Il titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.
Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.
Al nostro simpatico amico interessano anche i programmi che elaborano i dati: server SQL, Windows Server, web server, mail server, programmi gestionali, eccetera. Il tutto con relative chiavi di attivazione, utenti e configurazioni.
Insomma Dr. No non vuole solamente i vostri dati, ma vuole duplicare la vostra struttura dell’IT.
Anni fa era praticamente impossibile senza furti o effrazioni, ma adesso la tecnologia della virtualizzazione ha cambiato le carte in tavola e lo scenario che segue è possibile indipendentemente dal fatto che sia stata adottata la virtualizzazione nell’azienda vittima.
Partiamo da una semplice constatazione di un dato di fatto: per varie ragioni, tutte legittime e condivisibili, la quantità di dati presenti sui server di molte aziende è tenuta sotto stretto e rigoroso controllo. Questo perché lo storage di qualità server è caro, gli utenti non sono dei grafomani incalliti e lo storage per i backup dove non è caro deve essere moltiplicato per il numero di istanze di cui si vogliono tenere i backup.
Il risultato è che raramente dati e programmi sui server di un’azienda di medie dimensioni che non tratta multimedialità si colloca attorno al mezzo terabyte, spesso a sud di questo valore.
Se in questo momento vado da un rivenditore online (prendo Misco, che è il primo che mi viene in mente) vedo che un disco USB esterno da 1 Tb me lo porto via con 150 Euro, IVA inclusa. Sto parlando di un dispositivo grosso come un libro ed è tutto l’hardware che serve al Dr. No per i suoi scopi maligni. Di spese per il software non ce ne sono.
Ovviamente ipotizzo che Dr. No abbia accesso amministrativo al sistema informativo, ma questo era già nelle premesse.
Se l’azienda fa già le immagini disaster recovery dei server, Dr. No dovrà semplicemente copiarsi queste immagini e ripristinarle con il software adatto, che, molte volte, è scaricabile in versione trial dal fornitore.
Se non ci sono le immagini dei server, il Dr. No può scaricare gratuitamente VMware vCenter Converter Standalone (o l’equivalente per altri sistemi di virtualizzazione), connettere il disco rigido da 1 Tb ad un PC e lanciare da lì la virtualizzazione di tutti i server aziendali. Se il PC ha una connettività di 1 Gbit/sec, un weekend è un tempo ben più che sufficiente per farsi le immagini dei server e anche di qualche PC importante.
Il lunedì Dr. No potrà mettere in borsa una scatoletta di 10 x 20 x 3 centimetri che contiene tutta la vostra azienda e, con quella, potrà ricreare in un paio di giorni la vostra infrastruttura IT anche senza avere un hardware uguale al vostro.
Ed è una copia esatta del sistema informativo pronta all’uso, a completa disposizione del Dr. No, che la può utilizzare mentre coccola un gatto bianco, assapora brandy e prorompe in una risata mefistofelica.
4 risposte a “Quanto è facile rubare i server di un’azienda?”
Scenario apocalittico che presuppone comunque l’accesso amministrativo.
Come evidenziato anche dal garante per la privacy l’amministratore di sistema è una figura estremamente pericolosa 🙂
Può fare danni ben peggiori di quelli ipotizzati nell’ottimo articolo di Luigi.
Il personale IT è sempre stato “critico”. Quella che è cambiata è la tecnologia.
Quando c’era NetWare 3.x o NT 3.x o 4.x (e anche Wind 2000 e 2003) uno scenario del genere era impensabile e l’IT con privilegi elevati poteva “solamente” portare via i dati, ma potevano farlo anche i dipendenti.
Ora può di fatto istanziare una copia dell’azienda.
Questo e` logico. Occorre che le aziende accettino l’idea che l’amministratore IT ha di fatto il potere assoluto sulla loro infrastruttura. Per questo occorre che ci sia fiducia e che ci sia un rapporto onesto fra l’azienda e l’amministratore IT. Del resto anche una guardia giurata ha una pistola con la quale potrebbe ammazzare il suo titolare. Ha anche le chiavi e il codice dell’allarme.
Quello che invece vorrei proprio non sentire nominare e` il garante della privacy, che e` capace solo di mettere i bastoni fra le ruote di chi lavora onestamente, rimanendo impotente verso chi fa del furto e dell’abuso dei dati la sua fonte di reddito.
Infatti la citazione dell garante era una provocazione: la penso esattamente come te. E come tanti altri! ma è un po’ OT.
Ciao