IL CLOUD COMPUTING: LA NUOVA SFIDA PER LEGISLATORI E FORENSER



Documenti analoghi
Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Il cloud computing, inquadramenti giuridici e differenze di approccio contrattuale

C Cloud computing Cloud storage. Prof. Maurizio Naldi

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

Cloud computing: aspetti giuridici

Introduzione al Cloud Computing

Gartner Group definisce il Cloud

LE RETI: STRUMENTO AZIENDALE

La platea dopo la lettura del titolo del mio intervento

Spunti ed Elementi da Intel Cloud Forum

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO

IT Cloud Service. Semplice - accessibile - sicuro - economico

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

Linux Day /10/09. Cloud Computing. Diego Feruglio

Una rassegna dei sistemi operativi per il Cloud Computing

Che cos'è il cloud computing? e cosa può fare per la mia azienda

DEMATERIALIZZAZIONE CLOUD COMPUTING

CLOUD E... DARK CLOUDS

Focus on Cloud Security

EasyCloud400. Il tuo AS/400. Come vuoi, quanto vuoi. Telecomunicazioni per l Emilia Romagna. Società del Gruppo Hera

Stefano Mainetti Fondazione Politecnico di Milano

LA MIGRAZIONE IN SEMPLICI STEP. Il moving di una macchina Linux sul Cloud Server Seeweb

Prospettive di sviluppo di servizi

Il Cloud Computing e la Pubblica Amministrazione

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA

Flessibile Altamente personalizzabile Semplice ed intuitivo Integrato con MS Office Completo e potentissimo Multiversione (Cloud, C/S e stand alone)

Creare una Rete Locale Lezione n. 1

CREA IL CATALOGO DEI TUOI PRODOTTI SU IPAD E IPHONE CON UN APP. ANZI, CON UPP!

L utilizzo del cloud nel web marketing. for

centro di cura autosufficiente insieme di mondi entrocontenuti e autonomi limitato livello di relazione e interazione con l esterno

Cloud Service Broker

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Infrastrutture critiche e cloud: una convergenza possibile


ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Il fenomeno della geolocalizzazione. Ugo Benini

Il Cloud Computing: uno strumento per migliorare il business

Information Technology & Holding

CLOUD COMPUTING. Che cos è il Cloud

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Le fattispecie di riuso

IT ARCHITECTURE: COME PREPARARSI AL CLOUD

Cloud Computing Stato dell arte, Opportunità e rischi

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

I nuovi modelli di delivery dell IT: un quadro di riferimento

Il Cloud Computing Privato per il settore bancario e assicurativo

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Il vero cloud computing italiano

Turismo Virtual Turismo Virtual Turismo Virtual

Privacy Policy di

CMDBuild on the Cloud

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

SEWEB PRIVATE CLOUD SERVICE SISTEMA CLOUD AZIENDALE

Docebo: la tua piattaforma E-Learning Google Ready.

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Ottimizzare l IT. Interesse verso il cloud. Cloud computing. Ottimizzare l'it 16/04/2010. Assyrus Srl 1. Cloud Computing

DATAMORFOSI. E la sintesi della strategia di prodotto di Webgate400.

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

L ARMONIZZAZIONE DEI PROCESSI CON IL CLIENTE AL CENTRO

Consolidamento Server

Introduzione ai Web Services Alberto Polzonetti

Be Community Manager. per Hotel

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA

Sommario IX. Indice analitico 331

Lucio Cavalli 4Ti Tecnologie Informatiche. Facciamo chiarezza: Servizi in Cloud Virtualizzazione Server Server Remoti (Hosting / Housing)

Progetto Atipico. Partners

w w w. n e w s o f t s r l. i t Soluzione Proposta

InitZero s.r.l. Via P. Calamandrei, Arezzo

Crea il catalogo dei tuoi prodotti su ipad e iphone con un App. Anzi, con upp!

WNoD: Virtualizzazione, Grid e Cloud nel Calcolo Scientifico per l INFN

Database. Si ringrazia Marco Bertini per le slides

POLICY COOKIE Gentile visitatore,

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

Una delle cose che si apprezza maggiormente del prodotto è proprio la facilità di gestione e la pulizia dell interfaccia.

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

Sistemi gestionali as a Service:

f(x) = 1 x. Il dominio di questa funzione è il sottoinsieme proprio di R dato da

Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric. del 5 luglio Monitoring e Billing in OCP

L Open Source un mondo che forse dovresti conoscere? Viaggio alla scoperta dell open source e le sue caratteristiche.

Siamo così arrivati all aritmetica modulare, ma anche a individuare alcuni aspetti di come funziona l aritmetica del calcolatore come vedremo.

Com è cambiato il mondo del lavoro con l introduzione delle tecnologie mobile?

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

VPN CIRCUITI VIRTUALI

COMUNE DI MARIGLIANO Provincia di Napoli REGOLAMENTO PER L INSTALLAZIONE E LA GESTIONE DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

Gestione premi clienti e fornitori Corso di formazione e approfondimento


SymCAD/C.A.T.S. modulo Canali Schema

CloudComputing: scenari di mercato, trend e opportunità

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

PRESENTAZIONE AZIENDALE

Comprendere il Cloud Computing. Maggio, 2013

Il Partner di riferimento per i progetti informatici

La tecnologia cloud computing a supporto della gestione delle risorse umane

Transcript:

IL CLOUD COMPUTING: LA NUOVA SFIDA PER LEGISLATORI E FORENSER La nuova tendenza dell Internet degli ultimi anni ha portato alla nascita di numerose nuove applicazioni, spesso accompagnate dalla recente tendenza volta a una sorta di dematerializzazione degli oggetti informatici. Ci si riferisce in particolare al nuovo fenomeno del cloud computing, o più semplicemente cloud che vedrà sicuramente nei prossimi anni una vera e propria esplosione, imponendosi quale risposta agli ultimi anni di dittatura delle tecnologie della rete. Un primo punto da considerare attiene alla sua definizione: al momento, la più autorevole può essere ricondotta alla formulazione del NIST 1 la quale lo definisce come «model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction» 2. In sostanza quindi «il cloud computing è un paradigma distribuito che virtualizza dati, software, hardware e comunicazione dati in servizi» 3. 1 National Institue of Standards and Technology; è un agenzia federale governativa che si occupa della gestione delle tecnologie, si veda più in dettaglio http://www.nist.gov/index.html. 2 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, The NIST definition of cloud computing, Special publication 800-145, 2011, pag. 2, disponibile all indirizzo http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf. 3 M. MATTIUCCI, Cloud computing & digital forensics, 2012, disponibile presso http://www.marcomattiucci.it/cloud.php.

Dalla definizione qui riportata è facile intuire come tale nuovo strumento appaia come una grande opportunità, soprattutto per le aziende che ormai basano gran parte delle loro attività su piattaforma ICT, spingendo le più grandi compagnie di servizi informatici internazionali a dotarsi e offrire servizi sempre maggiori 4. Sempre secondo la definizione del NIST, l architettura si basa essenzialmente su due livelli: fisico, in cui rileva la componente materiale ovvero i server, il network, lo storage e uno logico, dato dalla virtualizzazione delle risorse presentate all utente. Cinque le caratteristiche essenziali: è un servizio on-demand self-service, in quanto non vi è interazione fra il CSP (Cloud Service Provider) e l utente, il quale riceve automaticamente il contenuto afferente al servizio richiesto. È quindi un servizio customizzabile tipicamente legato alla forma del pay per use; si basa sul broad network access, sfruttando quindi non solo la rete client- server, ma anche le nuove forme d accesso legate all utilizzo di smartphone e tablet. Da ciò ne deriva un ulteriore caratteristica legata alla scalabilità del servizio, nel senso che le risorse necessarie alla resa del servizio (ad esempio server) non sono stabilite ex ante, potendo essere ampliate o ristrette senza che ciò comporti compromissione del servizio, nel senso di caduta; è resource pooling, all utente che richiede il servizio viene assegnato un certo numero di risorse del CSP, le quali tuttavia non restano fisse per ragioni essenzialmente di fault tolerant : per questo motivo una volta che i dati vengono immessi sulla nuvola l utente ne perde il controllo, nel senso che gli è preclusa la possibilità di conoscere precisamente dove fisicamente il dato richiesto si trova nell istante preciso dell ipotetica richiesta; è flessibile, o meglio dotato di rapid elasticity, in quanto a seconda delle esigenze del cliente o del runtime, gli strumenti che ne realizzano il servizio possono essere cambiati e ridotti senza che ciò comporti ricadute negative in termini di resa; è measured service, in cui il CSP può monitorare in ogni istante la qualità del servizio reso e in particolare il numero di risorse impiegate per far fronte alle esigenze di un dato cliente. A livello di applicazione concreta, il cloud può manifestarsi come: Software as a service (SaaS), rappresenta la fetta più grande del mercato cloud, in quanto permette all utente di utilizzare la piattaforma come fosse un servizio a cui sono connesse funzionalità tipiche ad esempio di un software. Il vantaggio risiede nel fatto che l utente è dispensato da dover installare il programma, poiché tramite browser o applicazioni gli è permesso sostanzialmente lo stesso utilizzo. Si pensi ad esempio a Google Docs che permette la gestione ed elaborazione di documenti attraverso funzionalità tipiche di suite di programmi come ad esempio Office; Platform as a service (Paas), un framework di piattaforme di elaborazione virtualizzate che sono rese disponibili all utente, spesso in combinazione al servizio precedente portandolo, di fatto, alla fruizione di un vero e proprio computer su 4 Si vedano, solo per citarne alcuni, i servizi cloud di Google, Microsoft, Amazon, IBM, Verizon, HP, Salesforce.com.

cloud; Infrastructure as a service (Iaas), si presenta come evoluzione delle due precedenti essendo il risultato di server, software, data center space e network: un utilizzo di questo tipo può essere sfruttato, ad esempio in grandi aziende con la creazione di complesse reti aziendali. Questa piccola introduzione tecnica 5 consente, ai fini del nostro discorso, di delineare le difficoltà che l informatica forense incontra allo stato dell arte qualora sia necessario, far fronte all acquisizione di dati contenuti all interno di dette piattaforme. Non può sfuggire, infatti, come a oggi il cloud appaia un ottimo rifugio per soggetti mossi da intenzioni poco ortodosse: si pensi ad esempio ai nobili reati nel campo dei reati finanziari, del cyberlaundering, dell evasione fiscale, o su un diverso fronte quelli legati ad esempio alla violazione del copyright o peggio ancora della pornografia infantile. Il fatto poi che allo stato attuale manchino linee legislative condivise a livello internazionale che in qualche modo consentano di porre alcuni limiti, sia in termini di controllo sia in termini di tutela della privacy, di certo non aiuta a venire a capo delle questioni emergenti. Su un fronte prettamente investigativo, le difficoltà che si registrano sono strettamente connesse alla caratteristica che abbiamo definito di resource pooling: l acquisizione del dato postula in primis l accesso allo stesso. Per quel che riguarda la normativa italiana, ad esempio, lo strumento processuale che potrebbe applicarsi è rappresentato dall art. 254-bis c.p.p. in materia di sequestro di dati presso fornitori di servizi; bene ma a quale fornitore? E soprattutto dove? Tipicamente, poi, i servizi cloud possono poggiare su infrastrutture pubbliche che rendono il servizio al grande pubblico (ad esempio Amazon ASW), oppure su infrastrutture proprietarie, le quali rendono il servizio a una particolare categoria di soggetti, come ad esempio istituzioni o enti. Se dal lato proprietario i problemi d accesso al dato possono essere minori nel senso che vi è una più alta possibilità di rintracciarli, nel caso d infrastruttura pubblica la cosa si complica. 5 Cfr più diffusamente M. TAYLOR, J. HAGGERTY, D. GRESTY, R. HEGARTY, Digital evidence in cloud computer systems, in Computer law and security review, n 26, 2010, pagg. 304-308; S. MANSON, E. GEORGE, Digital evidence and cloud computing, in Computer law and security review, n 27, 2011, pagg. 254-258; S. BIGGS, S. VIDALIS, Cloud computing: the impact on digital forensics investigations, in Internet technology and secured transactions, ICTST, 2009, pagg. 1-6.

Quand anche ad esempio, si presentasse ad Amazon l atto giudiziale che dispone il sequestro di dati, ulteriori difficoltà si aprirebbero agli occhi degli investigatori e in special modo dei forenser. In primis, i dati inseriti, una volta immessi nel circuito, vengono cifrati con algoritmi (per Amazon si veda l algoritmo s3). In secondo luogo, qualora comunque si riuscisse ad ottenere i dati in chiaro, sorge il problema legato ai metadata dei file. Se, infatti, una corretta acquisizione di dati a seguito di beat stream image consente di ricostruire perfettamente l allocazione e lo storico di tutte le informazioni contenute, nel cloud ciò non accade: perché sono gli stessi gestori del servizio a non conoscere quando e se l utente carica contenuti (non vi è traccia quindi di uno storico), perché potenzialmente cambiano spesso allocazione spezzettandosi e quindi perdendone traccia. Da ultimo poi, gli ipotetici risultati ottenuti quali procedure hanno seguito? Può dirsi rispettata la formula della non alterazione e immodificabilità? Come può comprendersi sorge prima ancora che un problema di fattibilità, il problema dell opportunità di perseguire detta via investigativa, in termini sia di tempo che di costi, umani e monetari, che rapportati al risultato, magari difforme rispetto ai criteri legali previsti, potrebbe portare a scoraggiarne l utilizzo. Si auspica a che nel futuro, come sembra essere peraltro la tendenza attuale, possa arrivarsi a un architettura normativa più stabile e concreta sulla quale porre le basi per una futura regolamentazione a livello internazionale in materia di cloud derived evidence. Il percorso non sarà certo facile, in quanto gli interessi in gioco sono molteplici, interessando non solo gli utenti ma anche e soprattutto i fornitori di servizi cloud ai quali potrebbe necessariamente essere richiesto un onere di collaborazione, riaprendo l acceso dibattito, o la vecchia ferita aperta, legata alla responsabilità e alla collaborazione degli ISP.

Su un diverso versante, si apre il problema legato ai termini di servizio impiegati, alla conseguente policy privacy, e alla sicurezza delle informazioni. Questo è uno dei punti più critici della nuvola, che è stata bersaglio di pesante critiche dal noto hacker Richard Stallman, definendolo come un ottimo esempio marketing 3.0 che esaltando le caratteristiche di hiding induce gli utenti a consegnare ai fornitori del servizio enormi quantità di dati. In un intervista al Guardian ha dichiarato che «il cloud computing è roba da stupidi e utilizzare applicazioni web come Gmail di Google è anche peggio della stupidità stessa. ( ) Un motivo per cui non dovresti utilizzare applicazioni web per il tuo lavoro è che ne perdi il controllo» 6. Al di là dell intervento provocatorio inteso a far riflettere in maniera consapevole di quelli che sono i rischi legati all utilizzo delle tecnologie, non può comunque tacersi come il problema della sicurezza e della tutela alla privacy 7 vivrà sicuramente nel futuro un nuovo acceso dibattito, alimentato dalle prospettive internazionali di regolamentazione del nuovo fenomeno. 6 Da C. SARZANA, Considerazioni sull Internet degli oggetti e sul cloud computing, in Nuove tendenze della giustizia penale di fronte alla criminalità informatica (a cura di F. RUGGERI, L. PICOTTI), Giappichelli, Torino, 2011, pagg. 18-19. 7 Si veda il caso statunitense delle istanze portate avanti dalla Electon Privacy Information Center cha ha chiesto alla FTC (Federal Tecnological Commission) di impedire a Google le procedure di appliance in quanto al momento la società non forniva sufficienti garanzie in ordine alla sicurezza delle pratiche connesse al cloud in termini di sicurezza e privacy.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back