© CEFRIEL 2015 - Tutti i diritti riservati
Stefano TestoniCEFRIEL Politecnico di Milano
e-mail: [email protected]
Il CloudComputing e la sicurezza: aspetti tecnici, rischi e opportunità
© CEFRIEL 2015 - Tutti i diritti riservati
Il presente documento è stato sviluppato in forma originale da CEFRIEL, a beneficio esclusivo dei partecipanti al corso.
Tale documento o parte dei suoi contenuti non può essere riprodotto, distribuito, divulgato, ceduto, in tutto o in parte, a
soggetti terzi, né da questi ultimi utilizzato, senza il preventivo consenso scritto di CEFRIEL.
I disegni, le tabelle, i dati e qualsivoglia altra informazione, anche di tipo illustrativo e/o descrittivo contenuti in tale
documento, sono materiale riservato di proprietà di CEFRIEL o dei legittimi proprietari espressamente menzionati
Tutti i marchi (e/o riferimenti di qualunque tipo) inseriti nel presente documento appartengono ai legittimi proprietari e
sono pubblicati in osservanza delle normative vigenti.
© CEFRIEL 2015 - Tutti i diritti riservati
Who am I?
Stefano Testoni (mail: [email protected])
Security Expert @ CEFRIEL
Attività usuali: Security Architect, Pentester, Security PM, Security Technology
Researcher, Security Concept Builder
© CEFRIEL 2015 - Tutti i diritti riservati
Cos’è il Cloud Computing
Chiedete ad un Teeneger di adottare il Cloud Computing...
4
© CEFRIEL 2015 - Tutti i diritti riservati 5
Selfie & Sharing
Social
Communication
#SPETTACOLOTUTTOGRATIS!!
© CEFRIEL 2015 - Tutti i diritti riservati
Cos’è il Cloud Computing
...ora chiedete ad un Security Manager di adottare il Cloud
Computing
6
© CEFRIEL 2015 - Tutti i diritti riservati 7
© CEFRIEL 2015 - Tutti i diritti riservati 8
Il Cloud Computing è qualcosa di nuovo
© CEFRIEL 2015 - Tutti i diritti riservati
Modello del Cloud Computing
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a
Service
On-demand
self-service
Broad network access
Resource pooling
Rapid elasticity
Measured service
Modello di Cloud Computing secondo NIST
DefinizioneIl Cloud Computing è un modello IT integrato di
distribuzione, sviluppo e messa in produzione che
permette la realizzazione in tempo reale di servizi e
soluzioni erogate attraverso InternetDefinizione IDC
E’ il modello di
riferimento per
l’erogazione di servizi
Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
l’evoluzione
INNOVATIVO E SPERIMENTALE
10
CONSOLIDATO E AFFIDABILE
Il cloud computing è qualcosa di relativamente recente,
ongoing....
© CEFRIEL 2015 - Tutti i diritti riservati 11
Commodity Hardware e Affidabilità
www.backblaze.com
© CEFRIEL 2015 - Tutti i diritti riservati
l’adozione
12
..e come tale deve essere sperimentato, accuratamente
studiato ed analizzato prima che possa supportare
efficacemente i processi aziendali (anche i più critici)
© CEFRIEL 2015 - Tutti i diritti riservati
I servizi Cloud, scenario variegato
14
Gartner's latest 2014 IaaS Magic Quadrant
IaaS: pochi attori dominanti SaaS: scenario variegato
© CEFRIEL 2015 - Tutti i diritti riservati
La Sicurezza Classica
15
Gartner's latest 2014 IaaS Magic Quadrant
IaaS: pochi attori dominanti SaaS: scenario variegato
I modelli di sicurezza classica potrebbero non bastare in
questo nuovo contesto
© CEFRIEL 2015 - Tutti i diritti riservati
La security è un «work in progress»
16
Gartner's latest 2014 IaaS Magic Quadrant
IaaS: pochi attori dominanti SaaS: scenario variegato
© CEFRIEL 2015 - Tutti i diritti riservati
Il costo e le features di sicurezza
Adottare il Cloud per ridurre i costi.....
attenzione...molte features di sicurezza nel Cloud Computing
sono offerte come servizio ad un costo aggiuntivo
© CEFRIEL 2015 - Tutti i diritti riservati
Per non incappare in errori di valutazione
Ci si aspetta di avere servizi sicuri
con un investimento ridicolo in sicurezza
informatica?
Valutare se Adottarli?
Comprendere i Rischi
18
© CEFRIEL 2015 - Tutti i diritti riservati
Per non incappare in errori di valutazione
Ci si aspetta di avere servizi sicuri
con un investimento ridicolo in sicurezza
informatica?
Valutare se Adottarli?
Comprendere i Rischi?
19
© CEFRIEL 2015 - Tutti i diritti riservati
Il parere di Stallman
“Credo che a chi lavora nel marketing
piaccia il termine “cloud computing” in
quanto privo di sostanziale significato. Il
significato del termine non è una sostanza,
ma un atteggiamento: “Lascia che Tom, Dick
e Harry tengano i tuoi dati, lascia che
qualsiasi Tom, Dick e Harry si occupi dei tuoi
dati (e li controlli)”. Probabilmente il termine
“careless computing” sarebbe più calzante.
[…] Il Governo potrebbe incoraggiare le
persone a piazzare i dati dove esso sia in
grado di raggiungerli senza mostrare
mandati di perquisizione, piuttosto che in
luoghi di proprietà propria. A ogni modo,
finché abbastanza di noi continueranno a
tenere i propri dati sotto il proprio controllo,
potremo ancora continuare a farlo. E
faremmo bene a continuare così, o questa
opzione potrebbe scomparire”
20
Richard Stallman è uno dei
principali esponenti del
movimento del software libero.
Nel settembre del 1983 diede
avvio al progetto GNU con
l'intento di creare un sistema
operativo simile a Unix ma
composto interamente da
software libero LINUX
© CEFRIEL 2015 - Tutti i diritti riservati
Le due parrocchie
21
patrimonio personale stimato da Bloomberg
pari a 72.7 Miliardi di dollari
le stime ufficiali della Linux Foundation
stabiliscono il valore del Kernel Linux a 1.2
miliardi di dollari.
L’approccio di Stallman è quello di cercare di rendere
l’informatica libera, gratuita e accessibile a tutti
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per
tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione.
La potenza delle componenti IT cresce
significativamente più velocemente del
fabbisogno IT aziendale.
Virtualizzazione
Ottimizzazione
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
Stima del valore dei dati
per l’azienda
Quali requisiti di
sicurezza del dato?
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
https://krebsonsecurity.com/2015/06/password-manager-lastpass-warns-of-breach/
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
2014 celebrity photo hackFrom Wikipedia, the free encyclopedia
On August 31, 2014, a collection of almost 500
private pictures of various celebrities, mostly
women, and with many containing nudity, were
posted on the imageboard 4chan, and later
disseminated by other users on websites and social
networks such as Imgur, Reddit and Tumblr.
The images were believed to have been
obtained via a breach of Apple's cloud services
suite iCloud. Apple later confirmed that the
hackers responsible for the leak had
obtained the images using a "very targeted
attack" on account information, such as
passwords, rather than any specific security
vulnerability in the iCloud service itself.
Autenticazione
Interfacce
© CEFRIEL 2015 - Tutti i diritti riservati
Account or traffic hijacking
Esempio: Account or traffic hijacking
In Aprile 2010 Amazon ha subito un Cross Site Scripting (XSS) che ha
permesso agli attaccanti di dirottare gli accessi al sito.
Il bug XSS è stato iniettato all’interno del sito Amazon Wireless allo
scopo di rubare le sessioni ID usate per garantire agli utenti l’accesso ai
propri account dopo aver inserito la password.
Il bug ha esposto le credenziali degli utenti che hanno cliccato su un
fake link mentre erano loggati sulla homepage Amazon.com.
28
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica
questione del software free contrapposto a quello non libero: "È un male proprio
come usare i programmi proprietari". In ballo ci sarebbe persino la libertà personale:
"Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre
libertà: usando un programma proprietario sul server di qualcun altro si è senza difese.
Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Cloud computing vendor lock-in: Avoiding security pitfalls
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
Cifratura?
Compliance?
© CEFRIEL 2015 - Tutti i diritti riservati
Datagate: Progetto NSA Prism
30
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a
quello non libero: "È un male proprio come usare programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il
vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di
qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Il rischio, prosegue Stallman, è che se all'inizio questi servizi possono apparire più
economici (o addirittura gratuiti) rispetto alle abitudini attuali, nel lungo periodo
possano invece rivelarsi oltremodo costosi. E soprattutto, l'intera mole di informazioni
personali (foto, appunti, appuntamenti in agenda) o aziendali (budget, bilanci, piani
strategici) sarebbe affidata alla onestà e alla solidità di una azienda, esponendosi a tutti i
rischi di boicottaggio o incidenti che questo comporta.
© CEFRIEL 2015 - Tutti i diritti riservati
Esplosione dei costi
http://www.symantec.com/co
ntent/en/us/about/media/pdfs/
b-state-of-cloud-global-
results-2013.en-us.pdf
L’indagine effettuata da Symantec rileva che il 77% delle
imprese intervistate sono state affette da costi imprevisti
legati alla tecnologia Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
Per non incappare in errori di valutazione
Ci si aspetta di avere servizi sicuri
con un investimento ridicolo in sicurezza
informatica?
Valutare se Adottarli?
Comprendere i Rischi?
33
© CEFRIEL 2015 - Tutti i diritti riservati
Un valido aiuto
“The notorious nine” è un
documento che supporta
nell’identificazione dei rischi
associati al Cloud Computing
34
Data breaches
Data loss
Account or service traffic hijacking
Insecure interfaces and APIs
Denial of Service
Malicious insiders
Abuse of cloud services
Insufficient due diligence
Shared technology vulnerabilities
1
2
3
4
5
6
7
8
9
© CEFRIEL 2015 - Tutti i diritti riservati
Qualche spunto sui rischi....
35
Il Rischio non si crea e non si distrugge, ma
in alcuni casi si può trasferire....
Libero adattamento di una massima di
Antoine-Laurent de Lavoisier
© CEFRIEL 2015 - Tutti i diritti riservati
Qualche spunto sui rischi....
36
Il Cloud computing "amplifica" alcune
tipologie di rischio....
La perdita di Governance ed i
problemi legislativi
costituiscono uno dei
principali punti di attenzione
nell’adozione di soluzioni di
Cloud Computing
Osservatorio Cloud & ICT
Scool of Management Politecnico di Milano
© CEFRIEL 2015 - Tutti i diritti riservati
Qualche spunto sui rischi....
37
Il Cloud computing non riduce i rischi di
sicurezza informatica, al contrario, ne
introduce di nuovi
Attacchi ai sistemi e servizi
Perdita dei dati
Utilizzo Illecito del Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
Attenzione! Non è oro tutto quello
che luccica!
39
© CEFRIEL 2015 - Tutti i diritti riservati 40