I servizi cloud offrono la possibilità di collaborare on-line in maniera rapida e conveniente, offendo soluzioni di qualsivoglia genere. Nei servizi commerciali però, “la nuvola” richiede che il cliente si fidi ciecamente dell’azienda che fornisce il servizio. 

Poco male quando si tratta di cose facilmente ripetibili, molto peggio quando viene chiesto di tornare ai caraibi per scattare di nuovo quella foto su una spiaggia dalla sabbia bianchissima. Dura è stata la lezione impartita agli utenti del servizio “my cloud live” di Western Digital (uno dei colossi della produzione di hard disk), trattasi di un cloud personale che permette di avere una soluzione di backup a casa propria accessibile da internet lasciando all’azienda l’onere di occuparsi del controllo degli accessi. 

Una parte degli utenti del servizio ha visto scomparire i propri dati a seguito di un reset di fabbrica, lanciato da un attore malevolo, a causa di una vulnerabilità datata 2011 e non “patchata” fino al termine del supporto avvenuto nel 2015. Tale vulnerabilità (in realtà sono due strettamente correlate) permette di eseguire codice con privilegi di amministratore che ha consentito il ripristino di fabbrica senza la necessità di conoscere username e password. 

LA REGOLA DEL 3,2,1 

È importante sapere che i dati sono sempre a rischio anche quando sono stati salvati su un dispositivo esterno e che questo non è assolutamente sufficiente poiché il dispositivo esterno potrebbe rompersi, essere smarrito o essere vittima di un disastro più grave che coinvolge l’intera casa.  

Come comportarsi quindi? 

La “3-2-1 Rule” (regola del 3-2-1) consiste nel conservare 3 copie dello stesso file: la prima sul dispositivo, la seconda su un dispositivo esterno e la terza su un altro dispositivo esterno che si trova in luogo diverso dagli altri due; in questo modo in caso di disastro sarà possibile recuperare i vostri preziosi ricordi. 

Il cloud è il posto giusto quindi? Posso fidarmi? 

Paradossalmente qui ci troviamo davanti a un bivio: consegnare i nostri dati interamente ad un servizio che li mantenga, oppure creare una propria nuvola? Il servizio di western digital era un ottimo compromesso, fornisce infatti un controllo sugli accessi mantenendo il totale controllo sui dati ma lasciava all’utente il compito di avere una corretta strategia di “disaster recovery” (recupero in caso di disastro). Se la riservatezza può passare in secondo luogo rispetto alla possibilità di mantenere i propri dati allora sì, le grandi aziende di “cloud storage” (spazio di archiviazione cloud) fanno tutto il possibile affinchè i vostri dati non vengano mai persi, se la riservatezza è irrinunciabile allora non vi resta che armarvi di pazienza ed essere pronti a tutto. 

Cosa ci ha insegnato questo? Affidarsi a sistemi e soluzioni per la sicurezza che ormai appartengono a generazioni passate o non sono più supportate non è una buona idea, quindi ricordiamoci di aggiornare i nostri sistemi e di essere costante aggiornati sulle news di sicurezza, ad esempio, consultando fonti come la nostra CybersecurityUP! 

Per i più curiosi, qui potete vedere in dettaglio in cosa consistono le vulnerabilità che hanno permesso agli hackers di distruggere i dati dei poveri malcapitati:  CVE-2018-18472 e CVE-2021-35941. 

Tweet