Cloud fiasco

Posted on May 10, 2012 by blogadmin

Prendo spunto da questo articolo che parla di un cloud provider che, in seguito ad un “guasto”, ha perso i dati di un certo numero di clienti. Il problema è dovuto a failure of “multiple” storage disks at its cloud storage provider, che quindi è una terza parte, e che ora stanno also continuing to work with our third-party data centre provider to fully investigate the issue.

Ultimamente mi sono interessato parecchio di cloud, e in particolare ho partecipato come Clusit al gruppo di lavoro della Oracle Community for Security sulla privacy nel cloud. Il tema del cloud chaining, ovvero quando un cloud provider si appoggia a sua volta ad un altro cloud provider (in questo caso per lo storage) è emerso chiaramente come un problema importante e sul quale l’utente finale ha poca visibilità e poca possibilità di controllo diretto.

Ma qui vorrei mettere in evidenza un’altra questione. Quando si parla di cloud, sottolineo sempre che comunque l’utente dovrebbe considerare di conservare copia dei propri dati, ad esempio presso un altro fornitore, in una banale logica di ridondanza. Mi viene a volte risposto che il cloud provider fornisce già questa funzionalità, e quindi non è necessario sprecare risorse per replicarla da parte dell’utente.

Prima di tutto, questo episodio dimostra che quello che io temo, ovvero che il fornitore possa non dare su questa funzionalità le garanzie necessarie, non solo può succedere ma succede. Ma il punto fondamentale è che l’utente in realtà non è quasi mai in grado di entrare nel merito della qualità dell’infrastruttura del fornitore, o peggio ancora di un suo provider, non tanto da poter verificare il livello di servizio su una funzionalità così poco misurabile (robustezza e capacità di non perdere i dati in caso di guasto). Non mi riferisco quindi a funzionalità il cui livello di servizio l’utente può più o meno verificare, come i tempi di risposta, l’uptime (anche qui, salvo catastrofi) o la qualità del supporto: mi riferisco a funzionalità che l’utente rischia di vedere “one shot”, ovvero quell’unica volta che dovrebbero funzionare e non funzionano. In questi casi, di fatto l’utente sta affidando la continuità del servizio in cloud completamente alle parole del commerciale del fornitore che gli ha fornito il servizio.

Quindi, il cliente dovrebbe valutare, in funzione della criticità del proprio servizio e non delle rassicurazioni del cloud provider, se sia necessario mantenere una copia (possibilmente portabile) dei propri dati presso un altro fornitore, in funzione di un Recovery Point Objective adeguato per quel servizio.

Posted in ict, Sicurezza | Tagged , , , | Comments Off on Cloud fiasco

Flood di mail per scaricare Zeus da siti italiani

Posted on February 2, 2012 by blogadmin

Da una decina di giorni ricevo una quantità veramente anomala di mail che invitano a scaricare un file zippato (tipicamente i subject e i nomi fanno riferimento a “fattura” o “ordine”) che secondo il Microsoft Malware Protection Center risulta essere “PWS:Win32/Zbot.gen!AF”, ovvero Zbot/Zeus. Prima di mandarlo a Microsoft avevo provato a darlo in pasto a mano ad un paio di antivirus/antibot locali, che non lo avevano riconosciuto…  La cosa curiosa è che è un’offensiva tutta “italiana”: non solo le mail sono in italiano, ma la cosa più inusuale è che i siti da cui si dovrebbe scaricare il malware sono tutti italiani: se non sono nel dominio .it, sono comunque in italiano e di persone e/o aziende italiane. I siti compromessi sono davvero tanti: per parecchio, ad ogni mail che mi è arrivata corrispondeva un sito compromesso diverso (quello da cui scaricare il file, non l’indirizzo di posta), solo dopo un po’ ho cominciato a vedere duplicati. Qualcuno ho provato ad avvertirlo, ma andare a cercare gli indirizzi a cui mandare la segnalazione è un lavoro a tempo pieno 😉

Posted in ict, Sicurezza | 1 Comment

The Register: giusto per dire ciao

Posted on October 25, 2011 by blogadmin

È un periodo di scadenze concentrate, ma visto che è di nuovo da parecchio che non scrivo niente, mi ritaglio questi due minuti. Oggi ho ricevuto una mail da The Register; siccome non ho motivo di riceverne, stava per finire in archivio insieme alle tante promozioni che non riesco a leggere, ma il subject mi ha incuriosito: “Apologies from The Register”. Sospettando che si trattasse di spam con qualche nuova tecnica di social engineering, l’ho letta (non è curioso? una mail legittima finisce in archivio, una di phishing la leggo… mah!). Invece erano proprio le scuse di The Register, in riferimento a questo episodio: “El Reg in SHOCK email address BLUNDER“. Un mio indirizzo fa parte dei 46,524 fortunati 😉 Vorrei sottolineare l’utilità di usare indirizzi di posta diversi per attività diverse. Se avessi usato per The Register lo stesso indirizzo che uso per PayPal, ad esempio, adesso mi dovrei preoccupare di più del phishing e di altri attacchi. Non che pensi che fra i tremila e passa che hanno ricevuto il mio indirizzo ci sia uno delinquente, ma è probabile che almeno uno di loro abbia il pc compromesso da un malware che raccoglie indirizzi. Questo mi ricorda un mio progetto legato al naming & shaming for spamming, che forse se avrò tempo riprenderò. Comunque, usando indirizzi diversi per attività con criticità diverse si riducono questi rischi. Avendo un dominio mio, per me è facile, ma anche con gmail, almeno un indirizzo diverso dal normale per le attività critiche (home banking, PayPal…) e uno per quell “banali” (come The Register)  e a rischio andrebbero adottati.

Posted in Uncategorized | Comments Off on The Register: giusto per dire ciao