Il Cloud computing

Stefano Testoni
CEFRIEL Politecnico di Milano
e-mail: [email protected]
© CEFRIEL 2015 - Tutti i diritti riservati
Il Cloud
Computing e la
sicurezza:
aspetti tecnici,
rischi e
opportunità




Il presente documento è stato sviluppato in forma originale da CEFRIEL, a beneficio esclusivo dei partecipanti al corso.
Tale documento o parte dei suoi contenuti non può essere riprodotto, distribuito, divulgato, ceduto, in tutto o in parte, a
soggetti terzi, né da questi ultimi utilizzato, senza il preventivo consenso scritto di CEFRIEL.
I disegni, le tabelle, i dati e qualsivoglia altra informazione, anche di tipo illustrativo e/o descrittivo contenuti in tale
documento, sono materiale riservato di proprietà di CEFRIEL o dei legittimi proprietari espressamente menzionati
Tutti i marchi (e/o riferimenti di qualunque tipo) inseriti nel presente documento appartengono ai legittimi proprietari e
sono pubblicati in osservanza delle normative vigenti.
© CEFRIEL 2015 - Tutti i diritti riservati
Who am I?
Stefano Testoni
(mail: [email protected])
Security Expert @ CEFRIEL
Attività usuali: Security Architect, Pentester, Security PM, Security Technology
Researcher, Security Concept Builder
© CEFRIEL 2015 - Tutti i diritti riservati
Cos’è il Cloud Computing
Chiedete ad un Teeneger di adottare il Cloud Computing...
© CEFRIEL 2015 - Tutti i diritti riservati
4
#SPETTACOLOTUTTOGRATIS!!
Communication
Selfie & Sharing
Social
© CEFRIEL 2015 - Tutti i diritti riservati
5
Cos’è il Cloud Computing
...ora chiedete ad un Security Manager di adottare il Cloud
Computing
© CEFRIEL 2015 - Tutti i diritti riservati
6
© CEFRIEL 2015 - Tutti i diritti riservati
7
Il Cloud Computing è qualcosa di nuovo
© CEFRIEL 2015 - Tutti i diritti riservati
8
Modello del Cloud Computing
Definizione
Il Cloud Computing è un modello IT integrato di
distribuzione, sviluppo e messa in produzione che
permette la realizzazione in tempo reale di servizi e
soluzioni erogate attraverso Internet
Definizione IDC
Modello di Cloud Computing secondo NIST
Ondemand
selfservice
E’ il modello di
riferimento per
l’erogazione di servizi
Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
Broad
network
access
Resource
pooling
SaaS
PaaS
Software as a Service
Platform as a Service
Rapid
elasticity
Measured
service
IaaS
Infrastructure as a
Service
l’evoluzione
INNOVATIVO E
SPERIMENTALE
CONSOLIDATO E
AFFIDABILE
Il cloud computing è qualcosa di relativamente recente,
ongoing....
© CEFRIEL 2015 - Tutti i diritti riservati
10
Commodity Hardware e Affidabilità
www.backblaze.com
© CEFRIEL 2015 - Tutti i diritti riservati
11
l’adozione
..e come tale deve essere sperimentato, accuratamente
studiato ed analizzato prima che possa supportare
efficacemente i processi aziendali (anche i più critici)
© CEFRIEL 2015 - Tutti i diritti riservati
12
I servizi Cloud, scenario variegato
IaaS: pochi attori dominanti
SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
© CEFRIEL 2015 - Tutti i diritti riservati
14
La Sicurezza Classica
IaaS: pochi attori dominanti
SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
I modelli di sicurezza classica potrebbero non bastare in
questo nuovo contesto
© CEFRIEL 2015 - Tutti i diritti riservati
15
La security è un «work in progress»
IaaS: pochi attori dominanti
SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
© CEFRIEL 2015 - Tutti i diritti riservati
16
Il costo e le features di sicurezza
Adottare il Cloud per ridurre i costi.....
attenzione...molte features di sicurezza nel Cloud Computing
sono offerte come servizio ad un costo aggiuntivo
© CEFRIEL 2015 - Tutti i diritti riservati
Per non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se
Adottarli?
© CEFRIEL 2015 - Tutti i diritti riservati
Comprendere i
Rischi
18
Per non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se
Adottarli?
© CEFRIEL 2015 - Tutti i diritti riservati
Comprendere i
Rischi?
19
Il parere di Stallman
“Credo che a chi lavora nel marketing
piaccia il termine “cloud computing” in
quanto privo di sostanziale significato. Il
significato del termine non è una sostanza,
ma un atteggiamento: “Lascia che Tom, Dick
e Harry tengano i tuoi dati, lascia che
qualsiasi Tom, Dick e Harry si occupi dei tuoi
dati (e li controlli)”. Probabilmente il termine
“careless computing” sarebbe più calzante.
[…] Il Governo potrebbe incoraggiare le
persone a piazzare i dati dove esso sia in
grado di raggiungerli senza mostrare
mandati di perquisizione, piuttosto che in
luoghi di proprietà propria. A ogni modo,
finché abbastanza di noi continueranno a
tenere i propri dati sotto il proprio controllo,
potremo ancora continuare a farlo. E
faremmo bene a continuare così, o questa
opzione potrebbe scomparire”
© CEFRIEL 2015 - Tutti i diritti riservati
Richard Stallman è uno dei
principali esponenti del
movimento del software libero.
Nel settembre del 1983 diede
avvio al progetto GNU con
l'intento di creare un sistema
operativo simile a Unix ma
composto interamente da
software libero LINUX
20
Le due parrocchie
patrimonio personale stimato da Bloomberg
pari a 72.7 Miliardi di dollari
le stime ufficiali della Linux Foundation
stabiliscono il valore del Kernel Linux a 1.2
miliardi di dollari.
L’approccio di Stallman è quello di cercare di rendere
l’informatica libera, gratuita e accessibile a tutti
© CEFRIEL 2015 - Tutti i diritti riservati
21
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
 non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per
tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione.
La potenza delle componenti IT cresce
significativamente più velocemente del
fabbisogno IT aziendale.
 Virtualizzazione
 Ottimizzazione
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:

non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.

"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
 Stima del valore dei dati
per l’azienda
 Quali requisiti di
sicurezza del dato?
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:

non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.

"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
https://krebsonsecurity.com/2015/06/password-manager-lastpass-warns-of-breach/
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:



non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
© CEFRIEL 2015 - Tutti i diritti riservati
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:



non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
 Autenticazione
 Interfacce
2014 celebrity photo hack
From Wikipedia, the free encyclopedia
On August 31, 2014, a collection of almost 500
private pictures of various celebrities, mostly
women, and with many containing nudity, were
posted on the imageboard 4chan, and later
disseminated by other users on websites and social
networks such as Imgur, Reddit and Tumblr.
© CEFRIEL 2015 - Tutti i diritti riservati
The images were believed to have been
obtained via a breach of Apple's cloud services
suite iCloud. Apple later confirmed that the
hackers responsible for the leak had
obtained the images using a "very targeted
attack" on account information, such as
passwords, rather than any specific security
vulnerability in the iCloud service itself.
Account or traffic hijacking
Esempio: Account or traffic hijacking



In Aprile 2010 Amazon ha subito un Cross Site Scripting (XSS) che ha
permesso agli attaccanti di dirottare gli accessi al sito.
Il bug XSS è stato iniettato all’interno del sito Amazon Wireless allo
scopo di rubare le sessioni ID usate per garantire agli utenti l’accesso ai
propri account dopo aver inserito la password.
Il bug ha esposto le credenziali degli utenti che hanno cliccato su un
fake link mentre erano loggati sulla homepage Amazon.com.
© CEFRIEL 2015 - Tutti i diritti riservati
28
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?




L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica
questione del software free contrapposto a quello non libero: "È un male proprio
come usare i programmi proprietari". In ballo ci sarebbe persino la libertà personale:
"Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre
libertà: usando un programma proprietario sul server di qualcun altro si è senza difese.
Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Cloud computing vendor lock-in: Avoiding security pitfalls
 Cifratura?
 Compliance?
© CEFRIEL 2015 - Tutti i diritti riservati
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
Datagate: Progetto NSA Prism
© CEFRIEL 2015 - Tutti i diritti riservati
30
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:





non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a
quello non libero: "È un male proprio come usare programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il
vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di
qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Il rischio, prosegue Stallman, è che se all'inizio questi servizi possono apparire più
economici (o addirittura gratuiti) rispetto alle abitudini attuali, nel lungo periodo
possano invece rivelarsi oltremodo costosi. E soprattutto, l'intera mole di informazioni
personali (foto, appunti, appuntamenti in agenda) o aziendali (budget, bilanci, piani
strategici) sarebbe affidata alla onestà e alla solidità di una azienda, esponendosi a tutti i
rischi di boicottaggio o incidenti che questo comporta.
© CEFRIEL 2015 - Tutti i diritti riservati
Esplosione dei costi
http://www.symantec.com/co
ntent/en/us/about/media/pdfs/
b-state-of-cloud-globalresults-2013.en-us.pdf
L’indagine effettuata da Symantec rileva che il 77% delle
imprese intervistate sono state affette da costi imprevisti
legati alla tecnologia Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
Per non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se
Adottarli?
© CEFRIEL 2015 - Tutti i diritti riservati
Comprendere i
Rischi?
33
Un valido aiuto
“The notorious nine” è un
documento che supporta
nell’identificazione dei rischi
associati al Cloud Computing
© CEFRIEL 2015 - Tutti i diritti riservati
1
Data breaches
2
Data loss
3
Account or service traffic hijacking
4
Insecure interfaces and APIs
5
Denial of Service
6
Malicious insiders
7
Abuse of cloud services
8
Insufficient due diligence
9
Shared technology vulnerabilities
34
Qualche spunto sui rischi....
Il Rischio non si crea e non si distrugge, ma
in alcuni casi si può trasferire....
Libero adattamento di una massima di
Antoine-Laurent de Lavoisier
© CEFRIEL 2015 - Tutti i diritti riservati
35
Qualche spunto sui rischi....
Il Cloud computing "amplifica" alcune
tipologie di rischio....
La perdita di Governance ed i
problemi legislativi
costituiscono uno dei
principali punti di attenzione
nell’adozione di soluzioni di
Cloud Computing
Osservatorio Cloud & ICT
Scool of Management Politecnico di Milano
© CEFRIEL 2015 - Tutti i diritti riservati
36
Qualche spunto sui rischi....
Il Cloud computing non riduce i rischi di
sicurezza informatica, al contrario, ne
introduce di nuovi
Attacchi ai sistemi e
servizi
Perdita dei dati
Utilizzo Illecito del
Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
37
Attenzione! Non è oro tutto quello
che luccica!
39
© CEFRIEL 2015 - Tutti i diritti riservati
© CEFRIEL 2015 - Tutti i diritti riservati
40