Andy's Weblog

Green Computing ed Information Security giovedì 23 settembre 2010

Ho recentemente partecipato ad un seminario del CLUSIT sul tema della relazione tra Green Computing ed Information Security.

A parte gli indubbi vantaggi che il Green Computing appare essere in grado di portare in brevissimo termine sul risparmio energetico e quindi sulla ‘bolletta della corrente’, l’impatto evidente che questo porterà sempre di più è sulla comparsa di nuovi ruoli o sulla loro valorizzazione.

L’intersezione tra Green Computing e Sicurezza delle Informazioni che è stata principalmente riscontrata ed approfondita è quella relativa alla continuità di servizio, ed in seconda istanza alla business continuity.

Ma la sicurezza delle informazioni, vista a 360 gradi, non si può limitare alla disponibilità dei sistemi, e quindi ho iniziato a chiedermi quali possano essere le relazioni tra il risparmio energetico e la riservatezza e l’integrità delle informazioni.

In effetti le infrastrutture HW e SW per il controllo e l’ottimizzazione dei consumi, per il bilanciamento del carico tra le macchine, per spegnere server sostanzialmente non utilizzati, oltre ad avere le loro complessità e quindi essere elementi da non trascurare nell’analisi dei rischi, sono a loro volta vulnerabili.

È ormai possibile togliere remotamente la corrente agli apparati spegnendo direttamente le ‘ciabatte’ a cui sono collegati all’interno dei rack.

Vi immaginate cosa potrebbe fare un malintenzionato che riuscisse a guadagnarsi l’accesso al sistema che controlla la distribuzione della corrente?

Giocando con il ribilanciamento del carico, magari facendo credere ad un server di essere sovraccarico, si potrebbe riuscire a spostare virtual machines e processi da server sicuri verso server compromessi, e prenderne il controllo.

Si può anche arrivare a ricattare un provider minacciando di spegnere tutto il data center …

Si potrebbe anche riuscire a spegnere selettivamente un IDS.

Effetti diretti sull’integrità delle informazioni non me ne vengono in mente; riesco ad immaginare soltanto effetti collaterali o secondari, una volta preso il controllo dei sistemi.

È possibile anche sperare nella corruzione dei dati a fronte di power off dei sistemi senza un adeguato shutdown, ma in generale al giorno d’oggi i sistemi ed i database sono abbastanza robusti da recuperare l’ultimo stato valido dei dati e delle transazioni.