Servicios en la nube: ¿una ventana para subcontratar actividades ilegales?

2

Recientemente estuve expuesto a varias historias en las que las supuestas actividades ilegales (en este caso, podemos tomar fuerza bruta) se subcontratan a la nube y son administradas por los proveedores de la nube. Los proveedores, por ejemplo, Amazon, se pueden usar con el único propósito de realizar actividades maliciosas: por ejemplo, alquilar una máquina fuerte con un gran número de procesadores y dejar que ejecute algún tipo de fuerza bruta, ya sea sin conexión (un archivo determinado para crackear) ) o por internet.

Un ejemplo real: ( Este sitio ), propiedad de moxie: suministra servicios en la nube para resolver problemas de WPA, y no es necesario aquí para detallar las consecuencias y el significado de la disponibilidad de dicho servicio.

La pregunta aquí es un poco borrosa, pero sigue siendo importante (en mi opinión): ¿no se cruza un poco la línea? Por supuesto, algunos administradores de red legítimos pueden usar este servicio para su propia organización y con un propósito legítimo, pero creo que hay una gran ventana para actividades delictivas.

    
pregunta Franko 11.09.2012 - 09:45
fuente

2 respuestas

3

Los servicios y las herramientas son completamente amoral , es decir, no son morales ni inmorales. Nosotros, como personas, a menudo ponemos un valor moral en el uso de estas herramientas destinado y actual . Tal razonamiento es un tanto falaz, ya que no podemos prejuzgar la intención de cada usuario posible. Cualquier herramienta destinada a "bueno" puede ser subvertida a "mal", y viceversa.

Se puede usar un destornillador para construir un armario, pero también se puede usar para apuñalar a alguien. Se puede usar una pistola para oprimir, pero también se puede usar para proteger. Estos son ejemplos simplistas, pero el punto es que la herramienta en sí no tiene valor moral. Nuestras acciones son las que tienen valor moral.

La nube es simplemente un concepto, lo que hace que esta abstracción carezca de sentido. Si bien el término ha sido muy bastardo por parte de los vendedores, el significado real de "computación en la nube" es simplemente colocar alguna tarea computacional en un sistema distribuido. Como la tarea puede ser cualquier cosa, no podemos prejuzgar la intención, por lo tanto es amoral. Por lo tanto, no debemos juzgar tales servicios por su uso potencial .

Claro, los malos pueden usar "la nube" para cosas malas. Abre nuevos modelos de ataque y mejora la eficiencia financiera al realizar ataques distribuidos. ¿Pero no es lo mismo para cualquier otra tecnología? Las interfaces cerebro-computadora, cámaras web, teléfonos inteligentes, tabletas, medidores inteligentes (electricidad / gas), SCADA, Ajax, Facebook, etc. pueden ser subvertidos por medios inmorales, pero eso no significa que debamos dejar de usarlos. La computación en la nube no es una excepción. También va por el otro lado: herramientas como oclHashcat, BeEF, Metasploit, nmap, sqlmap, etc. se pueden usar para el "mal", pero también son increíblemente útiles para los probadores de penetración.

Al final, necesitamos simplemente aceptar que estos servicios y herramientas existen, y que intentar darles un valor moral es un ejercicio inútil. Concentre sus esfuerzos en identificar los problemas potenciales y encontrar soluciones.

    
respondido por el Polynomial 11.09.2012 - 10:06
fuente
0

Estoy de acuerdo en que algunas de las ofertas de servicios más recientes están cruzando la línea, pero también creo que es una buena idea que tengamos dichos servicios. La computación en la nube no va a desaparecer, de hecho, será mucho más barata y popular en el futuro. Ahora es el mejor momento para probar nuestros sistemas de seguridad y tecnología, mientras que todavía es relativamente difícil y raro frenarlos con éxito. Necesitamos mejorar nuestros sistemas de seguridad (cifrados, hashes, ...) para sobrevivir a los ataques de fuerza bruta de mil millones de computadoras, cada una con una moderna CPU y tarjeta GFX. Por lo tanto, la solución es no solo intentar detener los servicios de cracking, sino también mejorar los procedimientos y algoritmos de seguridad. Ambos deben hacerse para un mundo más seguro.

Y en cuanto a WPA o WPA2, no son la única forma de restringir el acceso a través de la conexión inalámbrica. Puede usar otros métodos como IPSec o OpenVPN y solo permitir el acceso a la red a través de ellos. Usted está perfectamente seguro al utilizar una red inalámbrica abierta, siempre y cuando los use correctamente.

    
respondido por el Matrix 11.09.2012 - 10:03
fuente

Lea otras preguntas en las etiquetas