ОБЛАКО РАЗДОРА

Евгения МОРОЗОВА, 20 сентября 2014

Серия взломов «облачных» хранилищ заставила серьезно задуматься о компьютерной безопасности не только пользователей, но и создателей таких сервисов, которые перекладывают часть вины за утечку на потребителей своих услуг и не теряют позиций на рынке удаленного хранения данных. Пользователи, в свою очередь, обвиняют в ненадёжности саму технологию. Так кто виноват в сложившейся ситуации?

Более 80 американских звёзд шоу-бизнеса стали жертвами хакерской атаки на «облачный» сервис iCloud, вызвав немалый переполох среди пользователей Интернета. В считанные минуты интимные фотографии знаменитостей буквально взорвали интернет, моментально распространяясь по социальным сетям. Менее чем за сутки после взлома частная жизнь кинозвезд оказалась на всеобщем обозрении миллионов пользователей интернета, и это далеко не первый случай утечки информации с «облачных» сервисов.

Если говорить точно, то iCloud, Google Drive, Dropbox, Evernote (так называемую «большую четверку» лидеров рынка облачных вычислений) хакеры «штурмуют» с первых дней их существования. И этот факт, в свою очередь, стал поводом усомниться в доверии не к конкретным провайдерам услуг, но и ко всей отрасли и технологии в целом.

Предыдущий случай массовой утечки данных с iCloud произошел весной этого года, когда группа лиц разместила в социальных сетях инструкции получения платных приложений, игр и музыки на устройствах Apple с помощью так называемых «общих аккаунтов». Схема оказалось простой: доверчивые пользователи, следуя инструкциям злоумышленников полностью подменяли свои Apple ID (персональные аккаунты) хакерскими, однако вместо бесплатной музыки и игр на экранах устройств появлялось предложение заплатить третьим лицам некую сумму (в криптовалюте «биткоин») для разблокировки устройств. Тысячи «айфонов» и «айпэдов» оказались, таким образом, заблокированными.

К несчастью, вымогательство лишь вершина айсберга. Воспользовавшиеся хакерским аккаунтом подарили мошенникам все свои пользовательские данные: номера пластиковых карт, личные фотографии и файлы, сообщения электронной почты и пароли доступа к социальным сетям, также хранившиеся в «облаке». Apple отреагировала на случившееся усложнением системы безопасности.

Другой популярный облачный провайдер Dropbox также не миновала волна утечек. В августе 2011 выяснилось, что доступ к приватным данным возможно получить, зная электронный адрес жертвы и используя произвольный пароль. Годом позже Dropbox модернизировал систему безопасности, введя двухфакторную аутентификацию (привязку аккаунта пользователя к номеру ), но и она не лишена серьезных недостатков, по словам независимого эксперта в области информационной безопасности Александра Комиссарова:

- Она работает только при условии, что вы ввели на сайте номер своего и подтвердили его, что кажется вполне логичным. Но с учетом неочевидности этой опции, многие попросту этого не делают.

Опасность, по словам эксперта, заключается в том, что любой «хакер» методом подбора (или с помощью вируса) легко получает нужные пароли и, зная почту или логин жертвы, сможет получить любые персональные файлы с сайта Dropbox или (что еще хуже) будет постоянно следить за личными данными жертв и просматривать их.

- Вы с большой вероятностью не будете об этом подозревать, поверьте. Все потому что какие-либо изменения в Dropbox возможно отследить только с помощью веб-интерфейса с достаточно сложной для обывателя структурой - отмечает эксперт.

Можно допустить, что в утечке конфиденциальной информации виноваты сами пользователи, но как же обстоит дело с взломанными аккаунтами знаменитостей, чьи приватные фотоснимки в одночасье заполнили Интернет?

Для начала стоит разобраться, как же работает так называемое «облако». Облачный провайдер хранит ваши данные на удаленном , тем самым позволяя систематизировать файлы и получать к ним по Интернету доступ в любой точке мира. «Облака» получили широкое распространение в бизнес-структурах, благодаря своей простоте и возможности совместного использования файлов несколькими пользователями, что существенно экономит время и затраты малых и средних компаний. Стоит заметить, что облачные технологии могут работать по-разному.

- Можно создать частное «облако» внутри организации, когда вся информация будет храниться и обрабатываться на собственных компании, но с помощью решений по виртуализации она будет распределена по разным физическим машинам. Также возможно использовать инфраструктуру оператора облачных вычислений, - отмечает Владимир Левашов, директор IT-департамента компании «BDO Unicon Outsourcing», - в последнем случае все данные будут находиться в «облаке» провайдера - на разных серверах, о местонахождении которых клиент вообще может не иметь ни малейшего понятия.

У облачных хранилищ есть несколько уязвимых точек. Первая – уязвимости мобильных платформ. Лидеры этого рынка Apple, Google, Microsoft просто физически не могут закрыть все уязвимости в своих массовых продуктах. Кроме того, производители мобильных устройств на Android нередко прекращают их поддержку и не выпускают обновления спустя год (или, в случае китайских вендоров раньше) после появления устройства в продаже. К примеру, покупатель недорогой модели телефона или планшета на ОС «Андроид» часто, по мнению экспертов, получает аппарат с очень удобной и внешне привлекательной, но давно устаревшей версией ОС, не лишенной хорошо известных хакерам «уязвимостей».

- Гаджеты умеют автоматически загружать любые файлы из внутренней памяти в облака, - отмечает Михаил Гнедой, сертифицированный специалист компании CISCO, - в этом и кроется одна из проблем - все настолько автоматизировано и удобно, что не возникает никаких сомнений в надежности сервиса, попросту нет желания использовать дополнительную защиту.

Вторая ахиллесова пята «облака» кроется в перехвате потока передаваемых вами данных. Злоумышленнику не составляет большого труда отфильтровать в пользовательском трафике логины, пароли, номера пластиковых карт. Перехватом личных данных и взломом сетей живет целое сообщество киберпреступников-кардеров – хакеров, специализирующихся на мошеннических операциях с пластиковыми картами. Последний случай подобного взлома произошел минувшим летом. Широкую огласку в СМИ получило дело Романа Селезнева, 30-летнего уроженца Москвы, обвиняемого властями США во взломе компьютерной сети супермаркетов и незаконном получении банковских данных нескольких тысяч американцев.

«Облачные» технологии далеки от совершенства, считает Александр Комиссаров. По его мнению нет системы, которую невозможно взломать, а уязвимости в разного рода сервисах обнаруживаются ежедневно. «Возможно, единственным, но не лишенным недостатков решением оказываются сервисы интернет-гигантов, вроде «Google» и «Яндекс»: «Специалисты безопасности в 80% случаев возвращают аккаунт (но не ваши данные – прим. автора). Даже если злоумышленник узнал ваш логин и пароль, у него вряд ли получится легко получить доступ к приватным данным, так как сверяется IP-адрес страны, с которого обычно заходит жертва с адресом взломщика. Для опытного злоумышленника, часто работающего на заказ (как в случае с голливудскими знаменитостями), даже этот барьер не представляется серьезным», - добавляет эксперт.

Михаил Гнедой, специалист по web-администрированию, напротив, склонен считать главной причиной утечек и взломов человеческий фактор:

- Следует обращать внимание на загружаемые файлы, задуматься о том, насколько они (в случае утечки) могут повредить бизнесу или личной репутации. Нужно внимательно относиться к системным предупреждениям на ПК или гаджетах, убедиться, что автоматически загружаются только нужные вам файлы. Если требуется загрузить на облако чувствительные данные, то есть смысл воспользоваться шифрованием и загружать уже зашифрованную информацию. Естественно, о безопасности ключа к таким архивам нужно тщательно позаботиться.

Владимир Левашов также считает, что хранение и обработка в «облаке» позволяют обезопасить бизнес-структуры и частных лиц от физического повреждения серверов, выгодны с финансовой стороны и заслуживают доверия:

- Компании, предоставляющие «облачные» услуги, с особой ответственностью подходят к собственной системе безопасности и сохранности данных, начиная от противопожарной (в своих дата-центрах) и заканчивая системами восстановления информации и разграничением доступа с помощью различных инструментов авторизации, включая, например, физические «ключи» - флеш-карты, при отсутствии которых пользователи просто не смогут воспользоваться хранилищем.

С этим мнением согласен и петербуржский iOS-разработчик Тимур Охинько:

- Нельзя сломать сервер с данными так, как это показывают в фильмах: страховкой для бизнеса является подготовленный инженер по безопасности и отсутствие дыр в системах безопасности провайдеров, например в сертификатах подлинности, которые стали причиной известной прошлогодней уязвимости «heartbleed» на технической платформе компании Apple.

Большинство экспертов уверены, что причиной массовых утечек данных становятся не только уязвимости облачных хранилищ, но часто их виной становится жадность самих пользователей, их халатность и нежелание пользоваться системами шифрования и защиты. Специалисты по безопасности отмечают необходимость следить за материалами, которые вы доверяете «облакам», использовать лицензионное антивирусное ПО, в случае чувствительных данных воспользоваться шифрованием или альтернативами, в ряду которых есть приватные клиенты для обмена информацией, использующие шифрование и двухфакторную авторизацию с привязкой к IP-адресу и номеру мобильного телефона пользователя. Уязвимости провайдеров специалисты называют издержками роста, присущими всем развивающимся технологиям.

В бизнес-секторе, несмотря на скандалы и утечки, эксперты прогнозируют рост рынка, связанный с доступностью, относительно низкой себестоимостью и удобством подобных услуг. В первую очередь массовый переход на «облачные» хранилища предвидится в среднем и малом бизнесе в ближайшие годы. Популярность в пользовательском секторе тоже будет расти, что связано, в первую очередь, с развитием рынка гаджетов и разнообразных носимых устройств, которые с момента продажи способны работать с «облачными» платформами. Однако, если облачные сервисы уже не вызывают у вас никакого доверия, а отправить парочку пикантных фотографий ну очень хочется, можно использовать защищённые клиенты, но надежность и этого способа тоже весьма сомнительна. Куда проще не делать откровенных снимков вовсе и спать спокойно, не боясь за свою репутацию.

Фото mobiledevice.ru и static.migom.by