Li esta semana duas reportagem sobre a preocupação do governo dos EUA quanto a crescente utilização de serviços de Cloud Computing por criminosos virtuais. Sinceramente, isso não era fácil de ser previsto?!

Imaginem, um servidor com 32 CPU`s, 128 GB, 1TB disco e um link de 1GBit/s, isso tudo por US$ 5.00 a hora na Internet. É só você acessar a Amazon, colocar os dados de um cartão de crédito internacional, tem um monte por ai na internet dando sopa, e pronto, o seu super servidor preparado para realizar vários de testes de segurança estará pronto.

Logo que saiu o serviço HPC (High Performance Computing), provido por empresas como a Amazon, eu pensei: Muita gente vai testar os seus scripts e programas para descriptografar senhas e realizar uma série de testes de segurança. Vários profissionais e laboratórios voltados a pesquisa da segurança da informação já publicaram uma série de provas de conceito referente à quebra de chaves privadas, senhas criptografadas e quebra de certificados digitais utilizando HPC.

O alto poder de processamento nunca foi tão barato, eu lembro das palestras sobre certificados digitais há 10 anos onde os palestrantes falavam da capacidade que mainframes e super computadores detinham para quebrar um certificado digital em semanas ou meses. É claro que um fator relevante é o nível da criptografia do certificado digital, mas ainda assim, esse tempo para quebra de um certificado digital passou para poucas horas hoje em dia devidoa à Cloud Computing.

Outra coisa que ficou rápida e fácil de fazer é a realização de testes de um determinado exploit. Na busca da sua funcionalidade com todos os sistemas operacionais do mundo, precisou testar no Windows Vista, Linux RedHat ou Oracle Sun/Solaris ? Agora é só subir uma máquina virtual na Amazon ou RackSpace e mandar bala, e isso tudo por uns US$ 50.00, no máximo, lembrando que o valor vai aumentando de acordo com a quantidade de recursos que você for atrelando aos seus servidores virtuais.

Não sei o porquê do espanto das empresas e órgãos mundias especializados em segurança da informação quanto a este crescimento. Quanto maior for a disponibilidade de recursos mais rápidos e performáticos, maior serão os ataques. Imaginem então com recursos baratos e fáceis de serem acessados.

Em breve os EUA criarão um órgão regulamentador dos serviços de Cloud Computing providos por empresas americanas, se não já fizeram.

Uma dica importante: Você não conseguirá realizar alguns testes de segurança com uma máquina virtual, ataques DDoS e DoS consumem muitos recursos. Eu ainda não testei com a paravirtualização, que é dito mais performático em nível de hardware do que a virtualização via software – Xen Server utiliza paravirtualização, vou testar e digo par vocês depois. 🙂

P.S.: Obrigado mais uma vez ao André Mello pela revisão do texto.