Splinder muore

Vi annuncio che l'argomento di oggi è lunghetto, ma non è complicato, e tutto sommato è abbastanza divertente.

Oggi vorrei parlare di un argomento che tocca anche l'IT Security: ricordate la "triade" su cui è basata l'IT Security? Autorità, Non-Corruttibilità e Disponibilità delle informazioni. Ecco parliamo proprio di disponibilità di un particolare servizio on-line.

Chiunque abbia in Italia un Blog, su qualunque piattaforma, avrà sicuramente sentito parlare in questi giorni del fatto che una delle piattaforme "storiche" del blogging italiano, Splinder (www.splinder.com) chiude il 31 gennaio p.v.

Ora, al di là del fatto che nei TOS di Splinder è chiaramente indicato che si riservano di poter interrompere il servizio in qualsiasi momento, credo che a nessuno faccia molto piacere "perdere" anni di articoli e relativi commenti. Certo, Splinder annuncia che metterà a disposizione degli utenti un "export" dei dati, ma i dettagli tardano ad arrivare, così come l'annuncio ufficiale della chiusura del servizio si è fatto attendere anche troppo, a sentire i commenti degli utenti stessi.

Si pone quindi il problema della migrazione da Splinder: certamente a tutti gli utenti piacerebbe avere una "bacchetta magica" che sposti i loro blog da Splinder a qualche altra piattaforma.

Ed ecco che allora sono nate diverse iniziative per accogliere i transfughi. Ne cito alcune, senza la pretesa di essere esaustivo. Analizzeremo di seguito le implicazioni di sicurezza relative a ciascuna soluzione.

iobloggo.com : questa piattaforma ha messo a disposizione una procedura "for dummies" per accogliere blog da splinder. I dati vengono estratti da splinder, viaggiano su internet e infine vengono scritti su iobloggo. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder a iobloggo, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

wordpress.com : al momento offre una procedura semi-automatica per il passaggio di blog provenienti da Splinder. Grazie all'architettura "open" del software (ma non dell'hosting), alcuni utenti "smanettoni" hanno realizzato un programma per l'import dei blog di Splinder. Viene però richiesta la disponibilità e l'attrezzaggio di un ambiente intermedio (locale), cioè il passaggio non avviene direttamente da Splinder a Wordpress.com, ma transita su un "server" dell'utente (può anche essere il PC di casa). Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder al server locale e poi da questo a Wordpress.com, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

blogger/blogspot.com : vale quanto detto al punto precedente, con l'aggiunta di un ulteriore programma per la conversione da "formato wordpress" a "formato blogger" da eseguire prima dell'invio dei dati al servizio Blogger. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder al server locale e poi da questo al programma di conversione e infine a blogger.com, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

it.Altervista.org : questa piattaforma offre una procedura simile alle precedenti, ma senza necessità di passaggi intermedi: si agisce prima sul blog Splinder, poi si esegue la fase di "import" direttamente su Altervista. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder ad Altervista, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

Da quanto abbiamo detto, risulta chiaro che tutti i passaggi di dati avvengono in chiaro. Inoltre, bisogna in tutti i casi intervenire sul blog Splinder, e le username / password di Splinder viaggiano in chiaro (non c'è mai stato https, figuriamoci in questa fase di dismissione). I rischi che si corrono sono quelli ovvi della manipolazione dei dati, anche se mediamente il "valore" delle informazioni contenute su questi blog è principalmente affettivo (non si esclude qualche caso di blog aventi valore commerciale, ma sono un'eccezione).

Un altro rischio è quello della "copia non autorizzata" dei blog: mentre si stanno effettuando le operazioni di lettura del blog Splinder, niente e nessuno impedisce ad altri che non siano il legittimo proprietario del blog di prelevarne silenziosamente il contenuto (compresi i commenti). Si obietterà che, essendo sempre state informazioni pubbliche, queste operazioni si sarebbero potute effettuare anche in passato: diciamo che in questo momento risulterebbe estremamente facile copiare un blog, riproponendolo con veste grafica diversa. Anche i "furti di identità digitale" sono appena dietro l'angolo.

Infine, un rischio concreto ma misconosciuto è proprio quello da cui siamo partiti: la disponibilità del servizio. È ovvio che per poter esportare un blog da Splinder il servizio Splinder deve essere disponibile. E che cosa succede secondo voi quando si disinveste da un'infrastruttura (in vista della sua dismissione) e contemporaneamente il carico di richieste aumenta, proprio a causa di questa prossima chiusura? Succede quello che si può verificare in questi giorni: tempi di risposta molto lunghi, a volte disconnessioni e altri errori a causa dei server Splinder sovraccarichi. Questo rende assurdamente difficile "andarsene finché si è in tempo" da Splinder.

Ecco, l'articolo è molto lungo, ma credo di aver illustrato le difficoltà di una "migrazione dati" sostanzialmente non gestita e le cui responsabilità coinvolgono più soggetti, nessuno dei quali è "committed" al risultato, trattandosi tutto sommato di servizi gratuiti.

Un'ulteriore dimostrazione (ma ce n'era bisogno?) che la Security non si fa coi fichi secchi.

---

Riferimenti:

• Splinder : www.splinder.com


• Iobloggo : www.iobloggo.com


• Wodrpress : wordpress.com (hosting) e wordpress.org (software)


• Altervista : www.altervista.org

Risorse e altri articoli interessanti:

• Splinder import su Wordpress (plugin) http://www.aioros.net/splinder-importer-2010/


• La visione di un utente http://extrasistol.blogspot.com/2011/11/migrazione-blog-da-splinder.html


• Da Splinder ad Altervista http://blog.altervista.org/it/importare-da-splinder-a-wordpress-su-altervista/

(...)

Security by trolling?

Dopo tanto parlare che si è fatto attorno al caso della pompa dell'acquedotto in Illinois sabotata, sembrava da un "intruder", ora l'FBI fa retromarcia e dichiara che le cause sono ancora da chiarire.

(Via: Punto Informatico http://punto-informatico.it/3346536/PI/News/fbi-nessun-attacco-all-acquedotto.aspx )

Terremoto e Tsunami

È già cominciato il phishing pro-japan?

Eventi e motivazioni

Ci sarebbe da scrivere, in questi giorni, con un occhio a quel che accade in Nord Africa: Tunisia, Egitto, Libia. Specialmente la Libia, dove Internet è stata "azzittita" (pare) con tecniche di "blackhole routing" (vedi: PI e in inglese IB Times ).

Anche questa è IT Security.

Ma non c'ho voglia.

Causa-effetto

Vi siete mai chiesti perché "hackerata la pagina di Mark Zuckerberg" fa notizia, mentre di un eventuale "defacing" di questo blog non interesserebbe niente a nessuno?

Si tratta del rapporto fra causa (attacco informatico) ed effetto (danno, perdita di informazioni) oppure, se vogliamo attenerci ai termini usati in ambito IT Security, di "payload". Condurre un attacco informatico non è mai a costo zero, e allora ci si chiede (come in ogni buon investimento) se conviene o non conviene.

Per noi che stiamo dall'altra parte, a guardare ciò che accade, la differenza sta nell'impatto. Come durante un bombardamento aereo, cosa diversa è se viene colpito un deserto oppure una zona densamente popolata.

Guarda caso, sono questi anche i criteri utilizzati quando si fa "Risk Analysis". Ci sono: Vulnerabiità, Vettori, Probabilità di accadimento e Valutazioni di impatto. E non è affatto semplice combinare e bilanciare questi fattori. Una volta stabilito "che cosa conta e quanto costa perderlo" il più è fatto.

Se vi interessa la "storia" citata all'inizio, il link è questo: Facebook: un hacker viola il profilo del fondatore Mark Zuckerberg.

La stalla e i buoi

A volte mi viene chiesto quale sia il valore dell'IT Security. La risposta non è semplicissima, e dipende da vari fattori, però di solito me la cavo, in prima battuta, con un paragone: avete presente che cosa significa "chiudere la stalla dopo che sono scappati i buoi"? Ecco, l'IT Security cerca, nei limiti del possibile e degli investimenti, di non far scappare i "buoi" dalla "stalla".

Geinimi: arma di guerra industriale?

Le notizie di questi giorni riportano l'allarme per la diffusione di Geinimi un "trojan" per il sistema operativo Android, il prodotto Google per Smartphone. Finora questo malware non si diffonde spontaneamente, ma viene installato a corredo di apps per Android scaricate da siti cinesi.

In ogni caso, su questo fenomeno nascono alcune riflessioni:

• è stato "scelto" Android perché è più facile da attaccare, o per un ben preciso motivo (commerciale, strategico, politico, ecc)?


• gli utenti di Android sono ritenuti in generale più facilmente attaccabili, oppure si è puntato agli utenti (Android) di lingua cinese o comunque che frequentano siti cinesi?


• sarà forse l'inizio di una "guerra" tesa a screditare alcune soluzioni per smartphone?

C'è da aspettarsi, nei prossimi mesi, l'affinamento delle tecniche di attacco, con meccanismi maggiormente invisibili all'utente, e soprattutto un'evoluzione di questi trojan per smartphone nel senso di una capacità di auto-distribuzione (che al momento per Geinimi non risulta), sulla scia di ciò che fanno da anni i trojan e il malware per PC.

Per ulteriori notizie: cercare "geinimi" con i noti motori di ricerca.