Archive
Crime As A Self Service
One of the most visionary information security predictions for 2012, was the one issued by Fortinet which defined the term Crime As A Service: “Crime as a Service (CaaS), [...] is just like Software as a Service (SaaS), but instead of offering legal and helpful services though the Internet, criminal syndicates are offering illegal and detrimental services, such as infecting large quantities of computers, sending spam and even launching direct denial of service (DDoS) attacks“. At first glance I marked this prediction as exaggerated but then I could not imagine that I should have witnessed a huge demonstration only few days after. Of course I am referring to the #OpMegaUpload when, immediately after the FBI takedown, the Anonymous redirected users towards a website when they could DDoS a large group of targets with a simple web click and most of all, without the need to install the Infamous LOIC.
Even if this has been, so far, the most noticeable example, is not the only one of a malicious tool used as a service for criminal (in this case one shot) campaigns. More in general, using very familiar terms (borrowed and adapted from Cloud Terminology) I believe the CaaS is assuming three shapes:
- Software As a (Crime) Service or Saa(C)S, in which the criminals offer malicious software (and the needed support) as a service. An example? The latest Zeus Variant dubbed Citadel, recently spotted by Brian Kerbs, which provides the purchaser with help desk and even a dedicated Social Network;
- Infrastructure As (Crime) Service or Iaa(C)S, in which the criminals offer malicious services (or infrastructures) to attack specified targets, services may include complex “traditional” infrastructures such as botnets, but also “innovative” large scale fashioned services such as DDoS or also sharper services such as password cracking. Try to surf the web and you will discover how easy it is to purchase such a criminal kind of services.
- Platform As a (Crime) Service or Paa(C)S: in which the criminals offer malicious platforms that users may adapt to fit their needs. An example? The brand new HOIC (High Orbit Ion Cannon) the new DDoS tool, evoluti0n of the infamous LOIC, that may be assimilated to a real malicious service platform that users may tailor to fits their needs thanks to the booster scripts. I believe we are not so far from criminal organizations selling customized booster scripts for every kind of need and, why not, offering support services as well.
Last but not least this services are self provisioned, and this is the reason why I used the term “Crime as a Self Service”: in every scenario, be the malicious service a Saa(C)S, Iaa(C)S or Paa(C)S, the user selects directly the target (or the victim), and that’s it!
Related articles
- May I Be Arrested For Using LOIC? (paulsparrows.wordpress.com)
- DDoS with just a click! (thesecuritysamurai.com)
La Città (Verde) Tra Le Nuvole
Il titolo dell’articolo apparentemente richiama la romantica Cloud City, città tra le nuvole che contraddistingue le gesta di Han Solo e Lando Calrissian nell’Episodio V di Guerre Stellari. In realtà alla Cloud City basta aggiungere un aggettivo ecologico per creare il termine Green Cloud City che identifica il progetto su cui stanno lavorando, su tre filoni paralleli, altrettanti colossi del settore, Cisco, IBM e Microsoft (in rigoroso ordine alfabetico) con l’intenzione di realizzare la Città del futuro, dove Mobility, Green ICT e Tecnologie Cloud si sposano per garantire servizi avanzati ai cittadini.
Il progetto di Cisco si colloca all’interno di una iniziativa più vasta definita Smart+Connected Community che mira a fornire ai cittadini servizi di collaborazione e connettività avanzata grazie all’intelligenza fornita dalla rete. Il progetto pilota è attualmente in corso presso la città coreana di Busan (3.6 milioni di abitanti) e mira, entro il 2014, a fornire ai cittadini una serie di servizi, mobili e condivisi, ospitati sul cloud, atti a migliorare la mobilità urbana, l’impatto delle distanze, la gestione dell’energia e le condizioni generali di sicurezza.
I pilastri su cui si basa l’iniziativa sono il cloud e le tecnologie mobili: il primo fornisce l’infrastruttura, di tipo platform-as-a-service (PaaS) nella prima fase, necessaria allo sviluppo delle applicazioni mobili; e di tipo software-as-a-service (SaaS) nella fase 2, prevista nel 2012, in cui i primi servizi (ad esempio gestione documentale e billing automation saranno disponibili a tutti i cittadini). Come si è facilmente intuito, mobili sono invece i terminali che potranno usufruire delle applicazioni a partire dalla fase 2, accesso applicativo che vedrà il pieno compimento nella fase 3, prevista per il 2014, quando le applicazioni saranno accessibili a tutti. Il motivo del connubio in ambito cittadino è presto detto: i terminali mobili costituiscono il punto di accesso dei cittadini ai servizi, possono autenticare in maniera forte e fornire nel contempo le informazioni in tempo reale necessarie al funzionamento dell’ecosistema. Il cloud fornisce invece l’infrastruttura che garantisce la potenza di calcolo, la la dinamicità e la flessibilità necessarie per gestire una mole di dati così ingente e verso la quale stanno migrando le tecnologie dei partner Cisco in questo progetto.
Il progetto di IBM è chiamato The Smarter City e mira a integrare tutti gli aspetti di gestione di una città (traffico, sicurezza, servizi ai cittadini, etc.) all’interno di una infrastruttura IT comune. Pochi giorni fa l’annuncio che all’iniziativa parteciperanno alcune importanti città del Globo, quali Washington e Waterloo (Ontario). Il caso di Washington in particolar modo è significativo perché dimostra come la gestione unificata dei parametri di una città mediante una intelligenza (e una infrastruttura software) comune possa apportare benefici agli utenti su molteplici piani. Basti pensare ad esempio ad una utility che è in grado di ottimizzare i consumi grazie agli Smart Meter (rilevatori di consumo intelligenti bidirezionali equipaggiati con uno stack IP per le comunicazioni) e di ottimizzare nel contempo interventi di manutenzione grazie alla possibilità di conoscere il traffico in tempo reale ed altri servizi mobili (fatturazione, verifica consumi, etc. grazie al supporto delle tecnologie mobili. Anche per questa iniziative, nubi virtuali si stagliano all’orizzonte in quanto il progetto può essere integrato con l’infrastruttura IP di una città ma può anche essere ospitato in ambito cloud per consentire, soprattutto nel caso delle città più piccole, la coesistenza, logicamente separata, di diverse entità in una stessa infrastruttura tecnologica.
Sul carro del Green ICT su scala cittadina (e anche oltre) è salita anche Microsoft, mediante la propria iniziativa SERA (Smart Energy Reference Architecture) dedicata alla creazione di un framework comune per l’interoperabilità di diversi dispositivi di misurazione intelligente. L’ultimo progetto in ordine di tempo è quello realizzato con il gigante energetico francese Alstom. Anche in questo caso nel cielo Azure di Microsoft si stagliano nubi tecnologiche, nel senso che il progetto utilizza in maniera importante tecnologie di cloud.
Ovviamente in tutti i casi evidenziati il cloud fornisce potenza di calcolo, dinamicità, flessibilità, capacità di aggregare ad un livello astratto fonti di dati così eterogenee, ma un dubbio (e anche consistente) rimane… La sicurezza… A prescindere dal ritorno degli investimenti (per cui non c’è ancora una casistica consistente vista la relativa gioventù dei casi sopra citati), simili iniziative potranno riuscire nel loro scopo solamente se supportate da un solido modello di sicurezza e privacy. Già di per sè, come ho avuto modo di approfondire nel caso delle smart grid, l’apertura al mondo IP espone sistemi non nativamente concepiti per essere aperti a nuove tipologie di minacce. Il cloud sicuramente rende il quadro ancora più delicato perchè centralizza il punto di elaborazione delle informazioni (ma questo paradossalmente potrebbe anche essere un vantaggio) e consente la coabitazione di dati eterogenei, ancorché logicamente separati, sulla medesima infrastruttura. Compromettendo l’unico punto che contiene tutti i dati, provenienti da sorgenti eterogenee che governano i processi fisiologici di una città, gli impatti sarebbero estremamente dannosi in quanto influenzerebbero il sistema a diversi livelli e gli utenti a diversi servizi. Senza contare le mire dei Cyberterroristi che potrebbero, con un unico attacco informatico (e quindi con elevate possibilità di nascondersi) mettere in ginocchio le maggiori città del globo.
Comunque non preoccupatevi, passerà ancora un po’ di tempo prima che le città arriveranno ad un modello così evoluto. Ci arriveranno sicuramente prima le automobili. Ma chissà perché la cosa non mi tranquillizza per niente. E poi un dubbio mi rimane: secondo voi tra Cisco, IBM e Microsoft, quale sarà la prima ad essere “bucata”? Chissà perché ma temo di sapere la risposta…
Tecnologia e Normativa: Le Due Facce Del Cloud
In queste ore IDC ha pubblicato un interessante documento “Accelerate Hybrid Cloud Success: Adjusting the IT Mindset” (sponsorizzato da VMware) in cui esamina l’andamento del mercato dei servizi legati al Cloud nei prossimi 4 anni in EMEA (Europa, Middle East e Africa). Nel corso del 2009 i datacenter del Vecchio Continente, Medio Oriente e Africa, hanno assistito allo storico sorpasso delle macchine virtuali nei confronti delle macchine fisiche. Questo sorpasso ha agito da volano per il cloud, che ha esteso rapidamente la propria ampiezza e profondità, diventando un perno delle infrastrutture IT per gli anni a venire.
Lo studio delinea in maniera inequivocabile il trend esponenziale di adozione del cloud con particolare focus sulle infrastrutture di tipo hybrid cloud (ovvero quelle che adottano un approccio intermedio tra una infrastuttura completamente pubblica e una infrastruttura completamente privata). Se nel 2009 IDC stima che sono stati spesi circa 3.4 mld di $ per servizi legati alla nube di tipo software-as-a-service [SaaS], infrastructure-as-a-service [IaaS], e platform-as-a-service [PaaS], gli investimenti per servizi analoghi, sempre secondo le stime IDC, raggiungeranno nel 2010 i 5.3 mld di $ (con una crescita del 56% rispetto all’anno precedente) e sono destinati a crescere sino a 18.8 mld. di $ nel 2014.
Il motivo di una tale crescita è presto detto (e abusato): il cloud sopperisce ai problemi cronici delle infrastrutture IT riassumibili in: costi di gestione elevati, utilizzo non efficiente delle risorse computazionali, consumo eccessivo di energia, inquinamento e, last but not least, mancanza di agilità dei servizi erogati che non si muovono alla stessa velocità dei requisiti di business.
Ai problemi cronici delle infrastrutture IT si sommano ulteriori fattori, letteralmente esplosi nel corso degli ultimi due anni:
- La diffusione selvaggia dei server x86 in EMEA (raddoppiata da 1.3 milioni a 2.7 milioni di unità tra il 2003 e il 2008) con tutte le conseguenze in termini di consumo energetico e costi di approvvigionamento e gestione;
- Processi di business sempre più dinamici e in tempo reale che necessitano di infrastrutture dinamiche e in grado di adattarsi al processo con la stessa velocità con cui lo stesso muta;
- Base di client eterogenei composta da dispositivi mobili e multiformi (smartphone, tablet, netbook), dispositivi che devono accedere alle risorse ed ai servizi da una vasta gamma di piattaforme, con le stesse condizioni di sicurezza.
Una simile diffusione non deve però mettere in ombra quelli che sono i problemi storici del cloud, evidenziati anche in queste pagine: la sicurezza, le prestazioni, l’affidabilità e (fattore non esplicitamente citato nella ricerca IDC sebbene strettamente pertinente alla sicurezza), la conformità con le normative vigenti nei vari paesi.
Come suggerisce il titolo del documento IDC la rivoluzione non è solo tecnologica ma (soprattutto) culturale: per gli utenti (che non hanno più il controllo diretto dei propri dati), e per i gestori che vedono fiorire modelli di servizio ibridi e soprattutto vedono cadere le barriere gestionali dei diversi componenti di una infrastruttura: il Data Center 3.0 basa difatti la propria intelligenza e dinamicità sulla rete e considera sistemi, storage e rete come una unica entità.
Purtroppo non è tutto oro quello che luccica, soprattutto nel Belpaese. Tecnologia e Normativa non si muovono alla stessa velocità e, ironia della sorte, lo studio IDC raggiunge la comunità IT a poche ore dalle dichiarazioni di Luca Bolognini, Presidente dell’Istituto Italiano Privacy, che, nel corso di una tavola rotonda nell’ambito dell’IDC Security Conference 2011 (sempre di IDC si tratta), ha dichiarato che il Cloud, per quanto sia una tecnologia vincente, è teoricamente illecito in quanto non conforme con le normative di diversi paesi europei.
I motivi sono i soliti:
- La nomina del responsabile del trattamento dei dati che diviene eccessivamente fumosa all’interno della nube: una entità che vede molteplici soggetti che interagiscono all’interno del servizio, sovente non identificabili. A peggiorare il quadro concorre il fatto che in Europa non è concepita oggi la figura del super-responsabile.
- La sicurezza dei dati in termini di diritto e privacy, intesa non solo come sicurezza protettiva dagli abusi;
- La perdita dei dati, che dovrà essere notificata anche dai Cloud Provider tramite apposita normativa;
- L’ultima questione, la più importante (e a mio avviso legata alla sicurezza) riguarda il problema dei dati all’estero, che sfuggono totalmente alla normativa locale. Non a caso avevo già sollevato questo problema giungendo alla conclusione che, in caso di necessità di un servizio cloud di qualsiasi tipo, mi avvarrei sicuramente di un fornitore di servizi nazionale. Solo in questo caso potrei essere (almeno teoricamente) sicuro che la tutela delle mie informazioni sia in linea con la legge e certo, in caso di necessità, di poter disporre delle informazioni necessarie per una eventuale analisi forense.
Questa dicotomia tra tecnologia e normativa sarà in grado di trovare una convergenza parallela? Probabilmente si, non credo proprio che le previsioni IDC sulla nube andranno in fumo a causa della scarsa aderenza alle normative. La soluzione sulla carta è chiara e prevede l’adozione di una normativa più realistica che capovolga il paradigma dell’attuale modello di controllo: da un modello pubblico centralizzato ad un modello privato e distribuito, che si appoggi cioè su una rete di fornitori di servizi che si facciano essi stessi garanti con un insieme di regole comuni e condivise. Nel frattempo i fornitori di servizi dovranno essere pronti: nella prima metà del 2011 si prevedono difatti le prime ispezioni (probabilmente conoscitive) del Garante.
About The Author
Support My Work!
Share:
News
08/13/2011 - My Post on Android Malware Mentioned on Engadget.
04/14/2011 - The Article Smart Grid: L'ultima Frontiera del Cybercrime published on ICT Security Magazine May 2011.
03/14/2011 - Security Summit 2011: Paolo Passeri guest at Round Table "Mobile Security: Rischi, Tecnologie, Mercato"
02/14/2011 - The Article Gears of Cyberwar published on ICT Security Magazine January 2011.
Visitors from…
