Vai al contenuto

Eccoci qua...
Siamo entrati nel CLOUD e la prima cosa che scopriamo è che ci sono diversi tipi di CLOUD.

Come orientarsi ?

Dobbiamo innanzitutto scegliere quale Modello di Servizio adottare per la nostra Azienda e siamo un po' perplessi davanti a quelle sigle (SaaS, PaaS, IaaS).
Abbiamo con noi due PREZIOSI documenti del NIST (SP 800-146 e SP 500-291) con l'aiuto dei quali cerchiamo di capire esattamente di cosa si tratta, ma gli schemi riportati nei documenti e le numerose pagine di descrizioni tecniche sono un po' difficili da digerire, anche per noi tecnici...

Ci stiamo rimuginando da un po', quando al più "sveglio" tra noi viene una geniale intuizione:
«...e se fosse un'AUTOMOBILE ? »
«il CLOUD una AUTOMOBILE ? »
«Ma cosa stai dicendo ? »

«Sì... se invece di risolvere i problemi dei Sistemi Informativi dell'Azienda con il CLOUD dovessimo affrontare il problema degli spostamenti di lavoro delle persone con le auto ? »
«...anche in questo caso saremmo di fronte a diverse possibilità (utilizzo di auto di proprietà, auto Aziendali in leasing, auto a noleggio, taxi)...»

«Guardate questo schema...»

«Sì, la similitudine è efficace !»
«Penso che potremmo utilizzare questo schema anche per spiegare la cosa al Direttore...»

«...e per la modalità di implementazione ? (Private / Community / Public / Hybrid) come facciamo ?»

«Beh, anche qui possono esserci delle similitudini, ad esempio:

«Ok, ma come definiresti allora "Hybrid CLOUD" ? »

«Ah, mi spiace ma CI RINUNCIO !! »

2

Eccoci qua, pronti a partire per il CLOUD !

L'IT ha deciso che anche per la nostra Azienda è ormai ora di "andare in CLOUD" e noi tecnici siamo in procinto di migrare le prime applicazioni...
Ma c'è tra di tra noi un rompiscatole che continua ad essere perplesso e che non la smette di fare domande assurde e porre questioni fuori luogo:

«Siamo sicuri di quello che stiamo facendo ?
Io non ho capito bene che cos'è questo CLOUD ! Come è fatto ? Come funziona ? Come lo spieghiamo al Direttore ?
Qualcuno mi sa dare una DEFINIZIONE ESATTA di "CLOUD" ?»

«Beh, dai ! Sono sistemi virtuali...»

«Sai che novità !
Anche i nostri sistemi nel Datacenter sono ormai quasi tutti su macchine virtuali...
Vuoi dire che il nostro attuale Datacenter è "in CLOUD" ?»

«No, i sistemi virtuali del CLOUD sono su Internet...»

«Ah, come i sistemi di [Nota_Azienda_che_fa_paghe_e_stipendi] ?
Quelli con cui ci calcolano ogni mese i cedolini ?
Ma questo l'abbiamo sempre chiamato "Service Esterno" !
Poi lo usiamo sin da prima che il CLOUD nascesse, quindi non può essere "CLOUD"...»

«Ma no ! Quella è solo una applicazione esterna che usiamo tramite Internet !
Nel CLOUD ci puoi mettere le NOSTRE applicazioni...»

«Come l'applicazione [Prospettive_di_vendita], che siccome era troppo complessa per le misere risorse del nostro Datacenter, abbiamo installato sui Server di [Noto_Fornitore_IT] ?»

«No ! Quello si chiama HOSTING ! Loro ci forniscono l'hardware e il software di ambiente e noi ci mettiamo l'applicazione... Il CLOUD è una infrastruttura che viene condivisa tra molti utenti, non è un sistema dedicato !»

«Beh, non ci vedo molte differenze... Sia [Noto_Fornitore_IT] che [Nota_Azienda_che_fa_paghe_e_stipendi] hanno altri Clienti come noi a cui forniscono gli stessi servizi...»

Stiamo andando avanti così da circa un'ora, quando all'improvviso uno di noi grida:
«Eccola !»
«Ho trovato la DEFINIZIONE di "CLOUD" ! »
«E' in un documento del NIST - il National Institute of Standard and Technology Americano - che si intitola proprio "The NIST Definition of Cloud Computing"...»

«Cosa dice ?»

«Beh, tradotto ad occhio dice che il CLOUD COMPUTING è “un modello per consentire in modo diffuso ed economico l'accesso on-demand attraverso la rete ad un pool condiviso di risorse di elaborazione configurabile (ad esempio, reti, server, storage, applicazioni e servizi) che possono essere rapidamente approntate e rilasciate con il minimo sforzo di gestione o interazione con il Provider dei servizi”»

«Mah ! A me non sembra poi così chiaro... A parte il "rapidamente approntate" e il "minimo sforzo di gestione" mi pare uguale all'HOSTING di cui si parlava prima...»
«Ah, e poi non mi sembra di essere l'unico che non ha le idee chiare sul CLOUD...» «Guardate qua... »

«Aspetta un attimo !»
«Pare che anche quelli del NIST si siano accorti che la definizione era un po' vaga e hanno indicato che il CLOUD deve possedere cinque caratteristiche essenziali:»

  1. Provisioning on-demand e in modalità Self-Service
    Il Cliente può autonomamente definire ed impostare le risorse CLOUD a lui necessarie (ad es. risorse di elaborazione e spazi di storage).
    Ove previsto, ciò può essere effettuato automaticamente e senza alcuna necessità di interazione diretta tra il Provider dei Servizi CLOUD ed il Cliente.
  2. Estensivo utilizzo della rete
    Le risorse CLOUD del Provider sono disponibili in rete e vi si accede attraverso meccanismi standard che prevedono l'utilizzo di piattaforme Client (Thin/Thick Client) eterogenee (ad es. telefoni cellulari, tablet, computer portatili e workstation).
  3. Condivisione delle risorse
    Le risorse CLOUD del Provider sono condivise tra più Clienti, attraverso un modello multi-tenant, con diverse risorse fisiche e virtuali allocate e riassegnate in modo dinamico in funzione delle esigenze dei vari Clienti.
    La condivisione delle risorse è il fattore essenziale che consente al Provider di realizzare le economie di scala necessarie per fornire i Servizi IT in CLOUD ad un costo più basso, rispetto alle modalità tradizionali.
    Il Cliente non ha in genere alcun controllo o conoscenza circa l'esatta ubicazione delle risorse che utilizza, ma può essere in grado di imporre alcuni vincoli di carattere generale (ad es. vincoli sulla collocazione in determinati Paesi, Stati o Datacenter).
  4. Estrema flessibilità
    Le risorse CLOUD del Provider possono essere approntate in modo rapido e flessibile, ampliandole o riducendole velocemente, in funzione dei cambiamenti richiesti dal Cliente.
    Dal punto di vista del Cliente, spesso, le risorse disponibili appaiono illimitate e possono essere acquisite in qualsiasi quantità ed in qualsiasi momento.
  5. Misurabilità e “pay-per-use”
    L’utilizzo delle risorse CLOUD viene automaticamente controllato ed ottimizzato dal Provider attraverso misurazioni appositamente configurate per ogni tipo di servizio (ad es. data storage, data processing, banda utilizzata, numero di utenti attivi). L’utilizzo delle risorse viene quindi misurato, controllato e rendicontato per darne visibilità sia al Provider che al Cliente, secondo un approccio contrattuale di tipo “pay-per-use”.

«E' più chiaro adesso ?»

«Sì, anche se penso che sarà dura spiegarlo al Direttore...»
«Sai, i Manager non sono dei tecnici e spesso le loro opinioni sulla tecnologia sono influenzate da ciò che si sente dire in giro...»

«...e in giro si trova di tutto sul CLOUD ! Anche chi pensa di poter sfruttare la moda del momento per riproporre con un nome diverso i soliti prodotti !»

«Beh, speriamo che tutto vada bene !»
«...però ho ancora qualche dubbio sulle varie tipologie di servizi CLOUD e le modalità di erogazione...»

«Ne parliamo la prossima volta ! »
«Dài, preparati, che si parte !»

«Ok...»

Buon CLOUD a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico

2

...ed ecco che Windows ci avvisa che la password sta per scadere !
Occorre trovare in fretta una nuova password per sostituire quella che scade.
Ma non una password qualsiasi: una password "robusta", ovvero:

  • lunga almeno 8 caratteri;
  • diversa dallo User-ID;
  • differente dalle password precedenti;
  • che contiene lettere maiuscole e minuscole;
  • che contiene numeri e caratteri speciali.

Ma perchè le password "scadono" ?
E' realmente vero che cambiare le password con una certa frequenza è una misura di sicurezza ?
Secondo la mia esperienza NO, e vi spiego perchè...

Perchè il nostro cervello, applicando istintivamente il principio del minimo sforzo,
ci porterà a scegliere password di questo tipo:
«Fuffi-0818»   [Nome-del-gatto]-[mese][anno]
---   
in modo che, alla prossima richiesta di cambio password, basterà cambiare la cifra del mese e/o dell'anno e siamo a posto.
Inoltre basterà ricordarsi solo la prima parte della password (il nome del gatto) in quanto la seconda parte può essere rapidamente dedotta o - al peggio - se non ci ricordiamo in che mese abbiamo modificato la password, basta fare qualche tentativo per trovare il resto...
Bene ! Abbiamo creato una password facile da ricordare, che soddisfa tutti i requisiti di complessità richiesti e che inoltre è anche facile da modificare quando sarà nuovamente richiesto.
...ma questa possiamo definirla una password "robusta" ? NO !

Le password che scadono sono password "deboli"

Ma "deboli" o "robuste" rispetto a che ? Cosa minaccia la sicurezza delle password ?
Sappiamo che la principale tecnica di attacco automatica alle password è il cosiddetto "attacco di forza bruta", dove uno o più computer tentano tutte le possibili combinazioni di caratteri di cui può essere composta la nostra password.

Più una password è "complessa" più è "robusta".

...e come si può fare per creare password "complesse", ma che siano al contempo anche "facili da ricordare" ?
Gli esperti ci hanno insegnato alcuni trucchi, come ad esempio:
- sostituire alcune lettere con dei numeri (O=∅, L=1, E=3, A=4, S=$, T=7)
- usare qualche lettera maiuscola al posto della minuscola
- inserire qualche segno di interpunzione
Ma servono veramente ?
In parte sì, ma di certo non rendono la password facile da ricordare.
Si rischia così di creare password che le persone fanno fatica a ricordare ma che un computer (che non fa distinzione tra i simboli utilizzati) troverebbe comunque piuttosto semplici da indovinare:

Meglio invece adottare un metodo più semplice: scegliere alcune parole comuni e concatenarle assieme:

Anche gli esperti che a suo tempo ci hanno insegnato come creare password "robuste" sono ormai convinti che questo sia l'approccio giusto:

Una password complessa può essere facile da ricordare.
Può essere composta anche da frasi di senso comune (spazi inclusi) che sono facili da ricordare, ma deve avere un "livello di entropia" sufficientemente elevato in modo da impedire ad un computer di indovinarle per tentativi (per misurare il livello di entropia delle password è possibile usare questo programma in javascript).

Una password complessa deve essere cambiata periodicamente ?
No. La password scelta dovrebbe essere cambiata solo quando si ha il sospetto che possa essere stata rubata o violata.
Perchè cambiare la serratura di casa se non abbiamo perso le chiavi e non ci sono stati tentativi di scasso ?
Inoltre sappiamo bene che la richiesta di cambiare una password che funziona mette in moto il principio del minimo sforzo, con le conseguenze del caso...

Però...
la Legge sulla Privacy, promulgata nel 2003, prevede delle misure di sicurezza minime (obbligatorie) per le password utilizzate per accedere a dati personali:

Non ci resta che sperare nel GDPR...
Il nuovo Regolamento Europeo sulla Privacy (operativamente in vigore dal 25 Maggio 2018) non contiene alcuna prescrizione specifica circa la necessità di modificare periodicamente le password di accesso, ma lascia al Titolare il compito di individuare le misure di sicurezza adeguate a far fronte ai rischi connessi alla loro possibile violazione:

Personalmente ritengo che obbligare gli utenti a modificare periodicamente le loro password sia una scelta sbagliata e che invece sia meglio puntare su una password "complessa" da modificare solo nel caso in cui si sospetti che sia stata violata.
Solo così si può evitare l'innesco del principio del minimo sforzo e la conseguente proliferazione di password "deboli".

Buona password a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico.

La recente pubblicazione da parte dell'IETF di questo memo (Oops, we did it again) in considerazione del fatto che Internet e i Social Media vengono oggi sempre più utilizzati a danno della collettività (disinformazione, diffamazione, incitamento all'odio, ecc.) invece che a beneficio di una maggiore condivisione della conoscenza, mi ha fatto tornare alla mente un film di fantascienza della mia infanzia...

Un’astronave terrestre inviata alla ricerca dei sopravvissuti di una spedizione spaziale giunge sul pianeta Altair 4 trovandovi solo due superstiti: lo studioso filologo Edward Morbius e la figlia Alta, nata su quel pianeta.

Le ricerche svolte dal dottor Morbius svelano che in tempi remoti il pianeta era abitato da una razza aliena nobile e potente chiamata Krell che fu annientata nel giro di una sola notte da una misteriosa entità assassina invisibile.

I Krell, eticamente e tecnicamente più progrediti degli esseri umani, pare avessero realizzato una "Grande Macchina" che Morbius ritiene faccia parte di un progetto grandioso che avrebbe liberato gli alieni dalla dipendenza da ogni mezzo fisico.

La “Grande Macchina della creazione” costruita dai Krell si rivela uno strumento tecnologico potentissimo in grado di creare, con l’enorme energia a sua disposizione, materia di qualsiasi natura e forma con il solo controllo del pensiero.

Purtroppo il controllo di questa macchina venne assunto non solo dalla mente cosciente dei Krell, ma anche dal loro ancestrale subconscio, che utilizzò gli enormi poteri della macchina per materializzare le loro peggiori pulsioni inconsce (“i mostri dell’ID”) annientandoli in una sola notte di incubi.

Gli strumenti formidabili di cui disponiamo oggi, che ci consentono di scambiare in tempo reale informazioni, dati, notizie, filmati non saranno certo così potenti come la "Macchina della creazione" realizzata dai Krell, ma di certo spesso sono usati in modi che fanno supporre che dall'altro lato della tastiera (no, non riusciamo ancora ad usare Internet col pensiero...) ogni tanto ci sia qualche piccolo "mostro dell'ID" celato nel subconscio di qualcuno...

Cordialmente vostro
Autostoppista Cyber Galattico

Alcuni ricordi che risalgono ai primi kilometri che ho percorso

Questo è il primo Computer su cui ho "messo le mani":
Il Control Data Corporation - Cyber-76 presso il CINECA.
 CDC Cyber-76

E questa era la mia interfaccia con tale magnificenza - le schede perforate !

Poi sono passato al Digital VAX11/780 a cui avevo accesso tramite terminale VT100

Dopo una breve parentesi sul PDP-11 (sempre della Digital Equipment Corporation)

 DEC PDP-11

...eccomi a lavorare in COBOL sul "mini-computer" (lo chiamavano così)
Honeywell DPS-6
Notate l'unità a nastro, l'unità Floppy 8 pollici, il disco removibile Winchester che andava "spadellato" dentro lo sportello in basso e la console esadecimale in cui per avviare il BOOT si doveva digitare una sequenza "magica" di istruzioni.
Me la ricordo ancora:
STOP - CLEAR - LOAD - READY - EXECUTE
STOP - SELECT - "D1" - STOP - READY - EXECUTE
semplice vero ?

 Honeywell DPS-6

Ma ho lavorato anche sul suo fratellino minore: il Microsystem 6/20

 Honeywell Microsystem 6/20

Poi è venuto per me il tempo dei "micro-computer":

L'Apple 2: ci lavoravo in UCSD Pascal che era sia un Sistema Operativo che una implementazione del linguaggio Pascal messi a punto dall'Università di San Diego

 Apple 2

Lo Hewlett Packard HP-85: ci lavoravo in BASIC. Era un computer "all-in-one" che aveva tastiera e video (piccolissimo) integrati ed aveva addirittura una unità nastro a cassette ed una stampante termica grafica.

 Hewlett Packard HP-85

Olivetti M20: ci avevo montato su una versione dell'UCSD Pascal. Aveva già allora un Processore a 16 bit (Zilog Z-8000) che condivideva con tutti gli altri successivi modelli della "Linea 1" di Olivetti (M30, M40, M60). L'idea di Olivetti era una linea omogenea di macchine: dal Personal Computer al Main Frame, tutti con lo stesso microprocessore e lo stesso Sistema Operativo (che bello eh ?).

  Olivetti M20

Olivetti M30, M40, M60: Sistema Operativo MOS (sviluppato da Olivetti)

Poi è uscito il PC IBM, ma io preferivo l'Olivetti M-24 anche perchè aveva come microprocessore la CPU Intel 8086 (a 16 bit) e non l'8080 (a 8 bit).
La confezione includeva un Manuale Utente ed un Manuale Tecnico che riportava i listati del BIOS in Assembler !

 Olivetti M-24 - MS-DOS

IBM Personal System 2 con CPU Intel 286. Ci lavoravo in "C"

..ed utilizzavo una delle prime Reti Locali: IBM Token Ring
La rete Token Ring era costituita da un "anello" in cui giravano i pacchetti.
I pacchetti contenevano un TOKEN che indicava il mittente ed il destinatario.
Il pacchetto, una volta messo "in circolo" nell'anello dal mittente veniva ricevuto dal destinatario che così liberava il TOKEN per una successiva trasmissione.
Le connessioni venivano effettuate tramite una sorta di SWITCH: la Multi-Station Access Unit.
Quando il PC inizializzava la scheda di rete si sentiva il "click" del relè all'interno della MAU che "apriva l'anello" ( ! ).

 La rete Token Ring

 Multi-Station Access Unit (MAU)

Nel romanzo di fantascienza di D.Adams "Guida galattica per autostoppisti",
Pensiero Profondo è «il secondo più grande computer dell'Universo del Tempo e dello Spazio».

Fu costruito da una razza di esseri superintelligenti e pandimensionali per trovare «la risposta alla domanda fondamentale sulla vita, l'universo e tutto quanto».
Dopo sette milioni e mezzo di anni di elaborazioni, Pensiero Profondo fornisce la Risposta alla Domanda fondamentale, che risulta essere 42.
Rimane però il problema di sapere quale sia la Domanda di cui la risposta è 42.
Si dovette allora costruire un nuovo computer per fornire la Domanda alla Risposta Fondamentale sulla Vita, l'Universo e Tutto Quanto.
Questo nuovo computer ancora più grande e potente di Pensiero Profondo fu chiamato «Terra», pianeta popolato da strani indigeni simili a scimmie, che verrà poi demolito dagli alieni Vogon per far posto ad una nuova superstrada iperspaziale, dopo 10 milioni di anni di calcoli, cinque minuti prima che la Domanda venisse rivelata.

Ecco da dove viene il nome di questo BLOG dedicato alle mie riflessioni sull'ICT, Internet, la Cyber Security e tutto il resto.

Ci saranno tante domande e tante risposte, ma nessuna di queste sarà «42».
Promesso.

Cordialmente vostro,
Autostoppista Cyber Galattico.