10/09/2014

Chmura jak za mgłą

Informacje

Kilka dni temu maniacy prywatności online dostali argument na to, że przechowywanie danych w chmurze nie jest bezpieczne – nastąpił wyciek danych z iClouda, wśród których znalazły się kompromitujące zdjęcia wielu czołowych celebrytów, takich jak Jennifer Lawrence, Kate Upton i innych.

Foggy-Perceptions-of-the-Cloud

Pewnie nie żyjesz życiem innych ludzi, więc nie będę marnował Twojego czasu i oszczędzę Ci szczegółów. Istotną kwestią tutaj nie jest to, czy iCloud (lub jakaś inna usługa Apple’a) został złamany, czy użyto luki w usłudze „znajdź-mój-iphone” albo jakie narzędzie zostało wykorzystane do wykonania tego podłego czynu.

Czasem nawet wersja premium może nie zmienić nic w kwestii bezpieczeństwa oraz prywatności.

Głównym problemem jest to, że większość użytkowników nie ma pojęcia, jakie dane znajdują się gdzieś tam, w chmurze. A wśród tych, których znam, prawie nikt nie wie, gdzie te dane aktualnie żyją, kto ma do nich dostęp oraz jak są w tym momencie chronione. Jeśli chodzi o prywatność w cyberprzestrzeni, mogę się spokojnie założyć co do poziomu świadomości Jennifer Lawrence i Kate Upton, ale chyba nawet ci najbardziej świadomi użytkownicy cyberprzestrzeni w tej sytuacji nie odstają od nich aż tak bardzo.

Mam tu na myśli wciąż zmieniające się usługi oferowane przez różnych gigantów technologicznych (Google, Facebook, Apple itd.), ich często zmieniające się polityki prywatności i ustawień. A do tego niekończący się cykl pojawiania się luk i uaktualnień bezpieczeństwa, które często spotykają się z niechęcią ze strony użytkowników i ich brakiem wiedzy, ale to inny temat. Chodzi o to, że zwyczajnie nie da się za tym nadążyć!

Kilka lat temu jeden z moich kolegów stał się ofiarą tego właśnie zjawiska. Rzecz działa się mniej więcej wtedy, gdy Apple po raz pierwszy udostępnił iCloud dla wszystkich urządzeń z iOS. Używając iMessage, mój kolega tak sobie pisał z jednym ze swoich przyjaciół:

Przyjaciel: Gdzie dziś pijemy?
Kolega: To nieistotne. Byle byłoby blisko, a w środku przynajmniej jedna gorąca barmanka.

Konkret, prawda? Tym bardziej, że dokładnie tego samego dnia iCloud zsynchronizował wszystkie dane iMessage na wszystkich jego urządzeniach. Pewnie można sobie wyobrazić, jak to może się skończyć. W każdym razie tekst mojego kolegi trafił na iPada jego syna, a ten zaniósł go do mamy. Cóż, chyba nie muszę pisać, co było dalej.

Aby było jasne: w międzyczasie Apple naprawił tę małą wadę. Większość obeznanych z technologią rodziców poszła po rozum do głowy i w odpowiedzi na różne niedociągnięcia w usługach założyła dzieciom oddzielne konta.

Pozostają pytania: Gdzie są dane? Kto ma do nich dostęp? Jak jest to zabezpieczone?

Zgodnie z zasadami bezpieczeństwa serwisów chmurowych (a w szczególności konsumenckich usług chmurowych): uwierzytelnianie nie jest wiarygodnie i może zostać zhakowane przy użyciu zwykłej socjotechniki lub całkowicie niezależnego narzędzia hakerskiego niewymagającego talentu technicznego; dwuetapowa weryfikacja jest dostępna, ale – szczerze – też szału nie robi (przede wszystkim z powodu swojej niewygody).

Poza tym użytkownicy nie mają pojęcia, co jest ich, a co nie, częściowo dlatego, że nikt, ale to nikt nie czyta treści umowy przeznaczonej dla użytkownika końcowego. A praktycznie niemożliwe (albo co najmniej trudno) jest kontrolować i zarządzać tym, co do należy (albo powinno należeć) do firm obsługujących chmury.

Teraz możesz powiedzieć „Taka jest właśnie cena darmówki” – i nie będziesz ani pierwszym, ani ostatnim, który tak to podsumuje.

Może to i jest uzasadniony argument, ale żyjemy w świecie, gdzie trudno uniknąć czegoś darmowego. Jednak w tym przypadku nawet wersja premium nie zmienia nic w kwestii bezpieczeństwa oraz prywatności.

Ostatecznie musisz zrozumieć, że ta mityczna chmura, do której ekstrawaganckie iPhony, Maki i iPady po cichu przesyłają Twoje dane, to tak naprawdę jakiś serwer w Cupertino w Kalifornii (albo – co bardziej prawdopodobne – tam, gdzie jest niższa wartość nieruchomości), a przecież same urządzenia są dalekie od darmówek.

Pomyśl przez chwilę o świecie narzędzi zwiększających produktywność. Jeśli masz małą firmę lub jesteś jej pracownikiem i ich nie używasz, wydajesz więcej niż musisz i tracisz więcej czasu niż trzeba. A zatem, brak możliwości użycia tych narzędzi wydajności stawia Cię w niekorzystnej sytuacji wobec konkurencji, która takie rozwiązania stosuje.

Jak wszystko, co wykorzystuje internet i komputery, narzędzia te tworzą, przesyłają, przechowują i przetwarzają dane, ale gdzie one są? To jest duży problem, jeśli masz firmę na przykład Europie. Czy dane są indeksowane? Kto ma do nich dostęp? Czy te informacje mogłyby być wykorzystywane przez, powiedzmy, jakiś rząd? Albo gorzej, konkurencję? To pokazuje, dlaczego głupio jest mówić, że ci, którzy nie mają nic do ukrycia, nie mają się czego obawiać, bo takich ludzi po prostu nie ma. Ukryty to nie to samo co przestępczy.

To już są duże problemy, a będą jeszcze większe. Powyższą alegorię małego biznesu można zastosować do Twojego życia osobistego: gdzie trafiają dane z tych wszystkich darmowych aplikacji zdrowotnych? Kto może je zobaczyć? Kiedy zaczną decydować o wysokości kwoty, jaką płacisz za opiekę medyczną? Klienci i firmy powinny wykazywać się większą świadomością odnośnie takich zagadnień.

Reakcja nie polega na udawaniu oburzenia. Apple i inni robią kupę forsy na usługach, które polegają na takich właśnie niedomówieniach. Okej, Apple, może był to zaawansowany atak ukierunkowany na celebrytów, jak poinformowaliście w swoim oświadczeniu. Jednak to, co jest zaawansowane teraz, stanie się powszechne, zanim skończysz czytać ten artykuł. Wszyscy jesteśmy w tarapatach i powinniśmy się do tego przyznać.

W Kaspersky Lab jesteśmy świadomi tych problemów. Myślimy o nich. I wiemy o tym, że chociaż nasz główny produkt ochrony punktów końcowych może zredukować część ryzyka, to nie jest to cała odpowiedź. Mamy robotę do zrobienia i nie zamierzamy spocząć na laurach.