Πολύ ντόρος γίνεται τελευταία για τις Cloud υπηρεσίες και το πόσο ασφαλείς είναι ώστε να μπορούμε να ανεβάζουμε ευαίσθητα αρχεία, χωρίς να έχουμε τη σκέψη ότι ίσως άνθρωποι που εργάζονται σε αυτές τις υπηρεσίες, να έχουν εύκολα πρόσβαση σε αυτά. Αφορμή αυτό το άρθρο είναι το σχόλιο ενός αναγνώστη στο Facebook που αναρωτήθηκε:
Τα αρχεία που ανεβαίνουν σε τέτοιες υπηρεσίες είναι προστατευμένα ή μπορεί να έχει πρόσβαση οποιοσδήποτε διαχειριστής της εταιρείας;
Εύλογο ερώτημα και φυσικά δεν είναι ο πρώτος ούτε ο τελευταίος που κάνει μια τέτοια σκέψη. Εδώ, να πούμε, ότι αυτά που γράφω είναι δική μου άποψη και πως δεν μπορώ να ξέρω τι ακριβώς γίνεται με αυτές τις υπηρεσίες, παρά μόνο να κάνω εικασίες. Βέβαια, όλες αυτές οι σκέψεις γίνονται με λογική και κριτική σκέψη.
Δεν είναι λίγες οι Cloud υπηρεσίες που υπάρχουν αυτή τη στιγμή στο προσκήνιο που προσφέρουν δελεαστικό Δωρεάν χώρο αποθήκευσης -έχουμε δει μέχρι και 1 TB- ώστε να σε προσελκύσουν να κάνεις εγγραφή και να ξεκινήσεις να ανεβάζεις τα αρχεία σου.
Το πρώτο πράγμα που προσέχω σε τέτοιες υπηρεσίες, είναι να υπάρχει διαθεσιμότητα πρόσβασης από οποιαδήποτε συσκευή με clietns για όλα τα λειτουργικά συστήματα, φυσικά το website τους να είναι με πρωτόκολλο HTTPS, και να προσφέρουν την επιλογή για επιπλέον προστασία των αρχείων μας με το γνωστό Two-Step Verification, μέσω του οποίου δύσκολα θα «σπάσει» κάποιος τον κωδικό πρόσβασης.
Αυτά είναι για αρχή, διότι μετά έρχεται και η κριτική του κόσμου και το πόσο δημοφιλής είναι μια τέτοια υπηρεσία. Για παράδειγμα, όταν στο dropbox βλέπω να το έχουν χρησιμοποιήσει πάνω από ένα (1) δισεκατομμύριο άνθρωποι και η κριτική να είναι σε υψηλά επίπεδα, σου δίνει ένα αίσθημα ασφάλειας, έτσι δεν είναι;
Κανείς όμως δεν γνωρίζει τι γίνεται εκ των έσω, δηλαδή μέσα στην ίδια την εταιρία και τους εργαζομένους τους, ασχέτως αν αυτό που διαφημίζουν είναι η προστασία των δεδομένων μας. Επομένως, όλες αυτές οι Cloud υπηρεσίες για να επιβιώσουν, προωθούν την ασφάλεια των αρχείων μας και προσπαθούν να μας το θυμίζουν ανά τακτά χρονικά διαστήματα. Ο μόνος τρόπος να γνωρίζεις αν τα αρχεία σου εκτίθενται σε τρίτα μάτια, είναι να εργάζεσαι ο ίδιος σε αυτές τις υπηρεσίες, και πάλι να έχεις κάποια διοικητική θέση.
Αυτά είναι για αρχή, διότι μετά έρχεται και η κριτική του κόσμου και το πόσο δημοφιλής είναι μια τέτοια υπηρεσία. Για παράδειγμα, όταν στο dropbox βλέπω να το έχουν χρησιμοποιήσει πάνω από ένα (1) δισεκατομμύριο άνθρωποι και η κριτική να είναι σε υψηλά επίπεδα, σου δίνει ένα αίσθημα ασφάλειας, έτσι δεν είναι;
Κανείς όμως δεν γνωρίζει τι γίνεται εκ των έσω, δηλαδή μέσα στην ίδια την εταιρία και τους εργαζομένους τους, ασχέτως αν αυτό που διαφημίζουν είναι η προστασία των δεδομένων μας. Επομένως, όλες αυτές οι Cloud υπηρεσίες για να επιβιώσουν, προωθούν την ασφάλεια των αρχείων μας και προσπαθούν να μας το θυμίζουν ανά τακτά χρονικά διαστήματα. Ο μόνος τρόπος να γνωρίζεις αν τα αρχεία σου εκτίθενται σε τρίτα μάτια, είναι να εργάζεσαι ο ίδιος σε αυτές τις υπηρεσίες, και πάλι να έχεις κάποια διοικητική θέση.
Οπότε, αν δεν υπάρξει κάποιο σκάνδαλο ή διαρροή δεδομένων που θα γίνουν δημόσια γνωστά, ή τα εμπιστεύεσαι ή δεν τα χρησιμοποιείς. Από την άλλη όμως, μπορεί κάποιος να αναρωτηθεί: Γιατί αυτές οι εταιρίες να μπουν σε διαδικασία υποκλοπής των δεδομένων μας και να διακινδυνεύσουν την αξιοπιστία τους και τελικά το κλείσιμό τους; Διότι, μετά από τέτοιο σκάνδαλο, πολύ δύσκολα θα επιβίωνε μια τέτοια υπηρεσία.
Ίσως η λύση να υπάρχει σε υπηρεσίες που δίνουν ανοικτά τον κώδικά τους, όπως το Storj, που διαβάσαμε στο πολύ καλό άρθρο του Cerebrux, που σε κάποιο σημείο γράφει:
«Κάθε στοιχείο, κρυπτογραφείται χρησιμοποιώντας συμμετρική κρυπτογράφηση AES-256-GCM. Αυτό είναι μια τυπική διαδικασία σε κάθε αρχείο πριν μεταφορτωθεί στο δίκτυό του Storj για να διασφαλιστεί ότι κανένας μη εξουσιοδοτημένος χρήστης δεν μπορεί να έχει πρόσβαση σε αυτά.»
«Κάθε στοιχείο, κρυπτογραφείται χρησιμοποιώντας συμμετρική κρυπτογράφηση AES-256-GCM. Αυτό είναι μια τυπική διαδικασία σε κάθε αρχείο πριν μεταφορτωθεί στο δίκτυό του Storj για να διασφαλιστεί ότι κανένας μη εξουσιοδοτημένος χρήστης δεν μπορεί να έχει πρόσβαση σε αυτά.»
Επιπρόσθετα, πήρα και την βοήθεια του κοινού, από τον φίλο μου και γνώστη της τεχνολογίας Salih Emin, ο οποίος είναι ο δημιουργός του Cerebrux, και αναφέρει πολύ σωστά:
«Οι εταιρείες cloud storage εφαρμόζουν κρυπτογράφηση στους δίσκους των server τους όποτε όταν ένας δίσκος αρχίζει να χαλάει, ο εργαζόμενος το αφαιρεί και το στέλνει για καταστροφή. Δεν μπορεί να δει τα αρχεία γιατί είναι κρυπτογραφημένος ο δίσκος.
Όμως τα κλειδιά «κρυπτογράφησης» τα έχει η εταιρεία, με ό,τι συνεπάγεται από αυτό!
Εξαίρεση αποτελεί το προαναφερθέν Storj αλλά και το Mega Cloud που τα κλειδιά τα έχει ο τελικός χρήστης.
Άρα ακόμα και δικαστική εντολή να σταλεί στην εταιρεία δεν θα μπορέσει να βοηθήσει τις αρχές αφού δεν έχει τα κλειδιά.
Αντίθετα η Google, Dropbox, Microsoft κλπ, αν και κρυπτογραφούν κάθε δίσκο, όταν ζητηθεί από τον νόμο, θα δώσουν τα αρχεία του χρήστη»
Αυτό που γνωρίζω για τα project ανοικτού κώδικα είναι ότι λόγω του ότι είναι ελεύθερα προσβάσιμα από όλους, οποιαδήποτε κακόβουλη προσπάθεια γίνει αντιληπτή, αυτό θα φανεί και σίγουρα θα δημοσιευτεί.
Συντάκτης του άρθρου: Κυριάκος Οικονομίδης
Αν θέλεις να υποστηρίξεις την προσπάθεια μας και να βλέπεις καθημερινά νέα άρθρα με δωρεάν υλικό, μπορείς να το κάνεις ακολουθώντας μας στο Facebook, Twitter και Instagram
Συντάκτης του άρθρου: Κυριάκος Οικονομίδης
Αν θέλεις να υποστηρίξεις την προσπάθεια μας και να βλέπεις καθημερινά νέα άρθρα με δωρεάν υλικό, μπορείς να το κάνεις ακολουθώντας μας στο Facebook, Twitter και Instagram