Безопасно ли хранить данные в облаке?

Безопасно ли хранить данные в облаке: мнение экспертов — Сервисы на vc.ru

Безопасно ли хранить данные в облаке?

Вместе с руководителем направления развития бизнеса защиты виртуальных и облачных сред «Лаборатории Касперского» Матвеем Войтовым и CEO облачной коммуникационной платформы Voximplant Алексеем Айларовым обсудили, как устроено хранение персональных данных в облаке и какие риски с ним связаны.

По оценкам исследователей IDG, на сегодня 77% компаний в мире используют облачные технологии. С увеличением популярности они становятся всё больше подвержены киберугрозам.

По данным «Лаборатории Касперского», каждая десятая (11%) утечка данных из облака стала возможной из-за действий провайдера, в то время как треть всех киберинцидентов в облаке (31% в России и 33% в мире) произошла из-за доверчивости сотрудников компании, попавшихся на приёмы социальной инженерии.

Какие данные проходят через облачные платформы

Названные тенденции актуальны и для сферы коммуникаций: многие компании общаются с клиентами при помощи сторонних сервисов и платформ, среди которых наиболее популярны UCaaS-решения — Unified Communications as a Service. Алексей Айларов рассказывает, какие данные бизнес передаёт вендору.

Во-первых, это информация о проходящих через коммуникационную платформу звонках: факты вызова, соединения, ответа, продолжительность разговора. Если же сценарий, используемый клиентом, предполагает распознавание голоса — например, в случаях автоматизированного сбора отзывов потребителей — третьей стороне становится известно и содержание разговора.

Однако коммуникационная платформа этих данных не получает: функцию перевода голоса в текст осуществляют сервисы «Яндекса» и Google, платформа же только передаёт зашифрованные текстовые блоки клиенту.

Во-вторых, это персональные данные потребителей, которые необходимы для настройки ого бота.

Так, при автоматизированных обзвонах нужна пара «ФИО — контактный телефон», чтобы робот мог поприветствовать пользователя по имени при дозвоне.

Все данные хранятся внутри инфраструктуры, и доступ к ней может получить узкий круг лиц. В основном это служба поддержки — в ситуациях, когда происходит разрешение какого-то спора.

Матвей Войтов уточняет: «Если внешний сервис является оператором персональных данных (зарегистрирован и находится в реестре Роскомнадзора), и хранение этих данных будет осуществляться в специализированном сегменте облака с сертифицированными средствами защиты (сертификация необходима для соответствия требованиям 152-ФЗ и подзаконным нормативным актам), в подобный сервис можно передавать любые виды персональных данных».

Риски утечки: операционный фактор

Логично предположить, что при переносе коммуникаций на облачную платформу риски утечки персональных данных повышаются, так как в процесс включается ещё как минимум два игрока — провайдер и дата-центр.

Однако это не совсем так. Матвей Войтов заверяет: «При грамотно построенных организационных и технических мерах, а также при наличии доверенного провайдера, предоставляющего защищенные сегменты облака и использующего специализированные средства облачной защиты, риски каких-либо утечек минимальны».

Кроме того, Войтов отмечает повышенную ответственность всех поставщиков облачных сервисов и платформ за целостность, защиту и доступ к этим данным.

По его словам, для прохождения проверок Роскомнадзора требуется хранить персональных данные в сегментах, защищенных только сертифицированными средствами защиты.

Сейчас это становится более простой процедурой: многие провайдеры облачной инфраструктуры уже предоставляют такие сегменты и сопутствующий консалтинг как услугу.

Что касается опасений, связанных с мультиарендным подходом, когда разные клиенты обслуживаются единым экземпляром приложения, эксперт не видит для них оснований: «Еще несколько лет назад даже у лидеров рынка происходили инциденты нарушения изоляции и доступа к чужим данным, что и породило настороженное отношение к мультитенантности, но сейчас такие случаи единичны».

Риски утечки: человеческий фактор

По словам Алексея Айларова, вмешательство человека возможно, однако строгость доступа к данным сводит такие случаи к минимуму. «Единственный, кто знает, какие данные хранятся на том или ином удаленном сервере — это их владелец.

Для сотрудников дата-центров это просто «железка» с какой-то информацией. Более того, у них нет к этой информации никакого доступа, кроме физического – они могут лишь буквально ударить молотком.

Пароль же сообщает только сам клиент, если требуется что-то починить или решить возникшую проблему».

Айларов объясняет, как это работает, на примере банковских процессов: есть ряд сотрудников с доступом к данным, расположенным на внутреннем сервере. В большинстве случаев они не обращаются к этой информации и используют ключи только по необходимости. В таких крайних ситуациях вся ответственность за возможную утечку данных будет лежать именно на этих служащих.

Риски утечки: недобросовестность подрядчиков

Машинное обучение распознаванию голоса, один из главных технологических трендов, строится на анализе миллионов ых записей-отрывков. С какими рисками это связано? Оба эксперта соглашаются, что в теории этот процесс задуман как безопасный для конечных пользователей.

Алексей Айларов подчеркивает, что обучение робота должно происходить на обезличенных голосах, другое дело — насколько за этим следят. CEO Voximplant считает, что основная ответственность здесь лежит даже не на тех, кто слушает записи разговоров и готовит их для обработки машиной, а на тех, кто отправляет данные на анализ.

Именно от последних зависит, как будут нарезаны записи и сможет ли человек, прослушав их, получить какую-то конфиденциальную информацию.

Матвей Войтов подтверждает: «Пока анализ производится полностью автоматически, без привлечения операторов (например, для тонкой настройки) интересы пользователей не нарушаются.

Тем не менее, регулярно всплывают истории про то, что по тем или иным причинам сотрудники вмешиваются в работу машинного обучения и анализа.

Так, недавно стало известно, что один производитель умных замков и видеокамер привлекал операторов для просмотра и анализа частного видеопотока для поиска и идентификации в нем инцидентов, хотя заявлялось, что видеоаналитика в этом сервисе была полностью автоматизирована».

Подводя итоги

Несмотря на кажущуюся незащищенность, облако является надежным способом хранения данных, и технологические компании постоянно совершенствуют разработки в сфере безопасности.

В то же время, утечки все еще происходят, виной чему чаще всего становятся ошибки сотрудников.

Для улучшения ситуации сегодня требуется доработка законодательства в вопросе персональных данных, а также развитие общего уровня культуры обращения потребителей с информацией о себе.

В заключение предлагаем список вопросов от Матвея Войтова, которые необходимо задать при заключении сделки с облачной платформой, чтобы точно знать судьбу передаваемых вендору данных:

  • У какого провайдера и в каком ЦОДе будут храниться данные;
  • Предоставляет ли данный провайдер защищённые по 152-ФЗ сегменты;
  • Какие средства защиты — как технические, так и организационные — используются провайдером.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: //vc.ru/services/73844-bezopasno-li-hranit-dannye-v-oblake-mnenie-ekspertov

Правда об «облаке». Как хранят наши данные крупнейшие компании мира

Безопасно ли хранить данные в облаке?

Лет 15 – 20 назад компьютер с жестким диском на 200 – 300 ГБ считался непозволительной роскошью. В 2000-х забить под завязку такую емкость казалось чем-то из разряда фантастики: практически весь интернет тарифицировался помегабайтно, а с безлимитным тарифом можно было провести вечность, чтобы забить те самые 200 ГБ.

Источник: //www.iphones.ru/iNotes/pravda-ob-oblake-kak-na-samom-dele-hranyatsya-dannye-krupneyshih-kompaniy-mira-v-tom-chisle-apple--09-21-2018

Под грифом «секретно»: как безопасно хранить файлы в облаках

Безопасно ли хранить данные в облаке?

За последние несколько лет появилось столько сервисов для удаленного хранения и синхронизации пользовательских данных, что отказаться от их использования уже почти невозможно. Тем не менее многих останавливают вопросы конфиденциальности. В конце концов, загружая файлы в облако, мы передаем их на чужой компьютер, а значит, доступ к нашей информации может иметь еще кто-то, кроме нас.

С другой стороны, сложно отказаться от многочисленных удобств, которые нам дают сервисы для хранения данных: наличие резервной копии файлов, возможность получить доступ к своим документам с любого устройства из любой точки мира, удобная передача файлов другим людям. Можно найти несколько способов решения проблемы безопасности удаленного хранения файлов. О некоторых из них и пойдет речь в этом обзоре.

⇡#Cloudfogger — бесплатное шифрование для любого облака

Возможно, самый простой способ заботы о безопасности файлов, хранящихся в облаке, — шифровать их вручную. Для этого можно использовать защищенные паролем архивы или же одно из множества существующих приложений для шифрования.

Но для тех, кто имеет дело с большим числом документов, в которые постоянно вносятся изменения, такие способы не очень хорошо подходят. Раз уж сервисы для удаленного хранения файлов избавляют нас от необходимости загружать на них файлы вручную, то и процесс шифрования стоит автоматизировать.

Это можно реализовать при помощи специализированной программы Cloudfogger. Она работает с Windows, Mac, а также может быть установлена на устройства с Android и iOS.

Приложение шифрует данные с использованием 256-разрядного шифрования алгоритмом AES (Advanced Encryption Standard), перед тем как они загружаются в облако. Файлы попадают на серверы Dropbox и других облачных хранилищ исключительно в зашифрованном виде, поэтому доступ к ним можно получить только в том случае, если на устройстве, с которого вы хотите открыть файл, тоже установлен Cloudfogger.

Очень удобно, что шифрование не вызывает неудобств в работе: ключ для доступа к файлам вводится лишь один раз, при загрузке системы, после чего можно работать с ними в обычном режиме. Но если, к примеру, ноутбук будет украден, то при следующем запуске злоумышленник уже не сможет узнать содержание файлов в защищенных папках.

В начале работы с Cloudfogger нужно создать учетную запись (причем для большей безопасности можно отключить опцию восстановления пароля, но в этом случае забывать его категорически не рекомендуется).

Затем приложение само попытается найти папки популярных облачных сервисов Dropbox, SkyDrive, Google Drive и прочих.

Но даже если Cloudfogger не справился с этой задачей в автоматическом режиме, все равно можно вручную выбрать директории, содержимое которых требуется шифровать.

Кроме этого, есть возможность определить отдельные файлы из любых других папок. Сделать это проще всего при помощи контекстного меню «Проводника» — Cloudfogger добавляет в него свой список команд.

Также предусмотрена возможность исключать из шифрования отдельные директории и файлы из тех папок, которые защищены Cloudfogger. Такие данные будут загружаться на облачные сервисы в обычном режиме. Стоит иметь в виду, что после того как синхронизируемая папка будет защищена Cloudfogger, потребуется некоторое время на повторную загрузку данных из нее в облачное хранилище.

Еще одна функция Cloudfogger — обмен зашифрованными файлами с другими людьми.

Если данные, содержащиеся в облачных хранилищах, будут защищены приложением, стандартные способы отправки ссылок на них другим людям не подойдут.

Но вот если разрешить доступ к файлам в интерфейсе Cloudfogger, можно безопасно обмениваться ими с другими людьми. Файлы, зашифрованные Cloudfogger, можно передавать на флешке или отсылать по почте.

Технически доступ к файлам работает так: каждый файл Cloudfogger (.cfog) содержит уникальный ключ AES, который в зашифрованном виде хранится в самом файле. Такие 256-разрядные ключи защищены ключами RSA, которые уникальны для каждого пользователя.

Расшифровка происходит только в том случае, если доступ к файлу пытается получить тот пользователь, чей ключ RSA соответствует прописанному в заголовке файла .cfog.

Если таких пользователей несколько, данные об их ключах, соответственно, заносятся в заголовки файлов.

Boxcryptor

Еще одно специализированное решение для обеспечения безопасности файлов на «облачных» сервисах — Boxcryptor. Первоначально созданное как дополнение к Dropbox, сегодня это приложение поддерживает все популярные сервисы для удаленного хранения файлов. Правда, в бесплатной версии доступно шифрование данных, хранящихся лишь на одном сервисе, а также нельзя включить шифрование имен файлов.

Boxcryptor автоматически определяет наличие установленных клиентов популярных сервисов для хранения файлов в облаке (поддерживается даже «Яндекс.Диск»), создает виртуальный диск и добавляет в него соответствующие папки. В настройках можно управлять всеми подключенными папками: добавлять новые, на время отключать шифрование и так далее.

Сервис предлагает поддержку всех основных платформ, как настольных, так и мобильных. Есть даже расширение для Google Chrome. Для работы с Boxcryptor потребуется создание учетной записи — забывать свой пароль категорически не рекомендуется!

⇡#Tresorit — облачный сервис с повышенным вниманием к безопасности

Если из соображений безопасности вы еще не используете никаких сервисов для удаленного хранения файлов, стоит обратить внимание на молодой проект Tresorit, запущенный около полугода назад. Сервис создан как альтернатива стандартным решениям для хранения файлов в облаке и готов обеспечить гораздо более высокий уровень конфиденциальности файлов.

Tresorit обеспечивает шифрование файлов на стороне пользователя. Таким образом, все данные хранятся на серверах сервиса уже в зашифрованном виде. Для шифрования используется стойкий алгоритм AES-256.

При создании учетной записи пользователя предупреждают о том, что в случае потери пароля получить доступ к данным на удаленном сервере будет невозможно. Никаких способов для восстановления пароля не предусмотрено, поскольку пароль не хранится нигде: ни в установленном приложении, ни на серверах сервиса.

А для пользователей, потерявших пароль, разработчики Tresorit предлагают единственное решение — зарегистрироваться заново.

За повышенную безопасность придется заплатить отказом от некоторых привычных функций. Например, вы не сможете получить доступ к своим файлам с чужого компьютера — веб-интерфейса у Tresorit нет.

Пока что разработчики даже не обещают такой возможности, объясняя это тем, что в JavaScript множество уязвимостей.

Впрочем, с учетом возможности установки приложения Tresorit на мобильных устройствах, этот недостаток не кажется таким уж серьезным — в конце концов, если нет возможности всюду носить за собой ноутбук, то смартфон уж точно почти всегда при пользователе.

В настоящее время Tresorit предлагает клиенты для Windows, Mac и Android, обещая в скором времени расширить список поддерживаемых платформ за счет iOS, Windows Phone и Linux. Бесплатно каждому пользователю предоставляется до 5 Гбайт места.

Можно синхронизировать содержимое любой папки на диске (создавать отдельную директорию, как в Dropbox, не требуется). Список подключенных к сервису папок отображается в главном окне клиента.

Для каждой можно просмотреть размер, временно отключить синхронизацию, удалить директорию с устройства, удалить содержимое папки из облака, поделиться ее содержимым с другими людьми.

Для обмена файлами используются приглашения, рассылаемые по почте. Настраивая общий доступ, можно назначать людям разные роли: одни могут только просматривать файлы, другие — вносить в них изменения и добавлять в папки новые файлы, третьи — плюс к этому еще и приглашать новых пользователей.

⇡#MEGA — безопасные 50 Гбайт в облаке с синхронизацией

До недавнего времени новое детище Кима Доткома вряд ли могло рассматриваться как альтернатива привычным сервисам для удаленного хранения файлов. Дело в том, что единственным способом загрузки файлов в него было перетаскивание их в окно браузера. Соответственно, ни об автоматической загрузке, ни о синхронизации речи не было.

Но с выходом приложения для Android, а также бета-версии клиента для Windows у сервиса появились эти две важнейшие возможности.

О самом сервисе и о принципах безопасности, на основе которых он создан, мы уже подробно писали в материале «Mega-возвращение Кима Доткома: 50 Гбайт в облаке бесплатно», поэтому остановимся лишь на основных моментах. Итак, MEGA был создан как ответ на закрытие Megaupload американскими властями.

Серверы, на которых хранятся пользовательские данные, расположены в Новой Зеландии. Все файлы шифруются на стороне пользователя, то есть перед отправкой на сервис, благодаря чему получить доступ к ним без знания пароля невозможно.

В отличие от Tresorit, MEGA работает в браузере и дает возможность пользователям просматривать списки файлов, удалять и перемещать их, но онлайн-просмотр недоступен, так как они зашифрованы. Для просмотра файл нужно предварительно скачать на диск.

Для шифрования используется 2048-разрядный ключ RSA, а забытый пароль восстановить невозможно, поскольку он одновременно является и ключом шифрования.

Поначалу у пользователей не было даже возможности поменять пароль, введенный при регистрации, но теперь такая возможность появилась.

Более того, если пользователь уже вошел в свою учетную запись MEGA в браузере, но не помнит текущий пароль, он может его сменить, введя новый и затем перейдя по подтверждающей ссылке в письме, которое отправляется на привязанный к аккаунту адрес электронной почты.

Клиент MEGASync дает возможность синхронизировать содержимое любых папок на диске с виртуальными папками, имеющимися в учетной записи Mega. Прямо при первоначальной настройке можно выбрать, какие папки куда нужно бекапить.

Позже в настройках приложения можно добавить дополнительные папки. Настройки клиента также дают возможность просматривать информацию о свободном месте (напомним, Mega предлагает целых 50 Гбайт бесплатно), ограничивать скорость загрузки, использовать прокси.

Клиент MEGA для Android позволяет не только скачивать файлы, хранящиеся на сервере, но и автоматически загружать на сервис все фотографии и видеофайлы, сделанные камерой устройства. Также в клиенте доступны все основные операции по работе с файлами: удаление, перемещение, создание ссылок на файлы для обмена с другими людьми, поиск.

⇡#Заключение

Наличие на компьютере файлов, о содержании которых не стоит знать никому постороннему, — это еще не повод отказываться от использования сервисов для удаленного хранения данных.

Просто нужно позаботиться о конфиденциальности, установив ПО для обеспечения дополнительной защиты или же отдав предпочтение одному из сервисов с шифрованием на стороне пользователя. Наиболее привлекательным среди всех рассмотренных решений выглядит Mega.

Сервис предлагает очень большой объем дискового пространства бесплатно, обеспечивает шифрование файлов до загрузки на сервер без использования дополнительных утилит, а также дает возможность просматривать список файлов и управлять ими в браузере и с мобильного устройства на Android.

Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Источник: //3dnews.ru/767680

Безопасно ли облачное хранилище? Как защитить ваши данные

Безопасно ли хранить данные в облаке?

Похоже, что еще сохраняются определенные подозрения в отношении облачных хранилищ данных, особенно в отношении их безопасности. Распространено мнение, что взломать их не только легко, но и что Google (или тот облачный сервис, что вы используете) имеет полный доступ к вашим данным вместе с АНБ.

В этой статье будут рассмотрены некоторые из наиболее распространенных заблуждений об облачном хранилище, а также, к сожалению, подтверждены некоторые из ваших худших опасений.

Советы по безопасности облачного хранилища

Прежде всего, мы хотим дать вам несколько советов о том, как обеспечить безопасность при использовании облачного хранилища.

  • Прочитайте положения и условия выбранного вами облачного хранилища и убедитесь, что вы в курсе того, что оно из себя представляет.
  • Убедитесь, что ваши загрузки и выгрузки информации зашифрованы, и, если это вообще возможно, используйте службу, которая способна хранить ваши данные в зашифрованном виде, а также ограничивает количество людей, которые могут получить к ним доступ.
  • Инструменты предварительного шифрования, такие как Boxcryptor и Spideroak, позволяют шифровать данные до того, как они попадут в облачный сервис. Это отличная идея, и к ней стоит прислушаться.
  • Не проводите выгрузку чего-либо, чтобы не впасть в уныние, если такие данные попадут в руки к кому-то постороннему, будь то сотрудник вашего поставщика услуг, рекламодатели или государственные органы.
  • Защитите ваш канал Wi-Fi паролем и не загружайте контент в общественных местах, например, в библиотеке или кафе.
  • Не выгружайте в облачный сервис ничего противозаконного или чересчур личного: эротические фото, медицинские записи и финансовая информация явно запрещены.
  • Обзаведитесь надежным паролем и никому не сообщайте о нем. Будет еще лучше для вас, если вы будете использовать менеджер паролей.
  • Используйте нескольких облачных сервисов для дополнительного уровня резервирования и резервного копирования всего, что находится за пределами облачного хранилища.
  • Продумайте предполагаемые варианты событий (отключение учетной записи, кража ноутбука, зависшие серверы) и составьте план ваших действий на подобные случаи.
  • Не думайте, что облачный сервис будет надежным всегда, и вы вряд ли будете обрадованы, если в один прекрасный момент вы лично в этом убедитесь.
  • Прежде чем начать, попробуйте выбрать сервис с хорошей репутацией в сфере безопасности.

Тщательно продумайте ваши варианты при выборе поставщика услуг хранения.

Вам понадобятся резервные копии для резервного копирования в облаке

Одним из менее обсуждаемых вопросов является постоянство ваших данных.

Например, если что-то случится с вашим облачным провайдером, что тогда будет с вашими данными? Когда MegaUpload отключился некоторое время назад, огромное количество хранящейся в нем информации просто исчезло в никуда.

Помните, что большинство основных служб не гарантируют постоянную доступность или целостность загруженного контента, поэтому вам следует определить, насколько ценны для вас ваши данные, прежде чем вы выгрузите их в облачное хранилище.

Вы должны знать, что произойдет, если вы потеряете доступ

Вы также захотите убедиться, что точно знаете, как может быть отключен ваш аккаунт, и что произойдет с вашими данными в таком случае. Скажем, у вас есть платная услуга, и вы пропустили платеж: вы будете просто заблокированы, пока не заплатите сумму долга, или ваши данные будут потеряны? Как долго сохраняются ваши данные, пока они не станут недоступными?

Никто не любит читать мелкий шрифт, но если вы планируете размещать важные документы или изображения в облаке, вам нужно быть уверенным, что вы знаете, что с ними происходит в случае, если что-то пойдет не так.

И, само собой разумеется, что вы захотите использовать облачный сервис как часть стратегии резервного копирования с несколькими точками хранения (так называемый «резерв»). Не загружайте данные только в облачное хранилище и не ждите, что они будут в безопасности.

Не исключено, что вам также захочется изучить свод законов страны или стран, в которых будут храниться ваши данные.

Узнайте, кто еще имеет доступ к вашим данным

Самый большой вопрос: у кого есть доступ к вашим данным? Возможно, вы зашифровали их во время выгрузки, и ваша учетная запись защищена очень надежным паролем, но что это значит, если АНБ, сотрудники облачного сервиса и каждый рекламодатель на планете обладают бесплатным доступом к вашим ценным данным? В 2013 году был принят Закон «О защите

и совместном использовании компьютерной секретной информации», который широко поддерживается в технологическом секторе, включая корпорацию Google.

Этот закон гласит, что компании, которые вы используете, могут контролировать ваш облачный контент с намерением «уведомить правительство», если они сталкиваются с чем-то подозрительным.

Это нелепое вторжение в личную жизнь, независимо от того, сформулировано оно с точки зрения «вопросов национальной безопасности», или нет.

Безопасность онлайн и безопасность наших персональных данных сейчас важнее, чем когда-либо!

Кажется очевидным, что любой, кто обладает здравым смыслом, вряд ли будет размещать свою глобальную стратегию доминирования в облачном сервисе, поэтому этот акт на самом деле просто предоставляет компаниям карт-бланш для отслеживания ваших данных и, скорее всего, использует это для показа вам таргетированной рекламы, или, (что еще хуже), для сбора вашей информации и продажи ее рекламодателям.

Убедитесь, что ваши данные зашифрованы на каждом этапе

Следующий пункт касается шифрования: происходит ли шифрование ваши данных при загрузке и выгрузке, и зашифрованы ли они во время размещения в облачном сервисе? Если вы не хотите читать условия предоставления услуг, вы можете просто выполнить тестовую выгрузку вашего контента и посмотреть, начинается ли ваш URL-адрес с https или в вашей адресной строке появляется значок замка. Кроме того, вы захотите узнать, у кого есть доступ к ключам шифрования и какие меры безопасности применяются вашими службами.

Будь то полный диск или файл, шифрование обеспечивает безопасность ваших данных.

Вы, вероятно, уже слышали о том, что АНБ было «нивелировано» Gmail, когда это агентство национальной безопасности «прыгало» между серверами Google и центрами обработки данных, так как данные Gmail подвергались шифрованию во время отправки.

Если ваш облачный сервис еще не делает шифрование во время загрузки и выгрузки информации, вам нужно либо найти такой сервис, который его выполняет, либо использовать стороннее приложение для выполнения этой работы.

Вы должны знать, все ли данные зашифрованы, или только определенные виды файлов.

Сравните поставщиков облачных хранилищ, прежде чем выбрать одного

При выборе решения для облачного хранилища проведите несколько сравнений. Вам не нужно быть профессионалом, чтобы выяснить, что лучше, просто посмотрите на общие стандарты и определите лучший вариант. Например, 256-битное шифрование явно надежнее, чем 128-битное.

Кроме того, вы можете проверить один из многочисленных обзоров лучших доступных облачных сервисов. В частности, вы можете взглянуть на один из них, который обрабатывается фирмой по ценным бумагам или агентством по выбору потребителей.

Узнайте, хранит ли сервис несколько копий ваших данных в случае сбоев сервера или стихийных бедствий.

Двухэтапная аутентификация также является хорошим началом, и предоставление пользователю главного ключа намного безопаснее, чем ваш поставщик услуг, поскольку он может быть легко вызван в суд правительством.

Ситуация такова, что облачное хранилище действительно не менее безопасно, чем любой другой интернет-контент.

Поэтому выполните несколько простых шагов, чтобы сделать правильный выбор при выборе провайдера, контента, который вы хотите выгрузить, вашего пароля,  количества ваших резервных копий.

Также не забудьте взять на себя некоторую личную ответственность, предварительно зашифровав ваши данные перед выгрузкой в облачное хранилище.

Источник: //DoitDroid.com/bezopasno-li-oblachnoe-xranilishhe/

Большая ошибка, или как точно не стоит хранить пароли

Безопасно ли хранить данные в облаке?

В рамках этого раздела у нас будет блок статей, посвященных различным способам хранения паролей, их плюсам и минусам. В зависимости от степени безопасности способа мы будем рекомендовать его вам в той или иной мере, но есть один способ, который мы вам настоятельно рекомендуем не использовать… но сначала небольшая история из моей жизни.

Один мой хороший приятель подозревал свою вторую половинку в неверности и, зная, что я неплохо понимаю в инструментах для тайного контроля за компьютером, попросил поставить на ее Mac какой-нибудь легальный ратник (от слова RAT-Remote Access Toolkit — средство удалённого управления).

Я отказался ставить на компьютер инструменты для кибершпионажа, однако сказал, что смогу посмотреть информацию, если она даст свой iPhone или Mac. Уже на следующий день он заехал ко мне с ее новеньким iPhone 8.

Мне никогда не казалась его подруга очень умной, однако историю браузера она удалила, как и приложения для обмена сообщениями. Единственное, чего она не знала, это что удаления истории недостаточно, и через минуту мой приятель не только получил список сайтов знакомств, на которых сидела подруга, но и связки логин/пароль к ним.

Как? Если вы пользуетесь техникой Apple с настройками по умолчанию, то все ваши пароли сохраняются в iCloud и, зная пароль, их можно посмотреть с любого вашего устройства.

Например, на своем iPhone или iPad зайдите в Настройки > Учетные записи и пароли > Пароли программ и сайтов. При нажатии на любую запись вы можете увидеть сохраненный пароль в открытом виде.

Подобные системы есть у Android, Windows, многих браузеров, менеджеров паролей, и если вы их не отключили, у меня для вас есть плохие новости.

Ваши пароли хранятся у третьих лиц в облаке. Передавать свои пароли третьим лицам весьма неразумный шаг, но для объективности предлагаю начать с плюсов данного способа хранения паролей.

Просто и удобно

Это действительно удобно. Например, в случае с iCloud вы сохраняете пароль на своем Mac, затем, заходя на этот же сайт со своего iPhone или iPad, без проблем авторизуетесь. При смене компьютера достаточно лишь авторизоваться в учетной записи iCloud – и все пароли снова с вами.

При утере устройства вы не теряете пароли

Если у вас украдут ноутбук или телефон, вам не составит труда восстановить утерянные с ними пароли, и это безусловно плюс. Все, что вам будет нужно, ‒ авторизоваться на новом устройстве.

Это безопасно

Но только в том случае, если пароли шифруются на уровне вашего устройства и расшифровать их можно только с помощью ключа (пароля), который хранится исключительно у вас.

Но в этом случае при утрате пароля (мастер-пароля, как его часто называют) вы потеряете доступ ко всем паролям. Если возможность восстановить утерянный пароль есть, например с помощью ссылки, присланной на электронную почту, значит, сервис всегда может получить доступ к вашим данным, и ни о какой безопасности речи идти не может.

Больше плюсов у данного способа я не нашел, в отличие от минусов, которых достаточно много.

Минусы хранения паролей в облаке

Говоря о минусах, не могу не отметить, что само по себе облачное хранение может сильно отличаться. Например, если в облаке хранится только зашифрованный файл с ключами для синхронизации между устройствами – это одно.

В данном случае сервис участвует больше в синхронизации данных, которые хранятся на вашем устройстве, у него также есть ваши IP-адреса, но к вашим паролям получить доступ он не может, даже его закрытие не приведет к существенным проблемам.

Другое дело, когда у владельца сервиса хранятся ваши пароли. Таким образом работают iCloud, LastPass и многие другие сервисы, и вот именно этот способ хранения паролей несет в себе массу рисков и угроз, о которых мы расскажем ниже.

Приведенные ниже минусы относятся не ко всем сервисам облачного хранения паролей.

Владелец облака имеет доступ к вашим данным

Даже если он убеждает, что хранит их в зашифрованном виде и у сотрудников компании нет доступа к пользовательским данным, пути получить их у сервиса всегда есть, и как минимум у него есть ваши IP-адреса.

Бывший «Король спама», создатель ботнет-сети Kelihos Петр Левашов, нынче экстрадированный в США, был арестован в Барселоне по запросу американских властей. Естественно, Левашов был большим профессионалом и заботился о своей анонимности, однако и великие хакеры иногда теряют концентрацию и допускают ошибки…

Для Левашова такой ошибкой стал облачный сервис от компании Apple iCloud. Правоохранительные органы длительное время следили за его аккаунтом iCloud, благодаря IP-адресам подключений получали данные о его местонахождении. А Apple охотно, и главное тайно, передавала данные правоохранительным органам.

Безусловно, компания Apple действовала в рамках закона, я их не осуждаю, а лишь указываю на возможность, о которой вам точно стоит знать.

Сохраняя пароли в облаке, вы передаете их в третьи руки. Ваши пароли, логины или как минимум список используемых сайтов могут быть выданы третьей стороне, ваш IP-адрес может логгироваться при каждом обращении к облаку.

Вы зависите от компании, которая хранит ваши пароли

Еще один минус заключается в вашей зависимости от сервиса: если компания потеряет ваши данные, вы тоже рискуете потерять их. Можно, конечно, делать резервные копии, но много ли кто делает резервные данные паролей, хранимых в облаке?

Большинство паролей вы, конечно, сможете восстановить через восстановление пароля в сервисах, но часть данных может быть утеряна безвозвратно. Особенно опасно хранить таким образом пароли к зашифрованной информации, где не будет возможности восстановить их в случае утери.

И хотя автору не известно примеров утери данных облачными сервисами хранения паролей, такой риск исключать нельзя, особенно, если вы используете услуги небольшой компании.

Мне известны истории хостингов, которые теряли данные своих клиентов, например, популярный британский хостинг 123-reg в один из дней случайно удалил все виртуальные сервера клиентов… и все клиенты, не имеющие резервных копий, оказались в незавидном положении, потеряв сайты и все хранимые там данные.

Помимо полной утери сервис может быть просто временно недоступен, и вы не сможете получить к нему доступ в необходимый момент.

Даже если вы решите хранить пароли в облаке, делайте резервную копию.

Компании могут продавать информацию о вас

Нередко компании, предлагающие услуги облачного хранения паролей, занимаются сбором статистики о посещаемых пользователями сайтах для дальнейшей продажи.

Особенно опасны бесплатные продукты, не имеющие ясной модели монетизации, иными словами, не понятно, на чем зарабатывают владельцы.

Владельцы таких сервисов знают ваш email, какие сайты и как часто вы посещаете, по IP-адресу и языкам сайтов могут предположить ваш регион – это достаточно ценная информация, которую можно успешно продавать.

Самое неприятное, что владельцы облачных сервисов хранения паролей, синхронизированных с браузером, могут не только узнать список посещенных вами сайтов, но и конкретные страницы: узнать ваши профили в социальных сетях и получить данные, какие видео вы смотрели или какие запросы вводили в поисковой системе.

Сложно поверить? Может быть, автор курса погряз в собственной паранойе и все не так плохо? Давайте возьмем для аналогии пример VPN: многие VPN-сервисы собирают и продают информацию о пользователях, приходящих к ним за приватностью, и это мы знаем точно.

Данные пользователей собирали и продавали такие крупные сервисы, как Opera VPN, Hotspot Shield и Hola, никак это не афишируя.

В итоге, правда, Opera VPN закрылся, против Hola выступило интернет-сообщество, и репутация сервиса была уничтожена, а Hotspot Shield получил массовый судебный иск.

Сервисы облачного хранения паролей могут собирать информацию о вас для дальнейшей ее продажи.

Утечка данных

Данные третьим лицам необязательно могут передаваться на законных основаниях. Иногда компании могут быть взломаны, а данные похищены хакерами, часто работающими на какое-либо правительство.

И хорошо, если компания поступит честно, как поступил менеджер паролей LastPass, предупредив пользователей о возможной утечке и рекомендовав сменить мастер-пароль, но чаще бывает, как в случае с Yahoo, когда миллиарды аккаунтов оказались в руках хакеров, а руководство молчало.

Молчало, потому что последствия такого взлома могут стоить слишком дорого. Yahoo не стала исключением, сильно потеряв в цене в результате этой истории. Компаниям невыгодно рассказывать об утечках данных пользователям, хотя последнее европейское законодательство строго обязывает их делать это.

Фишинговые атаки

Хакеры регулярно придумывают различные инструменты для фишинговых атак на находящиеся в облаке данные. Ежегодно разлетаются новости о массовых фишинговых атаках на тот же iCloud, облачные сервисы Google; не стоит недооценивать эти угрозы, профессиональные фишинговые атаки даже профессионалы отличают с трудом.

К сожалению, многие считают, что фишинговая атака – это сообщение из серии «ваш аккаунт заблокирован, если вы не перейдете по этой ссылке, он будет удален». Это и правда фишинг, хотя и очень примитивного уровня, ориентированный, как правило, на массовость. Но бывает и другой фишинг, когда подмену можно обнаружить только при пристальном изучении.

Особо стоит отметить атаку LostPass на менеджер паролей LastPass. Это очень эффективная фишинговая атака, распознать которую простому пользователю было почти нереально. О ней много написано в интернете, вы можете подробнее с ней ознакомиться и оценить, как не просто было жертве.

При этом в результате удачной фишинговой атаки с высокой долей вероятности у злоумышленника на руках будут логины и пароли ото всех ваших сервисов. Конечно, при наличии на сайтах двойной аутентификации связки логин и пароль не достаточно, но во всех остальных сервисах злоумышленник сможет авторизоваться.

Завершая материал, еще раз хочу отметить, что сервисы облачного хранения сильно различаются и описанные выше минусы могут относиться к одним из них и не относиться к другим.

Источник: //book.cyberyozh.com/ru/bolshaya-oshibka-ili-kak-tochno-ne-stoit-hranit-paroli/

Я президент
Добавить комментарий