Jak zabezpieczyć swoje dane w chmurze?
Dane przechowywane w chmurze są zwykle zabezpieczone loginem i hasłem. To nie gwarantuje wysokiego poziomu bezpieczeństwa. Eksperci zalecają szyfrowanie danych, ale to też nie jest całkiem pewna metoda. Nawet jeśli szyfrowanie jest tak skuteczne, że włamanie jest praktycznie niemożliwe, to należy pamiętać, że… usługodawca jest w posiadaniu klucza. Co w takim razie zapewnia maksymalny poziom bezpieczeństwa danych? Posiadania klucza prywatnego.
Narzędzia do szyfrowanej komunikacji, szyfrowania zasobów stają się coraz bardziej popularne. Wynika to z faktu rosnącej świadomości dotyczącej cyberzagrożeń, wzrostu ich ilości, wielu przykładów wycieków czy kradzieży danych, włączając najnowsze generacje ransomware. Coraz więcej osób zdaje sobie sprawę, że aby poczuć się bezpiecznym warto szyfrować swoje cenne dane, przesyłać je w sposób bezpieczny, przechowywać je w sposób uniemożliwiający odczyt przez osoby niepowołane, hackerów, konkurencję, wywiad gospodarczy, służby specjalne innych państw.
Kwestie związane z bezpieczeństwem w Internecie są coraz bardziej popularne i nic dziwnego. Niedawno poruszaliśmy temat zagrożeń typu FakeAdBlockker. W artykule pt. „Uważaj na Android/FakeAdBlocker!” opisywaliśmy mechanizm scareware, którego zadaniem jest nakłonienie do pożądanego zachowania i radziliśmy, jak w prosty sposób unikać takiego zagrożenia. Z kolei w artykule pt. „Kupujesz w Amazonie? Uważaj na te rodzaje oszustw” opisywaliśmy, z jakiego typu zagrożeniami można mieć do czynienia na tej coraz bardziej popularnej platformie handlu detalicznego. Osobny artykuł poświęciliśmy też zagadnieniom bezpieczeństwa związanym z bankowością (Bankowość internetowa – jak dbać o bezpieczeństwo?)
Najciemniej pod latarnią
Dziś chcemy zwrócić uwagę na całkiem na potencjalne zagrożenia z zupełnie innej strony. Wspomniany FakeAdBlocker czy możliwe oszustwa na Amazonie to zagrożenia, które „najstarsi górale” nazwaliby przypadkiem złego psa, do którego jeśli się nie podejdzie, to nie ugryzie. Czyli jeśli nie klikniesz w nieznany link, to nic ci nie grozi. Ale co w przypadku, jeśli zagrożone są dane, które są – świadomie lub nie – przechowywane w chmurze? Znajduje się tam przecież coraz więcej danych, tak służbowych, jak prywatnych. Stajemy się coraz bardziej czujni na zagrożenia płynąc z zewnątrz, ale jednocześnie nie zawsze pamiętamy, że w chmurze znajdując się coraz częściej kopie naszych danych.
W sferze biznesu coraz więcej przedsiębiorstw podlega cyfryzacji, czego podstawową konsekwencją jest przenoszenie zasobów do chmury. Użytkownicy prywatni również coraz częściej korzystają z chmury czy to w sposób bardzo świadomy, czy korzystając z sugerowanych usług platform.
Przechowujemy dane w chmurze czy przekazujemy je używając wielu popularnych serwisów takich jak GoogleDrive czy Dropbox. Musimy zdawać sobie sprawę, że są one zabezpieczone wyłącznie za pomocą loginu i hasła (i czasem uwierzytelniane dwuskładnikowego, jeśli takową usługę włączymy). Dane nie są szyfrowane. Dostęp do nich ma operator usługi, a także każdy, kto pozyska nasze dane logowania albo złamie zabezpieczenia.
Szyfrowanie zapewnia bezpieczeństwo?
Jednym z zaleceń ekspertów ds. bezpieczeństwa, które znajduje nawet umocowanie prawne (np. w RODO, art. 32), jest szyfrowanie danych. Wielu z nas jednak nie zdaje sobie sprawę, że szyfrowanie szyfrowaniu nie równie (i nie jest to nawet kwestia użytych algorytmów ani długości kluczy). Najważniejsze jest pytanie, jakich kluczy używa się do szyfrowania (publicznych czy prywatnych), gdzie i jak zabezpieczone są klucze, a także bardzo istotna kwestia – czy klucz prywatny jest rzeczywiście kluczem prywatnym, a nie jego atrapą, która ląduje na serwerze dostawcy usługi.
Należy mieć świadomość, że fizyczne zabezpieczenie w postaci najlepszych drzwi pancernych z wielozapadkowym zamkiem nie będzie skuteczne, jeśli klucze trzymane są pod wycieraczką.
Recepcjonista ma klucze!
Bardzo często w czasie swoich wystąpień stosuje analogię usług do przechowywania danych z coraz bardziej popularnymi (w szczególności w większych miastach) usługami „self storage”, czyli pomieszczeniami do magazynowania samoobsługowego, które można wynajmować na jakiś czas, aby przechowywać w nich różne niepotrzebne w danym momencie rzeczy czy też w trakcie przeprowadzki, remontu – mówi Przemysław Kucharzewski, VP Sales, Cypherdog.
Wyobraźmy sobie taki magazyn, w którym jest recepcja, gdzie pracownik zajmuje się uwierzytelnianiem klientów i wydawaniem kluczy do indywidualnych magazynów wynajętych do danej osoby. Do budynku magazynu przychodzi klient, który na prośbę recepcjonisty musi potwierdzić swoją tożsamość: czy to pokazując dowód tożsamości, czy też odczytując kod przesłany przez recepcjonistę na numer telefonu podany przy podpisaniu umowy, czy też potwierdzając tożsamość klienta na podstawie weryfikacji podanych 4 cyfr chociażby z PESELu i nazwiska panieńskiego matki. Jak się zastanowicie możecie stwierdzić, że każda z tych metod jest nie do końca bezpieczna: można podrobić dowód, można ukraść telefon albo wyrobić duplikat karty SIM, zaś z pozyskaniem PESELu i nazwiska panieńskiego matki nawet średnio rozgarnięta osoba, stosując metody białego wywiadu (OSINT) takie dane znajdzie… gdzieś. Tutaj mamy jeden słaby punkt.
Po poprawnej weryfikacji tożsamości danego klienta recepcjonista wydaje klucze, którymi otworzyć można indywidualny magazynek. Musimy mieć tego świadomość, że klucze, które są w posiadaniu recepcji (albo ich duplikat, gdyby klient miał swój IDENTYCZNY) narażone są na szereg zagrożeń: klucze może ktoś ukraść, podmienić, recepcjonista może zostać zaszantażowany, przekupiony, zagrożony. Może się zdarzyć, że przyjdą przedstawiciele różnych organizacji i również nielegalnie będą próbować pozyskać owe klucze.
Klucz prywatny to najwyższy poziom bezpieczeństwa
W powyższym przykładzie najlepszym rozwiązaniem dla klienta byłoby posiadanie swojego własnego jedynego klucza (ewentualnie którego „zapas” trzyma jeszcze w jakimś super bezpiecznym miejscu), którym klient mógłby otwierać i zamykać swój indywidualny magazynek. Dostęp do miejsca owego indywidualnego magazynu recepcjonisty czy właściciela budynku z magazynami jest możliwy usunięciu niezniszczalnego magazynku z modułu, w którym ten magazyn się znajdował.
Zawsze powinniśmy być czujni przy użyciu serwisów webowych, w których przechowujemy albo za pośrednictwem których przesyłamy dane. Użycie serwisu webowego, w którym się logujemy oznacza to, że dostęp do danych może mieć również usługodawca, nawet jeśli dane są szyfrowane. Usługodawca ma klucze publiczne i zna także nasze dane uwierzytelniające w tym hasło lub hash, hasła i/lub podobnie hasło i hash hasła którym szyfrowany jest klucz – wymienia Przemysław Kucharzewski.
Nie bez przypadku uznaje się, że dane stają się walutą czy też złotem XXI wieku. Dlatego je chrońmy. Tak w gospodarce ma miejsce wspomniana transformacja cyfrowa, tak przestępczość ulega podobnym zmianom. Zabezpieczajmy swoje dane – szyfrując je. Pamiętajmy jednak, że szyfrowanie szyfrowaniu nie równe i to nie tylko chodzi o stosowane algorytmy – tylko uzyskując odpowiedź: kto ma klucze? Jeśli ktoś mówi o szyfrowaniu „end-to-end” – to gdzie jest to „end” i ile tych „end” jest?