Масштабные утечки данных: конец «облачным» сервисам?

Онлайн-хранилища надежно защищены, утверждают их создатели. Однако последние месяцы продемонстрировали сомнительность подобных высказываний, в результате чего доверие пользователей к подобным сервисам пошатнулось.

Масштабные утечки данных: конец «облачным» сервисам? С самого начала предполагалось, что 2011 год пройдет под знаком «облачных» технологий. На выставке CeBIT в марте этого года представители Microsoft были полны уверенности в их успехе. Однако в последующие недели связанная с ними эйфория значительно поутихла. Все началось с Sony: в апреле хакеры взломали сеть PlayStation Network (PSN), а также музыкальный сервис Qriocity и завладели данными примерно 100 млн пользователей. За Sony последовала Amazon: на Пасху было потеряно немалое количество данных, которые располагались в сверхсовременном и, как утверждалось, абсолютно безопасном и отказоустойчивом «облачном» хранилище EC2. Затем любой желающий, воспользовавшись поиском Google, мог просматривать изображения и документы 15 млн пользователей, которые размещались в «облачном» хранилище Dropbox. Аналогичный инцидент произошел и с ЮНЕСКО. В последнем случае количество пострадавших составило всего 100 000 человек, но последствия оказались куда более печальными: все анкетные данные пользователей, включая резюме и информацию о заработной плате, были свободно доступны на сайте организации. Не остались в стороне и Apple и TomTom, которые признались, что без спроса пользователей осуществляли сбор данных об их местоположении.

Хранение данных онлайн: три основные ошибки

За два месяца 200 млн пользователей «облачных» и родственных им сервисов со всего мира стали жертвами ненадежных технических средств, небрежности или скрытых действий компаний. Но сомнения в защищенности данных, хранящихся в «облаке», возникали и до этих инцидентов. Так, исследование, проведенное в марте аналитической фирмой IDC, подтвердило, что многие компании связывают с «облачными» сервисами прежде всего большие проблемы по части безопасности. Независимая исследовательская организация Portio Research подкрепляет это утверждение конкретными цифрами: 68% опрошенных руководителей европейских IT-компаний из соображений безопасности предпочитают не использовать подобные технологии. И это вполне понятно, так как анализ недавних утечек данных и сбоев показывает: такие происшествия не являются следствием внезапного отказа технических средств — причина кроется в «человеческом факторе». Например, в случае с Amazon виновными оказались работники самой компании: в процессе сетевого апгрейда «облачного» сервиса EC2 критически важная информация была направлена не по каналам высокопроизводительной сети центра обработки данных (ЦОД), а по медленной вторичной сети. Это вызвало перегрузку сервера и лавину ошибок данных.

Причина бед Sony также менее всего является технической. И хотя сеть компании на самом деле была недостаточно защищена от простых хакерских атак, серьезных неприятностей можно было бы избежать, если бы Sony хранила пользовательские данные (почтовые и электронные адреса, а также номера кредитных карт и банковских счетов) на своих серверах в зашифрованном виде. Пикантная деталь: атака на серверы Sony осуществлялась с использованием вычислительных мощностей «облака» Amazon. К катастрофическим последствиям привела и небрежность программистов Dropbox. В случае с этим сервисом любой желающий, воспользовавшись поиском Google, мог получить доступ к документам и изображениям, хранящимся в публичной папке или папке с изображениями определенного пользователя Dropbox. Сотрудники попросту забыли заблокировать соответствующие разделы для поискового робота системы Google.

Но даже за пределами «облачных» сервисов многие компании также потеряли доверие своих клиентов. Apple, например, должна была признаться, что без ведома пользователей осуществляла сбор и хранение на своих серверах данных о местоположении. Кроме того, это продолжалось даже после отключения функции определения координат. Самое неприятное в этой истории то, что размера кеша, зарезервированного Apple на iPhone, хватает на целый год, в отличие от Android-устройств, на которых кеш-файлы хранят только данные о последних 50 телефонных «сотах» и 200 узлах Wi-Fi. С выходом обновления этот кеш в iOS тоже уменьшился в размерах.

Будущее технологии: недоверие растет

В настоящее время эксперты в области безопасности не рекомендуют использовать «облачные» сервисы. «Если вы не хотите, чтобы ваши данные стали достоянием общественности, не храните их в «облачных» хранилищах», — говорит Ральф Бенцмюллер, руководитель компании G Data Security Labs. В интервью журналу CHIP даже самые убежденные сторонники таких сервисов выражают сомнения в отношении технологии, которая когда-то позиционировалась как модель хранения данных будущего. В результате некоторые эксперты стараются пользоваться услугами нескольких провайдеров, чтобы повысить сохранность своих данных. Саймон Стенлейк, руководитель Social Media Firma HootSuite, находит возможность использования онлайн-хранилищ весьма полезной, однако, потеряв после сбоя на Amazon важные данные, он намерен вернуться к многоуровневой процедуре резервного копирования.

В настоящее время провайдеры крупных «облачных» сервисов стараются удержать своих клиентов. Так, Google впервые начала предоставлять данные о своих ЦОД и системе безопасности. Sony принесла пользователям свои извинения и предложила небольшие подарки. Однако этого недостаточно, чтобы сделать «облако» абсолютно защищенным. И, по всей видимости, перечисленные в этой статье инциденты в скором времени повторятся: эксперт по IT-безопасности Джон Бумгарнер обнаружил новые пробелы в системе безопасности Sony, которые могут быть использованы хакерами.

Как обеспечить защиту критичных данных, размещенных в интернет-хранилище

Последние два месяца показали, что онлайновые базы обладают очень низким уровнем безопасности. Единственным способом защиты данных является строгое соблюдение перечисленных ниже правил.

ЛИЧНАЯ ИНФОРМАЦИЯ При использовании веб-сервисов указывайте только самые необходимые сведения. Поля, необязательные для заполнения, оставляйте пустыми. Альтернативой почтовому адресу является абонентский ящик.

БАНКОВСКИЕ КАРТЫ Для совершения платежей в Cети пользуйтесь предоплаченными пластиковыми картами или виртуальной картой Visa (такую услугу предлагает, например, платежная система QIWI). Если хакеры завладеют данными, то даже в самом худшем случае они смогут воспользоваться только предоплаченным номиналом, который должен быть по возможности минимален.
ШИФРОВАНИЕ Используйте для своих личных фотографий и данных, помещаемых в «облачное» хранилище, программу шифрования — например, Freeware BoxCryptor (www.boxcryptor.com). Эта утилита работает в фоновом режиме и шифрует ваши данные перед их отправкой в «облако» Dropbox. Для других сервисов применяйте TrueCrypt.