Archive for the ‘Cloud’ Category

Attacks Raining Down from the Clouds

November 22, 2011 Leave a comment

Update November 24: New EU directive to feature cloud ‘bridge’. The Binding Safe Processor Rules (BSPR) will ask cloud service providers to prove their security and agree to become legally liable for any data offences.

In my humble opinion there is strange misconception regarding cloud security. For sure cloud security is one of the main trends for 2011 a trend, likely destined to be confirmed during 2012 in parallel with the growing diffusion of cloud based services, nevertheless, I cannot help but notice that when talking about cloud security, the attention is focused solely on attacks towards cloud resources. Although this is an important side of the problem, it is not the only.

If you were on a cybercrook’s shoes eager to spread havoc on the Internet (unfortunately this hobby seems to be very common recent times), would you choose static discrete resources weapons to carry on your attacks or rather would you prefer dynamic, continuous, always-on and practically unlimited resources to reach your malicious goals?

An unlimited cyberwarfare ready to fire at simple click of your fingers? The answer seems pretty obvious!

Swap your perspective, move on the other side of the cloud, and you will discover that Security from the cloud is a multidimensional issue, which embraces legal and technological aspects: not only for cloud service providers but also for cloud service subscribers eager to move there platforms, infrastructures and applications.

In fact, if a cloud service provider must grant the needed security to all of its customers (but what does it means the adjective “needed” if there is not a related Service Level Agreement on the contract?) in terms of (logical) separation, analogously cloud service subscribers must also ensure that their applications do not offer welcomed doors to cybercrooks because of vulnerabilities due to weak patching or code flaws.

In this scenario in which way the two parties are responsible each other? Simply said, could a cloud service provider be charged in case an attacker is able to illegitimately enter the cloud and carry on attack exploiting infrastructure vulnerabilities and leveraging resources of the other cloud service subscribers? Or also could an organization be charged in case an attacker, exploiting an application vulnerability, is capable to (once again) illegitimately enter the cloud and use its resources to carry on malicious attacks, eventually leveraging (and compromising) also resources from other customers? And again, in this latter case, could a cloud service provider be somehow responsible since it did not perform enough controls or also he was not able to detect the malicious activity from its resources? And how should he behave in case of events such as seizures.

Unfortunately it looks like these answers are waiting for a resolutive answer from Cloud Service Providers. As far as I know there are no clauses covering this kind of events in cloud service contracts, creating a dangerous gap between technology and regulations: on the other hands several examples show that similar events are not so far from reality:

Is it a coincidence the fact that today TOR turned to Amazon’s EC2 cloud service to make it easier for volunteers to donate bandwidth to the anonymity network (and, according to Imperva, to make easier to create more places and better places to hide.)

I do believe that cloud security perspective will need to be moved on the other side of the cloud during 2012.

Driving Through The Clouds

April 8, 2011 1 comment

How many times, stuck in traffic on a hot August day, we hoped to have a pair of wings to fly through the clouds and free from the wreckage of burning metal.

Unfortunately, at least for me (even if my second name in English would sound exactly like Sparrows) no wing so far, miraculously, popped up to save me, nevertheless I am quite confident that, in a quite near future,  I will be saved by the clouds even if I will not be able to fly, or better said, I will be saved by cloud technologies that will help me, and the other poor drivers bottled between the asphalt and the hot metal, under the ruthless August sun to avoid unnecessary endless traffic jams on Friday afternoons.

Some giants of Information Technology (Cisco and IBM in primis) are exploring and experimenting such similar solutions, aimed to provide Car Drivers with real time information about traffic and congestions in order to suggest them the optimal route. In this way they will provide a benefit to the individual, avoiding him a further amount of unnecessary stress, and to the community as well, contributing to fight pollution and making the whole environment more livable and enjoyable.

The main ingredients of this miraculous technological recipe consist in Mobile Technologies and cloud technologies and the reasons are apparently easy to understand: everybody always carries with him a smartphone which is an incommensurable real time probe source of precious data necessary to model a traffic jam (assuming that it will be ever possible to model a traffic jam in the middle of the Big Ring of Rome): as a matter of fact a smartphone allows to provide real-time traffic information correlated with important parameters such as GPS position, average speed, etc.

Cloud technologies provide the engine to correlate information coming from mobile devices (and embedded devices) belonging to many different vehicles, providing the computational (dynamically allocated) resources needed to aggregate and make coherent data from many moving sources in different points of the same city or different interconnected cities. Cloud technologies may act a a single, independent, point of collection for data gathered on each device, dynamically allocating resources on-demand (let us suppose to have, in the same moment, two different jams, one of which is growing to an exponential rate and requires, progressively more and more computational resources), providing, to the individual (and to the City Administrators) a real time comprehensive framework, coherent and updated (nobody would hope to be led, by his navigator, to a diversion with a traffic-jam much worse than the original one which caused the diversion.

Of course, already today many consumer navigators offer the possibility to provide real-time traffic information, anyway the huge adoption of cloud technologies will offer an unprecedented level of flexibility together with the possibility to deal with a huge amount of data and to correlate the collected information with other data sources (for instance the V2V Veichle2Veichle e V2I Veichle2Infrastructure). From the city administrations perspective, the collected data will be invaluable for identifying the more congested points (and drive the subsequent proper targeted corrective actions), and moreover for supporting a coherent and sustainable development of the city.

Cisco and IBM are working hard to make this dream become true in few years with different approaches converging to the cloud: Cisco is leveraging the network intelligence for a project pilot in the Korean City of Busan (3.6 million of inhabitants). Cisco vision aims, in the third phase of the project scheduled before the end of 2014, to provide the citizens with many different mobile services in the cloud, with a Software-As-A-Service approach. Those services are dedicated to improve urban mobility, distance, energy management and safety. A similar project has recently been announced also for the Spanish City of Barcelona.

The IBM project, more focused on applications, is called The Smarter City and aims to integrate all the aspects of city management (traffic, safety, public services, etc..) within a common IT infrastructure. Few days ago the announcement that some major cities of the Globe, for instance Washington and Waterloo (Ontario), will participate to the initiative.

Even if the cloud provides computing power, dynamicity, flexibility and the ability to aggregate heterogeneous data sources at an abstract layer, a consistent doubt remains, and it is represented by security issues for the infrastructure… Apart from return on investment considerations (for which there are not yet consistent statistics because of the relative youth of the case studies depicted above), similar initiatives will succeed in their purpose only if supported by a robust security and privacy model. I already described in several posts the threats related to mobile devices, but in this case the cloud definitely makes the picture even worse because of the centralization of the information (but paradoxically this may also be an advantage if one is able to protect it well.) and the coexistence of heterogeneous data, even though logically separated, on the same infrastructure. As a consequence compromising the only point that contains all the data coming from heterogeneous sources that govern the physiological processes of a city, could have devastating impacts since the system would be affected at different levels and the users at different services. Not to mention, moreover, in case of wider use of this technologies, the ambitions of cyberterrorism that could, with a single computer attack, cripple the major cities around the globe.

Tecnologia e Normativa: Le Due Facce Del Cloud

February 22, 2011 1 comment

In queste ore IDC ha pubblicato un interessante documentoAccelerate Hybrid Cloud Success: Adjusting the IT Mindset” (sponsorizzato da VMware) in cui esamina l’andamento del mercato dei servizi legati al Cloud nei prossimi 4 anni in EMEA (Europa, Middle East e Africa). Nel corso del 2009 i datacenter del Vecchio Continente, Medio Oriente e Africa, hanno assistito allo storico sorpasso delle macchine virtuali nei confronti delle macchine fisiche. Questo sorpasso ha agito da volano per il cloud, che ha esteso rapidamente la propria ampiezza e profondità, diventando un perno delle infrastrutture IT per gli anni a venire.

Lo studio delinea in maniera inequivocabile il trend esponenziale di adozione del cloud con particolare focus sulle infrastrutture di tipo hybrid cloud (ovvero quelle che adottano un approccio intermedio tra una infrastuttura completamente pubblica e una infrastruttura completamente privata). Se nel 2009 IDC stima che sono stati spesi circa 3.4 mld di $ per servizi legati alla nube di tipo software-as-a-service [SaaS], infrastructure-as-a-service [IaaS], e platform-as-a-service [PaaS], gli investimenti per servizi analoghi, sempre secondo le stime IDC, raggiungeranno nel 2010 i 5.3 mld di $ (con una crescita del 56% rispetto all’anno precedente) e sono destinati a crescere sino a 18.8 mld. di $ nel 2014.

Il motivo di una tale crescita è presto detto (e abusato): il cloud sopperisce ai problemi cronici delle infrastrutture IT riassumibili in:  costi di gestione elevati, utilizzo non efficiente delle risorse computazionali, consumo eccessivo di energia, inquinamento e, last but not least, mancanza di agilità dei servizi erogati che non si muovono alla stessa velocità dei requisiti di business.

Ai problemi cronici delle infrastrutture IT si sommano ulteriori fattori, letteralmente esplosi nel corso degli ultimi due anni:

  • La diffusione selvaggia dei server x86 in EMEA (raddoppiata da 1.3 milioni a 2.7 milioni di unità tra il 2003 e il 2008) con tutte le conseguenze in termini di consumo energetico e costi di approvvigionamento e gestione;
  • Processi di business sempre più dinamici e in tempo reale che necessitano  di infrastrutture dinamiche e in grado di adattarsi al processo con la stessa velocità con cui lo stesso muta;
  • Base di client eterogenei composta da dispositivi mobili e multiformi (smartphone, tablet, netbook), dispositivi che devono accedere alle risorse ed ai servizi da una vasta gamma di piattaforme, con le stesse condizioni di sicurezza.

Una simile diffusione non deve però mettere in ombra quelli che sono i problemi storici del cloud, evidenziati anche in queste pagine: la sicurezza, le prestazioni, l’affidabilità e (fattore non esplicitamente citato nella ricerca IDC sebbene strettamente pertinente alla sicurezza), la conformità con le normative vigenti nei vari paesi.

Come suggerisce il titolo del documento IDC la rivoluzione non è solo tecnologica ma (soprattutto) culturale: per gli utenti (che non hanno più il controllo diretto dei propri dati), e per i gestori che vedono fiorire modelli di servizio ibridi e soprattutto vedono cadere le barriere gestionali dei diversi componenti di una infrastruttura: il Data Center 3.0 basa difatti la propria intelligenza e dinamicità sulla rete e considera sistemi, storage e rete come una unica entità.

Purtroppo non è tutto oro quello che luccica, soprattutto nel Belpaese. Tecnologia e Normativa non si muovono alla stessa velocità e, ironia della sorte, lo studio IDC raggiunge la comunità IT a poche ore dalle dichiarazioni di Luca Bolognini, Presidente dell’Istituto Italiano Privacy, che, nel corso di una tavola rotonda nell’ambito dell’IDC Security Conference 2011 (sempre di IDC si tratta), ha dichiarato che il Cloud, per quanto sia una tecnologia vincente, è teoricamente illecito in quanto non conforme con le normative di diversi paesi europei.

I motivi sono i soliti:

  • La nomina del responsabile del trattamento dei dati che diviene eccessivamente fumosa all’interno della nube: una entità che vede molteplici soggetti che interagiscono all’interno del servizio, sovente non identificabili. A peggiorare il quadro concorre il fatto che in Europa non è concepita oggi la figura del super-responsabile.
  • La sicurezza dei dati in termini di diritto e privacy, intesa non solo come sicurezza protettiva dagli abusi;
  • La perdita dei dati, che dovrà essere notificata anche dai Cloud Provider tramite apposita normativa;
  • L’ultima questione, la più importante (e a mio avviso legata alla sicurezza) riguarda il problema dei dati all’estero, che sfuggono totalmente alla normativa locale. Non a caso avevo già sollevato questo problema giungendo alla conclusione che, in caso di necessità di un servizio cloud di qualsiasi tipo, mi avvarrei sicuramente di un fornitore di servizi nazionale. Solo in questo caso potrei essere (almeno teoricamente) sicuro che la tutela delle mie informazioni sia in linea con la legge e certo, in caso di necessità, di poter disporre delle informazioni necessarie per una eventuale analisi forense.

Questa dicotomia tra tecnologia e normativa sarà in grado di trovare una convergenza parallela? Probabilmente si, non credo proprio che le previsioni IDC sulla nube andranno in fumo a causa della scarsa aderenza alle normative. La soluzione sulla carta è chiara e prevede l’adozione di una normativa più realistica che capovolga il paradigma dell’attuale modello di controllo: da un modello pubblico centralizzato ad un modello privato e distribuito, che si appoggi cioè su una rete di fornitori di servizi che si facciano essi stessi garanti con un insieme di regole comuni e condivise. Nel frattempo i fornitori di servizi dovranno essere pronti: nella prima metà del 2011 si prevedono difatti le prime ispezioni (probabilmente conoscitive) del Garante.

C’era una volta… Il Sogno Americano… (E per fortuna c’è ancora!)

January 14, 2011 Leave a comment

In una delle innumerevoli navigazioni notturne, mi sono imbattuto in questa significativa storia relativa al sogno americano, sogno che non passa mai di moda, e alla tanto acclamata (a parole) fuga di cervelli dal Belpaese, il tutto condito con un briciolo di Hi-Tech.

La favola, come nella migliore tradizione della Silicon Valley inizia in un garage, all’ombra non dei grattacieli di San Francisco, ma della più tradizionale Madonnina Meneghina.

I protagonisti sono Marco Palladino, giovane imprenditore tricolore ventiduenne, e suoi due compagni di ventura, (Augusto Marietti e Michele Zonca) nonché soci nell’improbabile (nel Belpasese) progetto di creare un marketplace per interfacce di programmazione (API) basato sul cloud: una piattaforma in grado di consentire agli sviluppatori di distribuire facilmente le proprie API a tutta la comunità di utenti del servizio (e agli utenti stessi di APIzzarsi)

La storia inizia 2 anni fa quando i protagonisti della storia si avviano nell’improbabile impresa di setacciare a fondo il panorama imprenditoriale italiano alla ricerca di finanziamenti per il loro progetto (che sarebbe poi diventato Mashape, questo è il nome della start-up). Dopo oltre un anno di ricerca senza esito, ad aprile 2009 si rinchiudono nel classico garage a scrivere codice, e finalmente a novembre 2009 volano oltreoceano per presentare un prototipo del prodotto al TechCrunch50.

Da lì, l’idea di fare le valigie e trasferirsi in pianta stabile negli Stati Uniti a gennaio 2010.

Una volta approdati Oltreoceano i ragazzi non si perdono d’animo e si buttano a capofitto alla ricerca dei finanziamenti necessari con tutti i mezzi a disposizione. E come per miracolo (quando si parla del Belpaese tutto è possibile, nel bene e nel male) dopo 19 giorni riescono a trovare la somma necessaria (ben 101.000 $). In ogni favola non manca mai il principe azzurro, in questo caso sono due e vestono i panni di Kevin Donahue e Dwipal Disai fondatori originali di Youtube (ai quali si sono raggiunti in seguito altri investitori), che in 19 giorni mettono sul piatto quello che gli imprenditori italiani non erano riusciti a proporre in due anni.

Sicuramente la cosa che colpisce è il fatto che 101.000 $ non sono una somma esorbitante, ma la spiegazione è tutta nell’amaro commento di Marco Palladino:

La questione è puramente culturale: in Italia la comunità degli investitori è più piccola e possiede meno risorse che in Silicon Valley. Pertanto non vuole prendere rischi investendo in un modello nuovo e innovativo, preferendo piuttosto investimenti affidabili e sicuri. Di consguenza finanzia modelli già esistenti, con la conseguenza di rallentare l’innovazione locale.

La spiegazione è resa ancora più amara se la si cala nell’attuale panorama sociale italiano in cui si accusano il mondo politico, scolastico ed economico di non lasciare spazio alle giovani menti brillanti, per poi lasciarsele sfuggire oltreoceano con le proprie idee innovative (anche al costo dei classici quattro baiocchi).

Resta la consolazione, come ribadito dallo stesso Marco Palladino, che nonostante i problemi economici e sociali, almeno il Sogno Americano è ancora “up and running“.

Il Cloud? E’ appena NATO!

December 24, 2010 Leave a comment

Il 2011 sarà l’anno della definitiva consacrazione del Cloud (soprattutto per le implicazioni di sicurezza). A conferma di questo arriva la notizia che la NATO adotterà tecnologia Cloud IBM per il proprio quartier generale di Norfolk.

Sebbene si preveda una diffusione massiccia da parte di tutta l’Alleanza Atlantica, è bene non farsi prendere da facili entusiasmi: all’inizio il sistema verrà usato da pochi utenti in un ambito ristretto (e isolato da Internet).

Il cloud consente di consolidare, uniformare (e astrarre) le diverse tecnologie e sorgenti di dati che oggi compongono l’infrastruttura NATO, si adatta inoltre perfettamente alle esigenze logistiche e di processo dell’Alleanza Atlantica che presenta una organizzazione che, per quanto distribuita e frammentata, deve seguire processi comuni. Secondo le parole di Joahn Goossens, Technology Manager del quartier generale di Norfolk:

Let’s say a Dutch soldier is wounded on the battlefield. He has to be evacuated by a German helicopter and taken to an American hospital. It gets very complex in international scenarios. We hope to create a pipeline where all this information can flow.

Il cloud quindi sembra la soluzione non solo alla frammentazione delle infrastrutture, ma anche alla frammentazione dei processi, poiché consente di creare una infrastruttura in cui le informazioni possono fruire in una ottica end-to-end, indipendentemente dalla natura del dato e dalla ubicazione geografica.

E forse in questo caso il problema della sicurezza è risolto definitivamente… Con la separazione fisica!

Categories: Cloud Tags: , , ,

Get every new post delivered to your Inbox.

Join 3,788 other followers