Un’altra faccia (non bella) del cloud computing
Bit nelle nuvole: ci può essere qualcosa di male? In certi casi sì, senz'altro
(+5)
Loading ...
L’impiego del cloud computing ha tanti aspetti positivi, ma anche qualcuno negativo: chi lo vende non può sapere a priori come la potenza di calcolo affittata sarà impiegata. E se si impiega per fini disonesti?
Articoli correlati:
Roma – Si è parlato spesso e si parla tuttora, anche su queste pagine, di cloud computing. C’è però almeno un aspetto del quale si parla poco ed è bene, invece, esserne almeno consapevoli: preso nella sua interezza, il cloud computing è senz’altro anche storage, ma è soprattutto potenza di calcolo pura. Tanta. Il che significa, naturalmente (e purtroppo), che può essere impiegato anche per fini non proprio… nobili.
Lo ha dimostrato qualche tempo fa Thomas Roth, un esperto ricercatore di sicurezza tedesco, che ha impiegato con successo alcuni tra i più performanti servizi di cloud computing erogati da Amazon: il servizio EC2, uno dei diversi servizi di cui Amazon si è dotata e decisamente potente.
Roth ha impiegato una delle più recenti possibilità offerte da Amazon sul tema, ossia un’istanza single cluster GPU, allo scopo di decifrare i valori hash di alcune password codificate con l’algoritmo di cifratura SHA1.
La notizia, al contempo buona e cattiva, è che ci è riuscito: ha forzato con successo 14 password in 49 minuti netti. Il tutto al costo di 2 dollari e 10 centesimi per un’ora scarsa di tempo di calcolo di due GPU NVIDIA Tesla “Fermi” M2050.
La scelta di usare una GPU non è casuale: sono processori particolarmente veloci ed efficienti nel fare calcoli in quanto il loro scopo è assistere la grafica, un compito tipicamente ricco di tali attività. Alcuni, infatti, le definiscono “il processore matematico del terzo millennio”: chi ha visto qualche computer più vecchiotto ricorderà che accanto a CPU ormai ultra-vetuste come l’80386 di Intel (e anche qualcuno successivo) c’era chi adottava il cosiddetto coprocessore matematico, che per quella CPU era l’80387.
La nuova offerta di Amazon, rilasciata un paio di settimane fa e sfuggita – in verità – agli occhi del New Blog Times, non è però sfuggita al ricercatore, che ha pensato di approfittarne immediatamente per condurre questo esperimento, utile per convincersi del “futuro roseo” spettante a iniziative del genere.
Il guaio, se così si può etichettare, è che ci si può servire di macchine anche molto più potenti di quella sfruttata per questo esperimento: è solo questione di prezzo, dunque si tratta di valutare cosa si forzerà e cosa se ne ricava, anche solo potenzialmente, per valutare quanto valga la pena di spendere in fase di affitto di potenza di calcolo.
Purtroppo esiste già una sorta di forma di commercio sul tema. Un esempio è il sito WPACracker, che promette di forzare in pochi minuti anche le password di una rete WiFi protetta con il WPA e spedire i risultati via email, il tutto a… prezzi modici, come direbbe lo Zio Paperone.
Al momento si tratta di realtà non ancora troppo diffuse e, certamente, non ci sarà da attendere molto perché chi mette a disposizione simili mostri di potenza renda le proprie policy un tantino più “furbe”, impedendo nel modo più assoluto impieghi di questo genere, men che meno se illegittimi.
Nel frattempo, però, estote parati: forzare il WPA, estrarre le chiavi SHA1 e qualsiasi altra attività dove l’unico limite – fino a oggi – era il tempo, ora non è più un problema e quindi c’è poco da dormir tranquilli. Almeno per chi ha qualcosa di davvero importante da tutelare o… da nascondere.
Marco Valerio Principato
