Tento článek píši v reakci na uniklé hambaté fotografie celebrit, které se nyní budou potulovat dlouhá desetiletí na internetu. Ty byly přitom nahrané v nejmenovaném cloudu. V souvislosti s tímto incidentem se naskýtá otázka, jestli je možné důvěřovat cloudovým službám?
Absolutně ne!
Problém cloudových služeb, a je jedno o jakou se jedná, je v tom, že nevíte co je „na druhé straně drátů“. Tím myslím, jednak jak jsou samotná data zabezpečena, a pak také to, jaký software se o data stará a kdo nad bezpečností dat bdí (firma a případné bezpečností služby). V neposlední řadě také jestli po kliknutí na tlačítko smazat jsou data skutečně smazána. A když, tak jak. Určitě víte, že při běžném mazání se nic z disku nesmaže, pouze se změní pár záznamů na disku. Data tak jdou následně poměrně snadno obnovit.
Dodnes je mnoho hesel ukládáno v otevřené podobě!
Pojďme se na to podívat trochu detailněji. Podíváme se nejprve na samotná data. Ta mohou ležet bůh ví kde, takže nevíte, kdo k nim má přístup, jaké zákony v dané zemi platí a v jaké formě jsou data ukládána. Dobře chráněná data by měla být zašifrovaná silnou asymetrickou šifrou tak, aby v případě přímého přístupu k datům nebylo možné bez znalosti hesla data používat. Toto považuji za absolutní základ.
Další věc je, jaký software s daty pracuje. Jak asi víte, tak neexistuje software, který by neobsahoval nějakou chybu, které je možné nějak zneužít. Myslím tím 0 day chyby, které ještě nejsou oficiálně známé, což neznamená, že těchto chyb již dávno není zneužíváno viz. chyba heartbleed v OpenSSL knihovně, o které se údajně dlouho vědělo. Co to tedy znamená? Jednoduše to, že je jedno jak silné heslo používáte, když je SW plný chyb.
Jak je vidno, tak data uložená v cloudech nejdou v bezpečí, protože to prostě a jednoduše nejde. Způsobů, jak se k těmto datům dostat je mnoho. Mimochodem nejjednodušší způsob spočívá v použití sociálních technik, kterým drtivá většina lidí podlehne, protože jsou až příliš naivní, hloupí a neznalí bezpečností problematiky.
Je jedno jak silné heslo používáte, když je SW plný chyb
Osobně se hrozím doby, kdy nebudeme mít jinou možnost, než cloudových služeb využívat, jinak nic neuděláte. K této době se již blížíme. Příkladem je Microsoft, který nás pomalu a jistě nutí využívat jejich cloudů k zálohování profilů apod. Google a Apple v nás nenásilným způsobem pěstují závislost na svých cloudových řešeních, která jsou až na bezpečnost jinak velmi sexy. Konec konců, cloudy dělají život jednodušší, přeci, kdo by nechtěl mít svá data nonstop a kdekoliv po ruce?
Závěr
Cloudy nejsou bezpečné a nikdy nebudou. To však neznamená, že bychom je neměli používat. Čiňte tak však pouze s vědomím, že data, která do nich uložíte, de-fakto dáváte k dispozici celému světu. Mimochodem, když už cloud používat, tak vlastní. Začít můžete třeba s aplikací ownCloud. Data ze svého cloudu přeci jen máte trochu více pod kontrolou.