsi che le modalità di autenticazione e trasmissione dati offerte siano tali da consentire un adeguato livello di sicurezza.

Strong authentication, token, e diversi encryption level sono sicuramente auspicabili da parte di chi si vuole servire di tali servizi o vuole implementarli privatamente.

 Services:

Slide12

in termini di servizi le problematiche variano, ovviamente, da servizio a servizio ma vi sono due aspetti che sono aprticolarmente critici sopratutto per gli utilizzatori:

Lock in e Lock out

di cosa si tratta? ben nel primo caso abbiamo una situazione in cui la migrazione dei propri dati dal provider attuale ad uno nuovo è cosi onerosa che, nei fatti, siamo bloccati e costretti a rimanere “fedeli” al nostro provider.

La questione diventa particolarmente significativa se i dati processati dal servizio sono sensibili, i costi di migrazione potrebbero diventare proibitivi ed annullare tutti gli eventuali “savings”.

In realtàquella di lock in non è una problematica solo dei servizi cloud, ma genericamente afferibile a qualsiasi tipo di servizio: più la tecnologia utilizzata è di tipo “legacy” e non standard (o meglio open standard) più si corre il rischio di incappare in problematiche di lock-in.

Duale al lock-in è il lock-out, dove invece non si riesce ad accedere ai propri dati nonostante se ne abbia il diritto. per quanto improbabile questa è una eventualità che può capitare, ed è più legata a problemi di ordine legale che di tipo tecnologico, ne siano esempio leggi sulla privacy che impediscono al provider di servizi di fornire le chiavi di accesso di uno specifico utente anche se questi non lavora più in azienda, o dati bloccati per indagini in corso anche se il cliente non è direttamente coinvolto, si pensi ancora alla vicenda megaupload, dove la chiusura forzata del servizio aveva impattato anche chi stava usando quella piattaforma per un servizio SaaS (Storage as a Service) assolutamente legale.

Per quello che concerne la parte di autenticazione e gestione degli utenti, per fortuna, sono stati introdotti standard di supporto quali SAML che consentono di demandare all’utente la gestione degli accesso al servizio cloud togliendoli almeno parzialmente dal diretto controllo del provider.

Slide15


 

Ma alla fine perchè dovrei usare il coud in una delle sue declinazioni?


 

nonostante questi aspetti da valutare il cloud rimane un grande opportunità per lo sviluppo dei servizi di business, suia da parte degli utilizzatori che possono effettuare dei notevoli savings in termini di risorse e competenze impegnate, che dal punto di vista dei provider che hanno la possibilità di espandere una area di business ancora relativamente immatura.

Slide13

Dal lato savings la immagine sopra ci può avvicinare a capire quali siano dal punto di vista di un utilizzatore.

maggiore è lo spostamento verso servizi software as a service maggiore è il saving infrastrutturale ottenuto dal cliente.

Considerando che già ad oggi l’offering Cloud è di tutto rispetto e copre dalla infrastruttura ai servizi di sicurezza con tutto quello che passa in mezzo.

Slide14

e se non ci credete pensate semplicemente ai servizi di storage as a service che già utilizzate e che magari non avete pensato fossero un “X” as a service.

Slide16

Slide17 Slide18

V-Valley Security: Cloud e Information Technology

Slide1

Questo secondo articolo è tratto dalla mia seconda presentazione tenuta in occasione dell’ICT Trade di ferrara.

Il focus è dedicato alle problematiche inerenti il “cloud”.

Slide2

Uno dei termini che va per la maggiore al giorno d’oggi è il termine “cloud”.

Cosa in realtà significhi questo termine e cosa ci sia dietro, però, eè spesso oggetto di confusione e fraintendimento, che differenza c’è fra “cloud”, “internet” e “remoto”? cosa sono davvero i servizi cloud? e cosa significa “cloud” in termini di sicurezza?


 

Le Basi del Cloud


 

Innanzi tutto occorre capire cosa significhi cloud. In funzione dei vari messaggi MKTG cui siamo bombardati in prima istanza un servizio basato sul “cloud” (mi si conceda di non usare l’equivalente italiano “nuvola” che mi suona ridicolo almeno quanto chiamare un mouse “topo”) è un servizio che si trova in una località non meglio precisata su internet e cui l’utente accede remotamente grazie alla propria connessione alla grande rete.

Slide3

questa definizione, valida ai fini di una comunicazione rivolta alla grande massa degli utenti, non è però valida per capire cosa sia il cloud in realtà, ne ci da indicazioni di quali siano le differenze tra un servizio “cloud” ed uno remoto generico, se non il fatto che vi si accede attraverso una rete pubblica o una rete virtuale provata (VPN).

Un primo chiarimento su cosa significhi in realtà cloud lo si può ottenere andando a vedere presentazioni dei diversi servizi cloud.

Slide4

Pur non dandoci ancora indicazione precise su cosa significhi “cloud” da un punto di vista implementativo, la classica definizione di “cloud” come erogatore di un “Qualcosa” “come un servizioXaaS, “Xas a service arricchisce il concetto di “cloud” come qualcosa decisamente più complesso, dandoci anche indirettamente le prime indicazioni delle inerenze del cloud in termini di sicurezza.

Definizioni tipiche dei servizi cloud come “Platform as a Service“, “Software as a Service” già ci dovrebbero far capire che il livello di complessità legato al cloud è non indifferente, non tanto nei termini di uso da parte dell’utente\cliente ma in termini implementativi e di design da parte di chi si occupa di sicurezza e da parte di chi eroga il servizio.

Le problematiche di sicurezza del cloud infatti possono essere legate alle esigenze specifiche degli utenti ma anche a quelle dei provider che erogano tali servizi. Nel mare magnum dei termini legati al cloud molti sono di difficile comprensione proprio perchè non si ha una esatta idea di cosa si stia parlando.

 

Slide5

Occorre quindi fare un passo indietro e capire cosa ci sia dietro il termine “cloud”


 

Dentro il cloud


 

Slide6

Invece di partire dalla definizione ufficiale (ne esistono, tanto per cambiare, decine) partiamo dalla prima impressione di qualcosa erogato in una località non meglio precisata ed apriamo queste “nuvole” di servizi per vedere cosa siano in realtà…

Squarciando il velo delle nuvole quello cui ci ritroveremmo a vedere è: un insieme di dacenter.

Slide7

La prima osservazione che occorre fare è che stiamo parlando di più di un datacenter, questo perchè nel concetto di “cloud” è insito il fatto che vi siano più punti di erogazione del servizio geograficamente dislocati in modo tale da poter offrire la stessa qualità di servizio agli utenti abilitati “ovunque” essi siano.

Un singolo server, un singolo datacenter non sono cloud anche se si appoggiano su “internet” per l’erogazione dei servizi. l’entità geografica dei servizi “cloud” è un tratto distintivo specifico. Ovviamente questa distinzione non sempre viene evidenziata a dovere e quindi diventa difficile distinguere tra un generico servizio di hosting, ad esempio, da un vero servizio “PaaS” (Platform as a Service).

La discriminante geografica è di sicuro un elemento distintivo necessario, ancorchè non sufficiente.

Slide8

essendo questi datacenter legati tra loro ma distinti e distanti in termini di locazione geografica, appare evidente che questi ultimi devono essere in qualche modo interconnessi.

Questo punto non è di secondaria importanza ed ha impatti specifici abbastanza pesanti come ha dimostrato anche la storia recente, basti pensare che l’encryption dei canali di comunicazione tra datacenter è una novità di questi ultimi anni, a seguito dello scandalo NSA-Snowden. Persino i server di Google prima dello scoppio di questa questione si limitava ad inviare i messaggi in chiaro tra i suoi vari datacenter.

Le problematiche di sicurezza Cloud quindi hanno aspetti inaspettati a chi non ha una idea di cosa sia effettivamente un servizio cloud.


I nodi della questione


 

Per rendere comprensibile un argomento altrimenti abbastanza complesso, potremmo iniziare a considerare i servizi cloud come dei servizi erogati da più nodi separati geograficamente che utilizzano, per consentire l’accesso agli utenti,  internet in veste di cloud pubblico e tecnologie internet ma in gestione privata quando parliamo di private cloud.

Per rendere ancora più esplicito il messaggio questi nodi sono datacenter in qualche maniera tra loro connessi che offrono servizi tramite protocollo tcp\ip e altri protocolli “standard” o non propietari.

Nel caso gli IP di erogazione del servizio non siano accessibili via rete pubblica possiamo parlare a ragion veduta di cloud privato. si noti che invece autenticazione o uso di canali criptati non definisce di per se un cloud privato, infatti qualsiasi erogatore di servizi cloud può richiedere autenticazione ed encryption (ssl\ipsec\tls) per accedere ai servizi erogati.

Questi nodi “datacenter” sono in linea di massima descrivibili in termini di:

 

  • infrastruttura
  • potenza di calcolo
  • capacità di storage
  • comunicazione

 

Slide9

ognuna di queste aree ha ricadute in termini di sicurezza specifiche sia per quello che concerne le esigenze del provider erogante che di quelle dell’utilizzatore.

Infrastruttura:

un aspetto della sicurezza poco curato, almeno nel nostro paese, è quello infrastrutturale. Sotto questa definizione si può mettere un sacco di roba, in realtà, tutto quello, ad esempio, che afferisce alla infrastruttura fisica: dai calcoli di carico statico dei rack al power consumption e il raffreddamento sia intermini di temperatura che di volumi di aria mossi.

Non è banale pensare che un datacenter debba essere accuratamente pianificato anche da questo punto di vista, altrimenti perfomance e potenza di calcolo potrebbero essere seriamente compromesse, ad esempio da un eccessivo calore o da serie limitazioni all assorbimento energetico in aree critiche del datacenter stesso.

Altro aspetto critico è l’accesso e la sorveglianza fisica del datacenter. In una struttura cloud vengono tenuti gestiti ed elaborati dati provenienti da diversi utenti con diverse esigenze in termini di sicurezza, controllo e compliance. L’accesso alle strutture potrebbe essere un requirement necessario in alcune aree geografiche, ma contemporaneamente un problema per alcuni utenti. immaginate una server farm che ospiti un servizio “X” scherato tra diversi clienti, immaginate che si conceda l’accesso a uno di questi che inavvertitamente o con dolo senziente danneggi l’operatività funzionale di un altro…

Sebbene la politica più comune e pratica sia quella di non concedere accessi a terzi se non al personale del provider, anche questo è, in realtà, un blocco più formale che sostanziale: vendor, consulenti, contractor hanno spesso accesso a queste aree.

CPU:

Superato lo scoglio infrastrutturale, che impatta principalmente il provider di servizi (ed il propietario del datacenter fisico, qualora non coincidano), ci troviamo alle classiche problematiche di condivisione della potenza di calcolo.

Qui le problematiche sono tra le più disparate in quanto si va dallo sharing di risorse a risorse più o meno dedicate, SLA e capacità distributiva del carico di lavoro in termini geografici.

per fortuna le tecnologie di virtualizzazione e grid computing hanno fatto passi da gigante e le modalità commerciali di offering oggi offrono uno spread di modalità abbastanza esaustivo. rimane la problematica di calcolare quali siano gli effettivi bisogni e di come blindarli in SLA opportuni a costo del rischio di rendere vano il nostro investimento nel cloud.

Storage:

Lo storage è in questo senso, molto più complesso. non si tratta solo di distribuire una risorsa fisica che deve essere allocata opportunamente, ma anche di garantire che i dati siano protetti. NSA insegna accedere ai dati non è impossibile, e in alcuni casi persino il service provider più integerrimo può essere obbligato a dare accesso ai dati su “disco” anche in maniera distruttiva, si pensi alla vicenda legata a megaupload ad esempio.

Le problematiche legate alla tipologia di dati salvati nel cloud sono quindi particolarmente complesse e hanno a che fare sia con il tipo di dato che la sua locazione geografica. tecnologie di encryption multilayer sono di solito indispensabili, dove per multilayer si intende che da un lato il provider deve, o dovrebbe, fornire un minimo livello di data encryption, ma poi l’utente dovrebbe provvedere con un secondo layer indipendente dal provider che lo metta al sicuro da eventuali intrusioni.

Connectivity:

per quanto banale possa sembrare, la connettività è da sempre un problema, e nei servizi cloud questo problema è particolarmente evidente.

Da un lato ci sono le prestazioni e la raggiungibilità, un servizio cloud deve essere raggiungibile dai suoi utilizzatori, per banale che sia questa è una osservazione importante.

La raggiungibilità è un punto focale anche se si introducono tecnologie di sicurezza quali ipsec o vpn\ssl, per questo di solito queste tecnologie sono utilizzate in ambienti cloud private, mentre per quello che concerne l’accesso dell’utilizzatore si punta generalmente a fornire accessi https con buona pace del bug heartbleed.

Alcuni servizi solitamente trascurati, come il DNS, sono fondamentali tanto che molti provider di servizi cloud, si pensi a Google ad esempio, hanno deciso di intervenire sulla questione offrendoli direttamente al pubblico con l’aggiunta del layer di security DNSsec che ancora stenta ad essere adottato in ambito italiano.

Della connettività si devono preoccupare tanto i clienti, che devono valutare con attenzione gli standard di accesso promossi dal provider cloud, che il cloud provider stesso anche per le comunicazioni inter-datacenter.

Slide10

in particolare il provider di servizi cloud deve porre attenzione alle dorsali di connettività ed assicurarsi, a meno che non sia esso stesso un propietario di tutta la catena fisica di comunicazione, che le comunicazioni tra i suoi vari nodi rimangano protette anche in presenza di salti carrier su carrier.

Storicamente questo è infatti uno dei punti di attacco comune da parte di hacker e forze dell’ordine, agire sul carrier da accesso immediato al flusso di dati e quindi consente un monitoraggio “facile” e trasparente. NSA ancora docet in questo senso, ma pensiamo anche all’affaire telecom di qualche anno fa in italia.

Cryptare le comunicazioni diventa quindi un “obbligo” anche se i grandi content provider ci sono arrivati solo negli ultimi due anni…

Slide11

Problematica duale è quella per l’utilizzatore del servizio cloud, anche questo infatti dovendo accedere al cloud attraverso un internet service provider dovrà preoccuparsi che le modalità di autenticazione e trasmissione dati offerte siano tali da consentire un adeguato livello di sicurezza.

Strong authentication, token, e diversi encryption level sono sicuramente auspicabili da parte di chi si vuole servire di tali servizi o vuole implementarli privatamente.

 Services:

Slide12

in termini di servizi le problematiche variano, ovviamente, da servizio a servizio ma vi sono due aspetti che sono aprticolarmente critici sopratutto per gli utilizzatori:

Lock in e Lock out

di cosa si tratta? ben nel primo caso abbiamo una situazione in cui la migrazione dei propri dati dal provider attuale ad uno nuovo è cosi onerosa che, nei fatti, siamo bloccati e costretti a rimanere “fedeli” al nostro provider.

La questione diventa particolarmente significativa se i dati processati dal servizio sono sensibili, i costi di migrazione potrebbero diventare proibitivi ed annullare tutti gli eventuali “savings”.

In realtàquella di lock in non è una problematica solo dei servizi cloud, ma genericamente afferibile a qualsiasi tipo di servizio: più la tecnologia utilizzata è di tipo “legacy” e non standard (o meglio open standard) più si corre il rischio di incappare in problematiche di lock-in.

Duale al lock-in è il lock-out, dove invece non si riesce ad accedere ai propri dati nonostante se ne abbia il diritto. per quanto improbabile questa è una eventualità che può capitare, ed è più legata a problemi di ordine legale che di tipo tecnologico, ne siano esempio leggi sulla privacy che impediscono al provider di servizi di fornire le chiavi di accesso di uno specifico utente anche se questi non lavora più in azienda, o dati bloccati per indagini in corso anche se il cliente non è direttamente coinvolto, si pensi ancora alla vicenda megaupload, dove la chiusura forzata del servizio aveva impattato anche chi stava usando quella piattaforma per un servizio SaaS (Storage as a Service) assolutamente legale.

Per quello che concerne la parte di autenticazione e gestione degli utenti, per fortuna, sono stati introdotti standard di supporto quali SAML che consentono di demandare all’utente la gestione degli accesso al servizio cloud togliendoli almeno parzialmente dal diretto controllo del provider.

Slide15


 

Ma alla fine perchè dovrei usare il coud in una delle sue declinazioni?


 

nonostante questi aspetti da valutare il cloud rimane un grande opportunità per lo sviluppo dei servizi di business, suia da parte degli utilizzatori che possono effettuare dei notevoli savings in termini di risorse e competenze impegnate, che dal punto di vista dei provider che hanno la possibilità di espandere una area di business ancora relativamente immatura.

Slide13

Dal lato savings la immagine sopra ci può avvicinare a capire quali siano dal punto di vista di un utilizzatore.

maggiore è lo spostamento verso servizi software as a service maggiore è il saving infrastrutturale ottenuto dal cliente.

Considerando che già ad oggi l’offering Cloud è di tutto rispetto e copre dalla infrastruttura ai servizi di sicurezza con tutto quello che passa in mezzo.

Slide14

e se non ci credete pensate semplicemente ai servizi di storage as a service che già utilizzate e che magari non avete pensato fossero un “X” as a service.

Slide16

Slide17 Slide18