Il Cloud Computing e la sicurezza: aspetti tecnici, rischi e ......2015/06/19 · "Una ragione per...

© CEFRIEL 2015 - Tutti i diritti riservati

Stefano TestoniCEFRIEL Politecnico di Milano

e-mail: [email protected]

Il CloudComputing e la sicurezza: aspetti tecnici, rischi e opportunità


Il presente documento è stato sviluppato in forma originale da CEFRIEL, a beneficio esclusivo dei partecipanti al corso.

Tale documento o parte dei suoi contenuti non può essere riprodotto, distribuito, divulgato, ceduto, in tutto o in parte, a

soggetti terzi, né da questi ultimi utilizzato, senza il preventivo consenso scritto di CEFRIEL.

I disegni, le tabelle, i dati e qualsivoglia altra informazione, anche di tipo illustrativo e/o descrittivo contenuti in tale

documento, sono materiale riservato di proprietà di CEFRIEL o dei legittimi proprietari espressamente menzionati

Tutti i marchi (e/o riferimenti di qualunque tipo) inseriti nel presente documento appartengono ai legittimi proprietari e

sono pubblicati in osservanza delle normative vigenti.


Who am I?

Stefano Testoni (mail: [email protected])

Security Expert @ CEFRIEL

Attività usuali: Security Architect, Pentester, Security PM, Security Technology

Researcher, Security Concept Builder


Cos’è il Cloud Computing

Chiedete ad un Teeneger di adottare il Cloud Computing...

4

© CEFRIEL 2015 - Tutti i diritti riservati 5

Selfie & Sharing

Social

Communication

#SPETTACOLOTUTTOGRATIS!!


Cos’è il Cloud Computing

...ora chiedete ad un Security Manager di adottare il Cloud

Computing

6



Il Cloud Computing è qualcosa di nuovo


Modello del Cloud Computing

SaaSSoftware as a Service

PaaSPlatform as a Service

IaaSInfrastructure as a

Service

On-demand

self-service

Broad network access

Resource pooling

Rapid elasticity

Measured service

Modello di Cloud Computing secondo NIST

DefinizioneIl Cloud Computing è un modello IT integrato di

distribuzione, sviluppo e messa in produzione che

permette la realizzazione in tempo reale di servizi e

soluzioni erogate attraverso InternetDefinizione IDC

E’ il modello di

riferimento per

l’erogazione di servizi

Cloud


l’evoluzione

INNOVATIVO E SPERIMENTALE

10

CONSOLIDATO E AFFIDABILE

Il cloud computing è qualcosa di relativamente recente,

ongoing....


Commodity Hardware e Affidabilità

www.backblaze.com


l’adozione

12

..e come tale deve essere sperimentato, accuratamente

studiato ed analizzato prima che possa supportare

efficacemente i processi aziendali (anche i più critici)


I servizi Cloud, scenario variegato

14

Gartner's latest 2014 IaaS Magic Quadrant

IaaS: pochi attori dominanti SaaS: scenario variegato


La Sicurezza Classica

15



I modelli di sicurezza classica potrebbero non bastare in

questo nuovo contesto


La security è un «work in progress»

16




Il costo e le features di sicurezza

Adottare il Cloud per ridurre i costi.....

attenzione...molte features di sicurezza nel Cloud Computing

sono offerte come servizio ad un costo aggiuntivo


Per non incappare in errori di valutazione

Ci si aspetta di avere servizi sicuri

con un investimento ridicolo in sicurezza

informatica?

Valutare se Adottarli?

Comprendere i Rischi

18





informatica?


Comprendere i Rischi?

19


Il parere di Stallman

“Credo che a chi lavora nel marketing

piaccia il termine “cloud computing” in

quanto privo di sostanziale significato. Il

significato del termine non è una sostanza,

ma un atteggiamento: “Lascia che Tom, Dick

e Harry tengano i tuoi dati, lascia che

qualsiasi Tom, Dick e Harry si occupi dei tuoi

dati (e li controlli)”. Probabilmente il termine

“careless computing” sarebbe più calzante.

[…] Il Governo potrebbe incoraggiare le

persone a piazzare i dati dove esso sia in

grado di raggiungerli senza mostrare

mandati di perquisizione, piuttosto che in

luoghi di proprietà propria. A ogni modo,

finché abbastanza di noi continueranno a

tenere i propri dati sotto il proprio controllo,

potremo ancora continuare a farlo. E

faremmo bene a continuare così, o questa

opzione potrebbe scomparire”

20

Richard Stallman è uno dei

principali esponenti del

movimento del software libero.

Nel settembre del 1983 diede

avvio al progetto GNU con

l'intento di creare un sistema

operativo simile a Unix ma

composto interamente da

software libero LINUX


Le due parrocchie

21

patrimonio personale stimato da Bloomberg

pari a 72.7 Miliardi di dollari

le stime ufficiali della Linux Foundation

stabiliscono il valore del Kernel Linux a 1.2

miliardi di dollari.

L’approccio di Stallman è quello di cercare di rendere

l’informatica libera, gratuita e accessibile a tutti


Stallman: dite no al cloud computing

Le argomentazioni di questa posizione:

non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per

tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione.

La potenza delle componenti IT cresce

significativamente più velocemente del

fabbisogno IT aziendale.

Virtualizzazione

Ottimizzazione



Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti

attualmente in circolazione.

"Una ragione per non usare le web application è la perdita del controllo“: i dati

fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i

datacenter, a scapito della capacità del legittimo proprietario di disporne a suo

piacimento.

http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account

Stima del valore dei dati

per l’azienda

Quali requisiti di

sicurezza del dato?





"Una ragione per non usare le web application è la perdita del controllo“: i dati

fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i

datacenter, a scapito della capacità del legittimo proprietario di disporne a suo

piacimento.

https://krebsonsecurity.com/2015/06/password-manager-lastpass-warns-of-breach/





"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o

thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.

Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?








2014 celebrity photo hackFrom Wikipedia, the free encyclopedia

On August 31, 2014, a collection of almost 500

private pictures of various celebrities, mostly

women, and with many containing nudity, were

posted on the imageboard 4chan, and later

disseminated by other users on websites and social

networks such as Imgur, Reddit and Tumblr.

The images were believed to have been

obtained via a breach of Apple's cloud services

suite iCloud. Apple later confirmed that the

hackers responsible for the leak had

obtained the images using a "very targeted

attack" on account information, such as

passwords, rather than any specific security

vulnerability in the iCloud service itself.

Autenticazione

Interfacce


Account or traffic hijacking

Esempio: Account or traffic hijacking

In Aprile 2010 Amazon ha subito un Cross Site Scripting (XSS) che ha

permesso agli attaccanti di dirottare gli accessi al sito.

Il bug XSS è stato iniettato all’interno del sito Amazon Wireless allo

scopo di rubare le sessioni ID usate per garantire agli utenti l’accesso ai

propri account dopo aver inserito la password.

Il bug ha esposto le credenziali degli utenti che hanno cliccato su un

fake link mentre erano loggati sulla homepage Amazon.com.

28








L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica

questione del software free contrapposto a quello non libero: "È un male proprio

come usare i programmi proprietari". In ballo ci sarebbe persino la libertà personale:

"Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre

libertà: usando un programma proprietario sul server di qualcun altro si è senza difese.

Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".

Cloud computing vendor lock-in: Avoiding security pitfalls

http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account

Cifratura?

Compliance?


Datagate: Progetto NSA Prism

30








L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a

quello non libero: "È un male proprio come usare programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il

vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di

qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".

Il rischio, prosegue Stallman, è che se all'inizio questi servizi possono apparire più

economici (o addirittura gratuiti) rispetto alle abitudini attuali, nel lungo periodo

possano invece rivelarsi oltremodo costosi. E soprattutto, l'intera mole di informazioni

personali (foto, appunti, appuntamenti in agenda) o aziendali (budget, bilanci, piani

strategici) sarebbe affidata alla onestà e alla solidità di una azienda, esponendosi a tutti i

rischi di boicottaggio o incidenti che questo comporta.


Esplosione dei costi

http://www.symantec.com/co

ntent/en/us/about/media/pdfs/

b-state-of-cloud-global-

results-2013.en-us.pdf

L’indagine effettuata da Symantec rileva che il 77% delle

imprese intervistate sono state affette da costi imprevisti

legati alla tecnologia Cloud

http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf





informatica?


Comprendere i Rischi?

33


Un valido aiuto

“The notorious nine” è un

documento che supporta

nell’identificazione dei rischi

associati al Cloud Computing

34

Data breaches

Data loss

Account or service traffic hijacking

Insecure interfaces and APIs

Denial of Service

Malicious insiders

Abuse of cloud services

Insufficient due diligence

Shared technology vulnerabilities

1

2

3

4

5

6

7

8

9


Qualche spunto sui rischi....

35

Il Rischio non si crea e non si distrugge, ma

in alcuni casi si può trasferire....

Libero adattamento di una massima di

Antoine-Laurent de Lavoisier



36

Il Cloud computing "amplifica" alcune

tipologie di rischio....

La perdita di Governance ed i

problemi legislativi

costituiscono uno dei

principali punti di attenzione

nell’adozione di soluzioni di

Cloud Computing

Osservatorio Cloud & ICT

Scool of Management Politecnico di Milano



37

Il Cloud computing non riduce i rischi di

sicurezza informatica, al contrario, ne

introduce di nuovi

Attacchi ai sistemi e servizi

Perdita dei dati

Utilizzo Illecito del Cloud


Attenzione! Non è oro tutto quello

che luccica!

39


Date post:	03-Aug-2020
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

Il Cloud Computing e la sicurezza: aspetti tecnici, rischi e ......2015/06/19 · "Una ragione per...

Documents