Проблемы облачной безопасности
.docxПроблемы облачной безопасности
Время, когда вы храните все ваши документы, фотографии и музыку на компьютере и жестком диске постепенно подходит к концу. Сегодня, облачные хранилища помогают решить задачу увеличения места для хранения всей вашей цифровой собственности. Но в безопасности ли ваши личные данные в Интернете?
Взлом сервиса облачного хранения файлов Dropbox
Слайд1
Dropbox — облачное хранилище данных, принадлежащее компании Dropbox Inc., позволяющее пользователям хранить свои данные на серверах в облаке и делиться ими с другими пользователями в Интернете. Работа построена на синхронизации данных
Слайд 3
Неизвестные лица опубликовали на сайте Pastebin таблицу, содержащую около 400 логинов и паролей от учетных записей пользователей. Злоумышленники сообщили, что в их распоряжении имеется база из около 7 миллионов взломанных аккаунтов, за публикацию которых они требуют перевести на кошелек вознаграждение в виде электронной валюты Bitcoin.
Первый файл с аккаунтами и паролями опубликован меньше суток назад. Вскоре за ним последовало продолжение, а несколько часов назад опубликована третью часть. Можно предположить, что этим дело не ограничится. Хотя, такими темпами публикация 7 млн аккаунтов растянется на несколько месяцев.
Слайд 4
Представители Dropbox официально заявили, что их сервис не был взломан, а данные скомпрометированных аккаунтов попали в руки хакеров по вине сторонних сервисов, которые требуют пароль от хранилища для синхронизации. Обвинив в утечке данных «третьи лица», Dropbox уверили пользователей, что опубликованные данные уже неактуальны.
Тем не менее пользователи форума Reddit, где изначально появилась информация об украденных паролях, утверждают, что раскрытые аккаунты «облака» – вполне рабочие.
Файл с логинами и паролями от аккаунтов Dropbox был опубликован на Pastebin в ночь на 14 октября.
13 октября, за день до появления информации о взломе, пользователи Dropbox стали получать по почте уведомления о сбое, произошедшем в функции синхронизации файлов. Из-за обнаруженного в сервисе бага, из некоторых аккаунтов без ведома их владельцев оказалась удалена часть хранившихся там файлов.
Взлом Icloud
В начале сентября 2014 года появились сообщения о том, что в Интернете выложены обнаженные фотографии модели Кейт Аптон, ряда актрис, в том числе Мэри Уинстед, и обладательницы «Оскара» Дженнифер Лоуренс. Похоже, что некоторые фотографии оказались подлинными. Другие, вероятно, нет
Представители ФБР и Apple заявили, что, судя по всему, злоумышленниками были взломаны учетные записи iCloud. Владельцы устройств Apple используют этот облачный сервис для хранения фотографий, музыки и видео.
Одним
из самых громких событий сентября стал,
конечно же, взлом облачного хранилища
Apple iCloud и массовая публикация фото
знаменитостей в самом что ни на есть
откровенном виде. Компания Apple заявила,
что это был прицельный взлом отдельных
аккаунтов, а не всего сервиса в целом.
Хотя в реальности это на вполне так.
Причиной попадания в интернет обнаженных фотографий голливудских знаменитостей могла стать брешь в системе Find My iPhone или взлом облачного хранилища файлов iCloud, где находятся личные файлы владельцев гаджетов Apple. Сервис Find My iPhone отслеживает перемещение телефона и позволяет удаленно управлять им, однако у него нет защиты от Brute Force – метода подбора пароля к аккаунту пользователя. Чтобы взломать телефон оказалось необходимым всего лишь знать адрес электронной почты его владельца. Жертвами такой уязвимости стали такие известные красавицы как Дженнифер Лоуренс, Ариана Гранде, Кирстен Данст, Селена Гомес, Аврил Лавин и еще более полусотни знаменитостей. Стоит отметить, что в сети появилась «обнаженка» именно звезд женского пола. То ли взломщики оказались мужчинами, неравнодушными к прекрасному, то ли звезды сильного пола не любят делать интимных «самострелов».
Убытки
Акции Apple упали в цене более чем на 4% на торгах в среду на фоне слухов о взломе облачного сервиса iCloud, результатом которого стало распространение интимных фотографий американских знаменитостей.
Компания Apple признала, что конфиденциальная информация похищена с аккаунтов iCloud, но отказалась признать наличие уязвимости в облачном сервисе, сославшись на «таргетированную атаку». Тем не менее, сразу после скандала с «обнажёнными знаменитостями» компания поспешила закрыть известную уязвимость с брутфорсом паролей iCloud, которая использовалась, в частности, для подбора паролей программой iBrute. Эта утилита, по несчастливой случайности, была опубликована в онлайне за день до публикации фотографий знаменитостей.
Следует отметить следующие важные моменты безопасности:
Пароли могут быть взломаны. выбирайте пароль, который трудно взломать с dictionary attacks, а также регулярно меняйте свой пароль, чтобы уменьшить риск взлома от brute force attacks.
Данные могут быть захвачены в пути (en route.). К счастью, большинство сервисов хранения шифруют данные, пока они путешествуют туда и обратно, что делает невозможным их чтение, даже если кто-то захватывает файл. Если ваше облачное хранилище работает через веб-приложение, вы должны увидеть "HTTPS" вместо "HTTP" перед URL в адресной строке браузера. Это дополнительный "S" указывает на форму с использованием безопасного протокола HTTP. Если у вас есть отдельное приложение облачного хранения установленных на вашем компьютере, убедитесь в том, что приложение использует некоторый тип шифрования для обмена информацией в Интернете.
Люди становятся более опасными, чем компьютеры, когда дело доходит до взлома. Не сообщайте свой пароль никому, даже если кто-то якобы от технической поддержки просит вас его озвучить. Одной из самых больших угроз безопасности является социальная инженерия: создание доверия между хакером и конечным пользователем, что заставляет конечного пользователя с радостью передать личную информацию. Обратите внимание, что когда вы говорите с реальным специалистам технической поддержки, они требуют лишь минимальную идентифицирующую информацию от вас, и, скорее всего, не ваш пароль.
Хакеры обычно хотят получить больше информации с наименьшими усилиями. Это означает, что, чаще всего, они атакуют сердце облачного сервиса хранения, а не его отдельных пользователей. Таким образом, следует найти провайдера с хорошей историей сохранения счетов и данных своих клиентов в безопасности.
· Ваши данные не всегда недоступны для поиска и захвата местными органами власти. В США, например, от любой компании облачного хранения могут потребовать открыть данные своих клиентов для государственной проверки.
Не храните данные в облачных хранилищах
Никогда не стоит хранить важную информацию в облачных хранилищах, как бы разработчики не гарантировали сохранность и приватность. Лучший способ хранения это на флешке или внешнем жестком диске. Удаленно его не взломают и данные всегда будут на нем, его могут разве что украсть, но в любом случае это куда менее вероятно, чем взлом облачного хранилища хакерами
Угрозы хранения данных в облачных сервисах
Кража данных
Потеря данных
Кража аккаунтов / Взлом услуг
Незащищенные интерфейсы и API
DDoS-атаки
Шифрование данных в облачных хранилищах
Один из способов защитить свою информацию – шифровать её перед перемещением в облако. В этой статье я решил рассказать о трех популярных решениях шифрования данных, которые могут помочь вам контролировать собственные данные в облаке.
Способы
BoxCryptor – это, по сути, криптографический виртуальный жесткий диск, который шифрует данные с использованием стандарта AES-256.
Он зашифровывает отдельные файлы и не создает папки. Любой файл, скопированный на виртуальный диск Boxcryptor, будет автоматически зашифрован перед синхронизацией с облаком.
И этим облаком может быть Dropbox, SkyDrive или Google Drive (полный список поддерживаемых провайдеров облачных услуг можно посмотреть здесь).
Преимущества
Преимущество BoxCryptor заключается в поддержке многих облачных провайдеров и работе на всех популярных операционных системах, таких как: Windows, Mac, Linux и мобильных платформах – Android, iOS и Windows Phone. А также в шифровании данных «на лету» – файлы автоматически шифруются перед попаданием в облачное хранилище.
Еще один плюс в BoxCryptor – поддержка русского языка – управлять программой просто, а все функции понятны.
Недостатки
Минус BoxCryptor в том, что бесплатная версия позволяет пользоваться только одним устройством и дает доступ только для одного облачного провайдера. А обычная лицензия на год обойдется уже в 48 долларов.
Viivo
Viivo – это бесплатный сервис шифрования файлов для облачных хранилищ. Разработан компанией PKWARE, которая изобрела всеми любимый ZIP еще в далеком 1986 году.
Viivo очень прост в использовании, чтобы зашифровать файл достаточно клацнуть правой клавишей мыши по нему и выбрать из контекстного меню «Move to my Viivo folder».
ашифрованный файл переместится в ваше облачное хранилище в папку папка «Viivo-Encrypted». Расшифровывать файлы тоже просто – через контекстное меню. Каждый пользователь Viivo имеет закрытый ключ, зашифрованный с помощью алгоритма AES-256. Сам ключ генерируется из вашего пароля.
Преимущества
Преимущество этого решения заключается в поддержке популярных ОС (Mac, Windows, iOS и Android), а также в бесплатной персональной лицензии.
Недостатки
Минус Viivo в ограниченном количестве облачных провайдеров, с которыми программа работает. Viivo работает с: Dropbox, Goggle Drive, Box и SkyDrive.
Cloudfogger
Cloudfogger – это немецкая разработка, что сразу можно заметить при установке программы – все сделано просто и со вкусом. При первом использовании программа предлагает зарегистрировать аккаунт для работы с несколькими устройствами или обойтись без регистрации и использовать программу только на одном компьютере.
Преимущества
Плюс Cloudfogger заключается в поддержке шифрования данных «на лету» и возможности работы с несколькими устройствами. А главное преимущество в том, что он полностью бесплатен.
Недостатки
Минус Cloudfogger в ограниченном количестве облачных провайдеров, с которыми программа работает. Программа работает с: Dropbox, Goggle Drive и SkyDrive.