Come dare accesso sicuro ai dati nel cloud

Lo sviluppo delle comunicazioni mobili e il concetto di cloud oggi consentono l’accesso ai propri dati ed applicazioni con assoluta ubiquità. Inevitabilmente questa flessibilità ha un potenziale inconveniente: la possibilità che l’accesso ai nostri dati sia effettuato da persone non autorizzate o, peggio ancora, che la nostra identità venga usurpata ed utilizzata a fini illeciti.

Generalmente il punto di attacco prediletto dagli hacker è il sistema operativo stesso, sfruttando vulnerabilità esistenti nei moduli del sistema o nei driver. Infatti, un sistema operativo moderno è un software complesso composto da milioni di linee di codice ed è, quindi, praticamente impossibile garantirne l’immunità.

Oltre alle vulnerabilità intrinseche del sistema, bisogna considerare che il sistema è esposto a molte aggressioni potenziali esterne. Tipicamente un utilizzatore installa decine se non centinaia di applicazioni che possono rappresentare altrettanti vettori per degli attacchi, visita website che possono essere corrotti, riceve e-mail che possono contenere phishing e via di seguito

Sicurezza a vari livelli

Sono stati eseguiti molti studi sulla possibilità di garantire la sicurezza a vari livelli del sistema operativo; tuttavia queste tecniche sono relativamente difficili da mettere in pratica. Infatti, un nuovo sistema operativo non viene mai sviluppato partendo da zero; ogni versione è essenzialmente un’evoluzione di quella precedente e di conseguenza ne eredita le vulnerabilità.

Altri approcci sono basati sullo stretto controllo del software installato come per esempio nell’iOs di Apple, oppure sono basati sul concetto di opensource che ne rende visibile il codice. Anche in questi casi però è difficile controllare ogni singola funzione e garantire l’incolumità del sistema. Ricordiamo che anche un classico antivirus, per quanto possibile aggiornato, può soltanto rivelare i virus di cui conosce la firma.

In molti casi queste protezioni possono essere considerate sufficienti ma soltanto in quanto un eventuale attacco non porterebbe sostanziali frutti all’hacker. Ciò però non è vero nel caso di applicazioni che hanno accesso a risorse confidenziali o critiche. In questi casi è assolutamente essenziale garantire l’autenticità, l’integrità e la riservatezza dei dati trasmessi ed elaborati.

Un’ancora esterna

La protezione del software di un sistema informatico non può essere sufficientemente garantita da una soluzione basata esclusivamente sul software poiché anche l’integrità di quest’ultima potrebbe essere stata compromessa. La soluzione più adeguata è quella di ricorrere ad un’ancora esterna al sistema, sicura ed affidabile da cui si potrà stabilire una trust chain che garantisce l’accesso sicuro ai dati.

Quest’ancora è tipicamente un hardware temper resistant sotto forma di chiave USB contenente un piccolo processore, memoria ed un lettore di smart card. Vi sono memorizzati dati che non possono essere letti o modificati senza apposite credenziali come ad esempio PIN e/o smart card.

Il concetto fondamentale è di memorizzare su questo dispositivo un piccolo sistema operativo dovutamente verificato. Questo sistema, essendo molto limitato e read only, non presenta le vulnerabilità descritte precedentemente. Il suo ruolo è quello di permettere un boot del computer a cui viene collegato.

Sistema operativo in memoria

In seguito il sistema operativo, che risiede interamente in memoria, lascia alla chiave USB la responsabilità di stabilire con credenziali interne (certificati, password) la connessione con i server nel cloud.

Le credenziali, però, restano confinate esclusivamente nella chiave USB. Una volta stabiliti i collegamenti, il sistema operativo potrà consentire, in un ambiente sicuro, l’esecuzione di applicazioni richiedenti la massima protezione quali, ad esempio, e-banking, accesso a basi di dati altamente riservate o, addirittura, sessioni di remote desktop.

Quest’approccio garantisce l’accesso sicuro, da qualsiasi computer collegato a Internet, ad applicazioni con altissimi requisiti di sicurezza.

Per di più, non è necessario installare alcun software supplementare sul computer utilizzato e non sarà lasciata alcuna traccia sul computer alla fine della sessione.

Paolo Scotton Ibm Research

Chi è l’autore

Paolo Scotton ha ottenuto il Diplôme D’Ingénieur presso l’Ecole Supérieure en Science Informatiques di Sophia Antipolis e il PhD in telecomunicazioni e trattamento del segnale presso l’Université de Nice – Sophia Antipolis.

Ha iniziato la sua carriera al laboratorio di sviluppo IBM di La Gaude.

Nel 1997 si è trasferito al laboratorio di ricerca IBM di Zurigo dove ha occupato varie posizioni di management ed ha svolto attività di ricerca in diversi campi come networking, sistemi di publish/subscribe, cloud computing e, più recentemente, metodi analitici e cognitivi di recommendation per il marketing.

 

 

CONDIVIDI

NESSUN COMMENTO

LASCIA UN COMMENTO