La
sicurezza del cloud torna di attualità dopo che i ricercatori di Check Point
hanno scoperto e segnalato a Microsoft due falle di
Azure. Check Point ha tenuto nascosta al pubblico la scoperta e ha dato modo a Microsoft di pubblicare le patch. Sono già state diffuse entro fine 2019 per entrambi i problemi, non c'è quindi motivo di allarmarsi. Questa vicenda è interessante per capire come sia errata la comune opinione secondo cui il cloud è sicuro.
Le due falle riguardano nel dettaglio
Azure Stack e Azure App Service. Il problema in Azure Stack avrebbe permesso a un hacker di ottenere informazioni sensibili sulle macchine in esecuzione su Azure. Sarebbe stato possibile persino fare delle catture video. La falla in Azure App poteva permettere a un cybercriminale di prendere il controllo dell'intero server Azure, di conseguenza del codice aziendale di un'impresa.
Andando per ordine, Azure Stack è una soluzione software progettata per aiutare le aziende a fornire i servizi Azure dal proprio data center. Per violare la sicurezza ed eseguire un exploit, sarebbe stato necessario ottenere l'accesso al portale Azure Stack. Quindi si sarebbero dovute inviare richieste HTTP non autenticate che forniscono screenshot e informazioni sulle macchine dell'infrastruttura.
Azure App Service è invece una PaaS gestita che integra i siti web Microsoft Azure, i servizi mobile e altri. Fra le funzioni di Azure App Service ci sono il provisioning, la distribuzione e la creazione di app, l'automazione dei processi aziendali. Approfittando della falla, un criminale informatico avrebbe potuto compromettere applicazioni, dati e account creando un utente in Azure Cloud ed eseguendo funzioni dannose. Avrebbe potuto persino assumere il controllo dell'intero server.
Le vulnerabilità di cui sopra sono state risolte e non sussistono più. Ma il fatto che siano state rilevate dimostra che il cloud non è un posto magico. È un'infrastruttura, un codice che è passibile di vulnerabilità.