In questi giorni è apparsa sui social media professionali una domanda molto importante, ma alquanto provocatoria: “Quanto è sicuro il cloud?”
La ragione principale di questo dubbio risiedeva nella vulnerabilità di un componente software descritta da alcuni ricercatori della società Wiz.
Proviamo quindi ad approfondire cosa è successo per capire rischi e soluzioni.
Microsoft, come parte delle soluzioni cloud che vanno sotto l’ombrello “Azure”, offre una soluzione di database chiamata CosmosDB. Questo è un database di tipo NoSQL, quindi radicalmente differente in struttura e in prestazioni rispetto a un database relazionale come ad esempio SQLServer.
I vantaggi che spingono piccole e grandi aziende ad adottare un database NoSQL in cloud sono essenzialmente tre: archiviazione di grandi quantità di dati non strutturati, velocità di risposta in pochi millisecondi e, non meno importante, scalabilità a livello planetario. Questi vantaggi, uniti alla potenza del cloud, spiegano le ragioni del successo di CosmosDB.
In agosto 2021 la società Wiz, capitanata a livello tecnico da Ami Luttwak che poco tempo fa ricopriva lo stesso ruolo in Microsoft Cloud Security Group, informa Microsoft che il suo team di ricerca ha identificato una vulnerabilità in un componente software utilizzato con CosmosDB che si chiama Jupyter Notebook.
Questa è una piccola applicazione a contorno del motore di database principale, che si definisce Open Document Format. In pratica, è un modo di rappresentare i dati che consente di creare e condividere documenti che contengano dal testo narrativo a equazioni scientifiche, da codice software a dati più complessi. Questi documenti possono poi essere memorizzati nel database, quindi interrogati, ordinati, estratti, e così via.
Jupyter Notebook non nasce con CosmosDB, bensì circa dieci anni fa come parte del linguaggio di programmazione Python. Nel 2015 viene scorporato in un progetto opensource autonomo chiamato per l’appunto Jupyter Project.
Messa nei termini più semplici possibili per capirne il rischio, la vulnerabilità di Jupyter Notebook, se sfruttata con un apposito exploit codificato per l’occasione, permette a un attaccante di interrogare il componente Jupyter Notebook di un database CosmosDB raggiungibile da Internet, ottenendo credenziali valide utili per visualizzare, modificare e cancellare dati nell’utenza di CosmosDB.
Come sempre accade quando si fanno le cose in modo adeguato, i ricercatori hanno dato un nome a questa vulnerabilità chiamandola ChaosDB ed informato Microsoft secondo i dettami della Responsible Disclosure.
Microsoft ha reagito prontamente in meno di 48 ore, disabilitando questa opzione software che era presente di default su tutte le istanze CosmosDB, a prescindere dall’utilizzo, e ha avvisato i clienti del rischio in modo che provvedessero a modificare le configurazioni per rimediare al rischio di potenziale compromissione.
In conclusione, dunque, il cloud è sicuro alla stregua di qualsiasi implementazione raggiungibile da chiunque ne sia autorizzato e da ovunque sul pianeta. Ad aumentare il livello di sicurezza, c’è l’attenzione costante e continua di chi su questi servizi genera una parte importante dei propri profitti e ha tutto l’interesse alla costruzione e al mantenimento di un rapporto di fiducia basato sull’integrità e sulla conservazione dei dati.
Alcune, tra le centinaia di migliaia di vulnerabilità, rimangono dormienti per anni fino a quando non vengono rilevate. Partendo dal presupposto che la vulnerabilità di un componente non compromette l’intera piattaforma, Microsoft ha confermato che non risulta nessun accesso illecito ai dati a causa della vulnerabilità di Jupyter Notebook.
È importante altresì ricordare che, per proteggersi dagli attacchi in cloud, occorre avere sempre la massima visibilità sul proprio ambiente digitale, oltre alla conoscenza delle diverse opzioni di configurazione delle istanze che vengono attivate in ambienti cloud. Ad esempio, sebbene vulnerabile a causa di un componente software come Jupyter Notebook, un database CosmosDB diventa compromissibile solo se esposto alla raggiungibilità pubblica via internet.
Nello specifico, per mitigare il rischio della vulnerabilità di Jupyter Notebook, oltre alla guida fornita da Microsoft, la stessa Wiz ha recentemente pubblicato alcune interessanti linee guida in merito, consultabili a questo link.
Sebbene sia compito di Microsoft garantire che il software e le piattaforme offerte come servizio restino il più possibile libere da bug e vulnerabilità, è altresì importante che gli utenti capiscano il concetto di responsabilità condivisa.