Questo primi mesi del 2011 sono stati segnati da alcuni eventi molto significativi. Probabilmente non è esagerato parlare di “anno zero” dell’informatica. Lo spunto per questo post nasce una serie di eventi a catena che hanno contribuito a demolire uno ad uno alcuni principi cardine dell’IT. Cosa è accaduto?
Marzo 2011
Lizamoon, una massiccio attacco basato su un’iniezione SQL colpisce milioni di siti web sparsi per il globo. L’infezione si moltiplica velocemente colpendo nel giro di pochi giorni un immenso numero di siti web.
PHP.net afferma che uno dei server della società è stato violato permettendo agli attaccanti di intaccare il codice sorgente del popolare linguaggio di programmazione.
Aprile 2011
Ashampoo comunica attraverso il suo sito web la notizia di un’intrusione informatica all’interno dei suoi server. Nomi e indirizzi email di numerosi clienti risultano trafugati.
WordPress, con un comunicato abbastanza laconico informa le migliaia di utenti della piattaforma di blogging WordPress.com che i server della società hanno subito un’intrusione di basso livello. Il codice sorgente di WordPress VIP viene trafugato.
Barracuda Networks, popolarissima azienda produttrice di apparati firewall ed antispam subisce un’attacco informatico nel quale numerosi indirizzi email di partner e dipendenti finiscono nelle mani degli attaccanti.
Amazon AWS, popolare servizio di cloud computing subisce un terribile downtime e trascina con se numerosi siti web di aziende molto popolari che sperimentano alcune ore di buio totale per il loro businness.
Aruba, noto fornitore italiano di hosting e server subisce un downtime di circa 12 ore a causa di un principio di incendio all’interno del datacenter di Arezzo. Secondo le stime circa 1 milione di siti web rimangono al “buio” insieme a server dedicati e VPS.
La somma di questi eventi suggerisce ovviamente alcune considerazioni.
Sicurezza
Nella sicurezza informatica più è grande il bersaglio e più aumenta il rischio di essere compromessi. Per citare un caso concreto l’intrusione ai danni di Barracuda Networks avviene nel momento in cui uno dei firewall a protezione dell’infrastruttura dell’azienda viene messo in “standby” per un intervento di manutezione. I cracker, che monitorano costantemente il bersaglio hanno gioco facile nel momento in cui una o più debolezze vengono scoperte nello schieramento avversario.
La sicurezza totale non esiste.
Affidabilità e downtime
La parola chiave è differenziare. Può essere importante per una web agency isolare i siti web della clientela distribuendo un determinato numero di siti sul provider A ed ugualmente distribuire un diverso numero di siti web sul provider B e così via. In caso di downtime di uno dei provider i danni potrebbero essere limitati e circoscritti. Si tratta di soluzioni più costose rispetto all’hosting multidominio centralizzato ma consentono di guadagnare sotto il profilo della tranquillità.
Nessun provider ha il segreto della vita eterna. I downtime si ripetono e continueranno a ripetersi. I datacenter sono progettati dall’uomo e come ogni cosa concepita dall’uomo questa può essere soggetta ad errori e revisioni. Si può apprendere dai propri errori per migliorare ed innalzare l’affidabilità di un’idea o di un servizio ma difficilmente verranno raggiunti i canoni della perfezione. Sarebbe opportuno “rilassare” i propri giudizi circa l’affidabilità di questo o quel servizio focalizzando invece l’attenzione sulle qualità comunicative del provider interessato dal downtime che è obbligato ed ha il dovere di migliorare imparando dagli eventuali errori commessi in passato.
Data la natura delle applicazioni ospitate su hosting generici e servizi cloud come Amazon AWS è importante che i provider facciano il proprio dovere garantendo al cliente dei valori di affidabilità accettabili. Il punto è che dato il calibro dei nomi interessati da alcuni dei più grandi fail della storia informatica moderna viene da pensare che il mito dell’inviolabilità della cloud sia un argomento su cui è necessario chiudere un occhio o forse anche due. Affidatevi pure ai servizi offerti dalle aziende più blasonate ma abbiate cura di conservare copie di backup dei dati e di predisporre piani di emergenza che possano tirarvi d’impaccio nelle situazioni più gravi. L’informatica non è una scienza esatta. Alla prossima.