Marco Calamari

Cassandra Crossing/ Il Cloud e me

di M. Calamari - Leggere attentamente le avvertenze e il foglio illustrativo. Pu˛ avere effetti collaterali. Non somministrare ai regimi nemici di Internet

Cassandra Crossing/ Il Cloud e meRoma - Nella precedente release di questa rubrica, Cassandra si è occupata di alcuni aspetti tecnici ed economici del Cloud Computing per le aziende: le conclusioni raggiunte consistevano in una serie di domande sull'impatto del cloud sulla Rete come la conosciamo oggi.

Per Cassandra ovviamente l'aspetto più interessante (diciamo così) del cloud è l'impatto sulla vita delle persone, particolarmente dal punto di vista della privacy, dei diritti digitali e del tecnocontrollo sociale.

Dal punto di vista della privacy il problema più importante, dato lo scambio di dati personali e potenzialmente sensibili con il fornitore di cloud, è se questo dati sono da lui conoscibili ed in caso positivo se sono utilizzati in qualche modo. Facciamo il caso più semplice di un fornitore di storage online, come Ubuntu One, o l'ormai defunto Ovi Storage di Nokia.
Il modo migliore per garantire la non conoscibilità dei dati è che questi siano crittografati prima di essere inviati allo storage online. L'operazione di crittografia deve essere eseguita dal client, e di questo dovrebbe essere data garanzia, sia contrattuale che tramite la fornitura del codice sorgente aperto del client stesso. Sarebbe concettualmente possibile anche far viaggiare i dati in chiaro dal client al server e lasciare invece al server il compito di crittografare prima di memorizzare i dati su disco, ma anche in questo caso servirebbero le stesse garanzie del caso precedente, sia tecniche che contrattuali.

Purtroppo per la mia esperienza di cloud storage per utenti privati non ci sono servizi che offrano ambedue queste garanzie; anzi a voler essere precisi quasi tutti non ne offrono nessuna. Quello che viene evidenziato dalle comunicazioni pubblicitarie è l'uso di protocolli criptati (SSL) per la trasmissione non intercettabile dei dati. Quest'ultima caratteristica è quello che può essere definito in modo colorito 'nu pannicello caldo, anzi quasi una presa in giro perché chi meglio del fornitore del servizio è in grado di intercettare i dati inviati allo storage cloud?

Considerando che il caso del cloud storage è il più semplice tra tutti i servizi consumer che possono essere erogati da una cloud, è facile estrapolare queste caratteristiche di implementazione minimale e trascurata del servizio, che inevitabilmente conduce a rendere un cattivo servizio al consumatore di servizi cloud.

Come concetto accessorio di questo aspetto potremmo dare un giudizio abbastanza negativo sull'affidabilità del cloud storage per i consumatori. Infatti il primo esempio di fornitore di un cloud storage per privati che chiude il servizio e lascia in braghe di tela i suoi clienti c'è già stato, ed è il già ricordato Ovi Storage, che ha di punto in bianco annunciato la chiusura del servizio, preannunciandolo per fortuna con un certo anticipo in modo da permettere agli ex-clienti di ricopiarsi indietro i dati sul PC.

Si dirà che questa è una caratteristica innata non dei servizi cloud, ma dei servizi gratuiti, che bisogna accettarne il rischio e che certo gli stessi servizi in versione "professional" ed a pagamento sarebbero migliori. Personalmente non ne sono troppo convinto: la contrattualistica dei servizi a pagamento (ed eccoci di nuovo a livello aziendale) è quasi sempre difensiva nei confronti del fornitore, spesso sotto un manto di legalese stretto.

Per quanto riguarda l'utilizzo dei dati conoscibili dal fornitore di storage possiamo fare l'esempio di Gmail, che dando uno spazio per i messaggi di posta dell'utente dichiara onestamente che li utilizzerà per i suoi scopi, persino nel caso di loro cancellazione. ╚ senz'altro un caso "degenere" di cloud storage, ma il trend sembra chiaro. Se lo fa Google, che non è evil, cosa possono fare quelli che evil un po' (anzi parecchio) lo sono?

E quindi cosa dire della privacy degli utenti del cloud storage? Che viene implicitamente garantita dai messaggi pubblicitari e promozionali, ma che in realtà solo i contratti commerciali offrono (quasi sempre) reali garanzie legali di non utilizzo dei dati inviati al cloud. Si tratta di garanzie legali perché non mi risulta che garanzie tecniche, quali appunto l'ispezionabilità del codice della componente client del cloud, siano offerte da nessun provider di cloud storage.

E veniamo agli aspetti legati ai diritti digitali.
Molti music store, agendo come fornitori di servizi cloud, offrono la possibilità di comprare musica mantenendo i relativi file nella cloud e permettendone la fruizione via streaming ovviamente sotto la "protezione" di opportuni DRM. Da un punto di vista legale si tratta sostanzialmente di un "accordo di licenza" sul servizio e sopratutto sui contenuti acquistati.

╚ anche una rinuncia alla fonte della possibilità di esercitare il diritto di primo acquisto, che garantisce la possibilità di rivendere la musica acquistata, come quando si rivende un CD usato su Amazon o su una bancarella del mercato. Anche qui si tratta di un "piccolo" diritto digitale a livello di consumatore, ma l'approccio stesso di un contratto tra un fornitore forte e un contraente debole porta a dubitare che servizi non vantaggiosi al massimo per il fornitore verranno mai venduti. E la speranza che una sana concorrenza permetta questo atteggiamento virtuoso viene meno appena si ricorda quanto spesso si siano creati "cartelli" di fornitori che offrivano caratteristiche omogenee per non farsi concorrenza, e mettere quindi in posizione di svantaggio e di debolezza tutti i loro clienti.

Ed infine facciamo qualche considerazione sulle possibilità di maggior controllo sociale introdotta da un uso diffuso di servizi cloud. Qui il discorso si fa assai più complesso, e meriterebbe una puntata a parte.

Sorvolando sulle possibilità di intercettazione e memorizzazione di dati personali che ad esempio il cloud storage offrirebbe (vedi il caso dei dati di cella delle reti GSM), basta pensare alle opportunità di "staccare la spina" o di minacciare di farlo come strumento di potere. I recenti fatti egiziani insegnano quanto potere sia in mano a chi, come una stato, può mettere in atto un vero e proprio "attacco DoS" di negazione di servizio contro i propri cittadini. Quanto più il cittadino dipende da servizi erogati da terzi, e quindi da aziende, tanto più si amplia lo spazio in cui uno stato può imporre ad essi la negazione di un servizio e quindi esercitare un potere ancora maggiore sui suoi cittadini, sempre meno cittadini e sempre più
sudditi.

Per concludere, a Cassandra preme sottolineare che queste considerazioni sono applicabili già ad un semplice servizio come quello di cloud storage. Quanto si amplificano se si considerano servizi più critici ed indispensabili, come appunto la connettività alla Rete, la disponibilità dei servizi medici o bancari online, ed altri che vengono lasciati come esercizio al lettore?

Forse si dovrebbe concludere sintetizzando tutto in uno slogan: "Cloud, se lo conosci lo eviti".

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari

Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo
Notizie collegate
57 Commenti alla Notizia Cassandra Crossing/ Il Cloud e me
Ordina
  • Segnalo l'esistenza dell'ottimo Wuala [di cui mi servo con soddisfazione con da diverso tempo] che:

    cripta i dati sul computer utente prima dell'invio al cloud;
    ha un codice completamente ispezionabile e OpenSource;
    crea diverse copie di sicurezza del medesimo file.

    Tutte le informazioni sul sito: http://www.wuala.com/
    non+autenticato
  • Qualche alternativa opensource e/o gratuita? Ho visto Unison
    Clicca per vedere le dimensioni originali
    ma richiede uno spazio web.
  • Per me il "cloud" presenta anche un altro problema fondamentale: quello del "lavoro" IT.
    Che fine faranno i professionisti IT se le chiavi delle infrastrutture aziendali saranno in mano a pochissimi fornitori?
    non+autenticato
  • - Scritto da: Mimmus
    > Per me il "cloud" presenta anche un altro
    > problema fondamentale: quello del "lavoro"
    > IT.
    > Che fine faranno i professionisti IT se le chiavi
    > delle infrastrutture aziendali saranno in mano a
    > pochissimi
    > fornitori?

    Reinventano la propria professione esattamente come il maniscalco, l'arrotino, lo stagnino, ...

    Quante aziende ora hanno personale IT insource ? Quante lo avevano 15 anni fa ? fai i tuoi conti...
    non+autenticato
  • Il prodotto si chiama DocuBox, prodotto dall'omonima startup italiana, è un sistema di trasmissione e resgitrazione dei file brevettato, che ne mantiene anche le versioni e li deduplica.
    DocuBox non solo può criptare prima di spedire, ma può usare qualsiasi software del cliente per richiedere la criptazione prima di spedire.

    Lo storage remoto, che può perfino essere messo in casa del cliente (si compra un appliance da 1500 euro a 35000 euro, dipende se hai a 3 o 999 computer) è in grado di replicare se stesso su altri DocuBox.

    Se i giganti internazionali non sono capaci, beh certe volte guardare in casa propria può essere interessante.
    non+autenticato
  • www.docubox.it
    www.docubox.tv
    non+autenticato
  • - Scritto da: Aldus
    > www.docubox.it
    > www.docubox.tv

    molto interessante, grazie.
    non+autenticato
  • Mi spieghi che differenza c'è tra quello che propongono loro e un qualsiasi altro servizio cloud utilizzato per memorizzare, per esempio, un file cifrato tramite truecrypt ?
    non+autenticato
  • > Mi spieghi che differenza c'è tra quello che
    > propongono loro e un qualsiasi altro servizio
    > cloud utilizzato per memorizzare, per esempio, un
    > file cifrato tramite truecrypt
    > ?

    Beh, mi sembra evidente.
    Con TrueCrypt la sincronizzazione è a livello di disco e non di file, mentre questo sistema ti permette la replicazione in tempo reale.
    E poi questo prodotto presuppone la disponibilità dell'unità di destinazione, assicurandone il controllo completo. Tu invece su quale servizio di storage remoto sincronizzi il tuo disco TrueCrypt?
  • posta elettronica: se la conosci, la eviti

    Ah, scusate, qualcuno ha detto forse PGP? E che c'entra? La posta elettronica, nativamente, viaggia in chiaro e può essere letta dai gestori dei server nonché tanta altra gente abbastanza scafata. Quindi è il male. Tutto il resto è fuffa.

    Così anche il cloud. Soluzioni e programmi come questo:
    http://www.boxcryptor.com/
    sono cazzate (o anche, più banalmente, l'uso di TrueCrypt che è OS con DropBox).
    -----------------------------------------------------------
    Modificato dall' autore il 19 febbraio 2011 10.13
    -----------------------------------------------------------
  • e poi... sinceramente... Calamari, non riesco proprio a capirti.

    Mi ricordo quando scrivevi quei bellissimi articoli su TOR, non t'ho mai visto scrivere: Internet, se lo conosci lo eviti!

    Ma... porca paletta... invece di questi giudizi trancianti e categorici che mi ricordano tanto i roghi di libri del Savonarola, perché non scrivi qualche articolo su come usare il cloud a proprio vantaggio, difendendo la riservatezza dei propri dati? E sì che avresti tutte le capacità per farlo, di soluzioni ce ne sono...
  • ma lo sai che boxcryptor non sembra niente male?Con la lingua fuori
    Già, peccato che nessuno si sia mai preso la briga di portare EncFS su Windows, che sarebbe stato ancora meglio Triste
    Se e quando boxcryptor diventerà robusto e liberamente disponibile, ci sarà encfs su linux, boxcryptor su windows, e avrai una sola cartella dropbox su cui i due sistemi non sono interoperabili Arrabbiato
    E quindi attacchiamoci ad usare container truecrypt che si sincronizzano solo in chiusura, e se sono per caso di 2gb perché sarebbe poco pratico averli più piccoli, beh, anche con 5 bytes modificati perdi almeno 10 minuti ad aspettare che sia in sync.
    Peccato.
  • - Scritto da: ephestione
    > ma lo sai che boxcryptor non sembra niente male?
    >Con la lingua fuori
    > Già, peccato che [...]

    > E quindi attacchiamoci ad usare container
    > truecrypt che si sincronizzano solo in chiusura,
    > e se sono per caso di 2gb perché sarebbe poco
    > pratico averli più piccoli, beh, anche con 5
    > bytes modificati perdi almeno 10 minuti ad
    > aspettare che sia in
    > sync.
    > Peccato.

    puoi sempre usare axcrypt sui singoli file che ti interessa crittare.
    del resto perché dovresti crittare tutto? Io ho una dropbox da 5.7 giga.
    cosa mi serve DAVVERO metterci?
    non molto.
    e cosa mi serve DAVVERO crittare (alla fonte, naturalmente) ? Poco, molto poco.
    non+autenticato
  • Non conoscevo axcrypt... peccato che sia solo Win, come dicevo quasi tutti i file sulla mia dropbox sono usati sia su win che ubuntu...
  • - Scritto da: reXistenZ
    > posta elettronica: se la conosci, la eviti
    >
    > Ah, scusate, qualcuno ha detto forse PGP? E che
    > c'entra? La posta elettronica, nativamente,
    > viaggia in chiaro e può essere letta dai gestori
    > dei server nonché tanta altra gente abbastanza
    > scafata. Quindi è il male. Tutto il resto è
    > fuffa.

    sia per lo storage che per la mail, dovremmo dire: se la conosci la usi consapevolmente.
    ma PGP non consente a nessuna "gente scafata" di fare un bel niente.
    SSL non basta a proteggere i dati in transito, per tutti gli altri (ovvero i "non-provider") ?

    >
    > Così anche il cloud. Soluzioni e programmi come
    > questo:
    > http://www.boxcryptor.com/
    > sono cazzate (o anche, più banalmente, l'uso di
    > TrueCrypt che è OS con
    > DropBox).

    Ci dici anche perché sono cazzate?
    non+autenticato
  • > > Ah, scusate, qualcuno ha detto forse PGP? E che
    > > c'entra? La posta elettronica, nativamente,
    > > viaggia in chiaro e può essere letta dai gestori
    > > dei server nonché tanta altra gente abbastanza
    > > scafata. Quindi è il male. Tutto il resto è
    > > fuffa.
    >
    > sia per lo storage che per la mail, dovremmo
    > dire: se la conosci la usi
    > consapevolmente.

    Giusto.

    > ma PGP non consente a nessuna "gente scafata" di
    > fare un bel
    > niente.

    Esatto.

    > SSL non basta a proteggere i dati in transito,
    > per tutti gli altri (ovvero i "non-provider")
    > ?

    SSL protegge la trasmissione, poi bisogna proteggere la "permanenza".

    > > Così anche il cloud. Soluzioni e programmi come
    > > questo:
    > > http://www.boxcryptor.com/
    > > sono cazzate (o anche, più banalmente, l'uso di
    > > TrueCrypt che è OS con
    > > DropBox).
    >
    > Ci dici anche perché sono cazzate?

    Ero sarcastico. Così come la posta elettronica è in chiaro, e tutto il resto è fuffa, così il cloud è in chiaro, e i programmi di criptazione sono cazzate. Spero di avere reso l'idea...
  • Si potrebbe anche citare GitHub, allora.
    Ma ce ne sono tanti ormai di servizi veramente utili.

    Anch'io sinceramente non capisco questa caccia alle streghe.
    Un'altra espressione dell'arretratezza tecnologica, e non solo quella, italiana ? Spero di no.

    Ma Internet un tempo non doveva unire e condividere ?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)