«Хмари» в тумані: чим небезпечні хмарні сервіси

Перша тиждень вересня ознаменувався епічність новиною про витік особистих фото- і відеоматеріалів знаменитостей , В тому числі голлівудської зірки Дженніфер Лоуренс і деяких інших. Незважаючи на те що джерел конфіденційних даних було кілька, найбільше дісталося компанії Apple, її хмарного сховища і сервісу Find My iPhone. Перша тиждень вересня ознаменувався епічність   новиною про витік особистих фото- і відеоматеріалів знаменитостей   , В тому числі голлівудської зірки Дженніфер Лоуренс і деяких інших

Після скандалу, зрозуміло, пішли всілякі чутки про зломи iCloud, міркування про недосконалість систем захисту і нескінченні суперечки про те, хто і як примудрився зібрати значну базу чужих фоток. Ми ж хочемо торкнутися іншої, не настільки очевидною проблеми: більшість користувачів поняття не мають про те, що їх дані зберігаються не тільки в їх смартфонах і планшетах, але і в так званому «хмарі», а ті, хто все-таки про це знає , як правило, не дуже добре собі уявляють, що з цими даними там відбувається, яким чином вони захищені і хто має до них доступ.

Якщо задуматися, то настільки гнітюча ситуація в деякій мірі зобов'язана своїм існуванням самим компаніям, що надають хмарні сервіси. Google, Facebook, Apple, Microsoft та інші гіганти настільки ж активно розвивають свої cloud-продукти, як часто доповнюють і змінюють умови їх використання, нерозуміння або навіть незнання яких дуже часто стає причиною багатьох проблем. І біда не в тому, що хтось недостатньо грамотний для розуміння принципів роботи хмарних сховищ, а в тому, що наздогнати постійно змінюваними нюансами їх функціонування часто досить важко, якщо взагалі можливо.

Кілька років тому, коли Apple тільки-тільки запустила підтримку iCloud на всіх пристроях, один з моїх колег став жертвою цього феномена, взявши участь в листуванні з приятелем:
Приятель: Ну що, де сьогодні зустрічаємося?
Колега: Без різниці. Головне - щоб ближче, а за барною стійкою була як мінімум одна горяченькая барменша.

Те, що за хмарний сервіс стягується плата, зовсім не означає, що він буде захищений краще, ніж безкоштовний аналог

Досить безневинно ... було до тих пір, поки iCloud не розв'язав синхронізувати всі повідомлення iMessage між усіма девайсами колеги. Таким чином його листування прилетіла на iPad, який на той момент був у руках його сина, який, в свою чергу, тут же пішов до мами продемонструвати незрозуміло звідки з'явилося повідомлення. Що було далі, здогадатися неважко.

З тих пір Apple, як відомо, злегка підкоригувала принцип синхронізації, а особливо просунуті батьки відповідним чином налаштували віддані своїм дітям пристрою, але проблему це навряд чи вирішило: далеко не всі мають чітке уявлення про те, де саме знаходяться їх дані, хто має до них доступ і яким чином вони захищені.

До речі, про захист хмарних сховищ (особливо тих, які націлені на звичайних користувачів): в ряді випадків механізм авторизації в таких сервісах надійний лише умовно і дуже часто зламуються за допомогою примітивних методів на кшталт соціальної інженерії або на худий кінець нескладних програм і скриптів, які не потребують навіть мінімальних знань в предметній області. Положення злегка виправляє двухфакторная аутентифікація , Але саме що злегка: по-перше, вона є не скрізь, а по-друге, у неї теж є серйозні недоліки, сильно обмежують коло тих, хто цією функцією користується.

Крім того, як я вже сказав вище, користувачі й гадки не мають, у кого насправді є доступ до їх даними, тому що ніхто (підкреслюю: ніхто!) Не читає угоди про використання - довгі документи, які ми змушені «підписувати», якщо хочемо отримати доступ до тієї чи іншої інтернет-сервісу або ПО. Ті ж, хто хоч якось розібрався в цьому питанні (і жахнувся), змушені страждати від іншої проблеми, що полягає в складності управління всім тим добром, що виявилося в «хмарах» . Хтось зараз, звичайно, скаже, що це ціна, яку ми змушені платити за безкоштовність сервісів. Цей аргумент давно став притчею во язицех, і він, безумовно, в якійсь мірі справедливий. Тільки от біда в тому, що факт справляння плати за подібні сервіси або відмова від їх безкоштовних версій зовсім не означає позбавлення від вищеописаних проблем.

Те, що було просунутої атакою вчора, сьогодні може стати буденною справою

Взяти, наприклад, численні онлайн-сервіси, що дозволяють збільшити свою продуктивність: поштові сервіси, планувальники, таск-менеджери, системи управління замовленнями, клієнтами і так далі. Якщо ви не використовуєте подібні речі, значить, ви, швидше за все, будете відставати від конкурентів, які виявилися більш прихильні до інновацій. Так що ви або граєте за тими ж правилами, що і всі, або миттю опиняєтеся аутсайдером.

Але ось біда: все подібні сучасні сервіси нерозривно пов'язані з Інтернетом і тими «хмарами», за допомогою яких відбувається створення, передача і зберігання даних. Технічно ці «хмари» є всього лише купу серверів, розташованих в якомусь Купертіно або, що більш імовірно, в місці з більш скромною орендною платою за приміщення. Тобто вони знаходяться в конкретному місці на цілком конкретних фізичних носіях. І ось тут виникає маса питань: а що відбувається з цими даними? Вони ким-небудь індексуються? У кого є доступ до них? Чи може, скажімо, якась державна структура отримати ці дані? А конкуренти можуть? Ось чому аргументи типу «тим, кому нема чого приховувати, годі й боятися» не витримують ніякої критики: тому що тих, «кому нема чого приховувати», просто не існує. Крім того, приховувати щось - це поки що не обов'язково злочин.

Проблема тим часом стає все більше і ширше, все сильніше впливаючи на особисте життя кожного з нас. Куди відправляються дані з вашого фітнес-трекера? Ви знаєте, у кого є доступ до них? Чи можете ви бути впевнені в тому, що одного разу ці дані не вплинуть на вартість вашої медстраховки?

Apple і інші компанії заробляють величезні гроші на своїх хмарних сервісах і при цьому причинами витоку фотографій знаменитостей називають просунуті цільові атаки. Окей, не питання, тільки ось те, що було «просунутим» вчора, може стати повсякденним вже до того моменту, як ви дочитаєте цей пост. Пора визнати, що ми всі маємо великі проблеми і з цим треба щось робити. Як мінімум не ігнорувати необхідність надійного захисту на своїх пристроях і не забувати про те, що цей захист працює особливо ефективно в зв'язці з вашої пильністю і освіченістю .

І ось тут виникає маса питань: а що відбувається з цими даними?
Вони ким-небудь індексуються?
У кого є доступ до них?
Чи може, скажімо, якась державна структура отримати ці дані?
А конкуренти можуть?
Куди відправляються дані з вашого фітнес-трекера?
Ви знаєте, у кого є доступ до них?
Чи можете ви бути впевнені в тому, що одного разу ці дані не вплинуть на вартість вашої медстраховки?