5 сентября 2011 в 15:28

Applе, облака и персональные данные

Привет, Хабрахабр! Мы тут выудили интересное интервью нашего эксперта Александра Гостева, и готовы им с вами поделиться: наводит на размышления…

Представители Apple утверждают, что будущее – за облачными сервисами во многом потому, что облачный подход устраняет всяческую опасность спама, заражения вирусами, попадания в ботнет и прочих опасностей, обусловленных «самостоятельным» выходом компьютерного устройства в Интернет. Вы согласны с таким утверждением?

Я согласен, что у облачных технологий большое будущее. Однако не стоит преувеличивать их свойства и роль в ИБ…
image

Использование облачных технологий не только не устраняет существование спама или вирусов, но наоборот – еще больше увеличивает риски. Более того, облачные технологии уже используются самими киберпреступниками. Известны факты, когда облачные ресурсы использовались для рассылки спама, вирусов, фишинга, хранения украденных у пользователей данных и т.д.

Не стоит забывать и о рисках утери данных размещенных в облаках или доступа к ним третьих лиц. Утверждать, что возможность хранения данных где-то, а не только на своем личном устройстве, хоть как-то избавляет от проблем с заражением этого устройства – крайне неосмотрительно. Эти устройства все равно должны взаимодействовать с облаком, а будучи зараженным они предоставят через себя злоумышленникам доступ и туда.

Облачные технологии изначально и не задумывались как средство решения проблем информационной безопасности и суть их технологии совсем в других бенефитах. Мы со скепсисом относимся к заверениям по поводу безопасности их облачных решений. Хуже всего то, что многие пользователи действительно верят в безопасность, ведя себя ещё более беззаботно и неосторожно.

Что же касается отношения самой компании Apple к реальностям современных кибер-угроз, то здесь мы должны констатировать, что постепенно от позиции «антивирус для Мака не нужен, вирусов под Мак нет», эта компания эволюционировала и до создания собственного антивирусного сканера, встроенного в последнюю версию OS X и до выпуска специальных статей по решению проблем для своих пользователей, ставших жертвами очередного троянца под Мак.

По Вашим оценкам, насколько безопасен такой сервис для пользователя, с точки зрения безопасности персональных данных? Должно ли iCloud нести ответственность за сохранность персональных данных пользователей из других стран? Если да, то законам какой страны о неразглашении персональных данных должна эта ответственность подчиняться?

Как я сказал выше – если злоумышленник имеет доступ к вашему компьютеру – он имеет доступ к вашим данным в облаке. Более того, кроме атак на самих пользователей, у злоумышленников появляется новый объект для атак – само облако. И если в системе безопасности этого облака будут бреши – могут быть украдены данные всех пользователей.

Apple iCloud расположено в США, список дата-центров известен, да и любой опытный пользователь сам сможет легко установить, куда именно отправляются его данные. С юридической точки зрения на эти данные распространяются законы США. Не только по месту хранения, но и по принадлежности самой Apple, которая является американской компанией.

Я пока не видел EULA iCloud, но предполагаю, что по традиции пользователям бесплатной версии сервиса будет предложена схема “as is” с ограниченной ответственностью оператора. Для платных аккаунтов ситуация может быть другой, но сами понимаете, засудить Apple в США за потерю или утечку персональных данных пользователю, например, из Индии, будет весьма проблематично.

В анонсе Apple iCloud говорится, что в облако будет передаваться также электронная почта. Возникают ли в этой ситуации какие-либо риски для пользователя, скажем, с точки зрения опасности разглашения тайны переписки?

Точно такие же риски, которые существуют много лет при использовании любых сервисов веб-почты, например таких как Hotmail или Gmail. Любая информация которая хранится на серверах может быть получена, например, правоохранительными органами при наличии соответствующего решения суда и так далее.

Известно, что многие бизнесмены и госслужащие пользуются продуктами Apple. При этом грань между корпоративным и личным использованием смартфона или ноутбука стирается. Могут ли они, заказав сервис Apple iCloud для домашних нужд (личных фотографий, музыки, электронных книг и т.п.), случайным образом передать в облако деловую информацию? Может ли такую возможность проконтролировать и пресечь служба безопасности компании или ведомства?

Да, то что вы описали – это важнейший тренд современного общества – Consumerization. Использование персональных устройств для работы и наоборот – корпоративных для личных целей. Несомненно, случаев таких «утечек» данных в облака будет множество.

Consumerization ставит на повестку дня острый вопрос обеспечения безопасности данных в новом информационном ландшафте. Организациям будет необходимо разрабатывать и внедрять новое поколение политик безопасности, которые учитывают эту тенденцию. Хорошо, что security индустрия уже предлагает необходимый спектр инструментов и готова к разработке новых технологий.

Как Вы полагаете, писателям, которые пишут свои произведения на компьютере, компьютерным художникам, ученым и прочей творческой и исследовательской братии, которые регулярно работают дома, создавая интеллектуальную собственность, путь в облака заказан?

Никоим образом нет. Не надо думать, что все, что попадает в облако – тут же станет доступным кому-то еще. Именно на доверии пользователя к облакам и строится весь принцип их существования. Если доверия не будет – технология исчезнет. Пока это доверие есть, но относительно слабое. И недавний взлом Sony PSN (подробности тут и тут), когда в результате всего одной атаки утекли личные данные десятков миллионов пользователей, совсем не способствовал укреплению доверия.

Будущее покажет, будет доверие крепнуть или наоборот. Тем же, кто хочет использовать облако, но опасается утечки персональных данных, могу порекомендовать использовать дополнительные средства шифрования.

Какие еще неприятные сюрпризы, с точки зрения информационной безопасности, могут ожидать пользователей, отдающих все свое цифровое достояние в облако Apple?

Помимо всего что уже было описано выше, существуют риски связанные с доступностью самого облака. Пример истории с компанией Sony и атаками на ее сервис PSN, повлекшие неработоспособность по сути облака – одна из иллюстраций. Вы можете не получить ваши данные тогда, когда они вам будут нужны. Не исключаю и появления вредоносных программ, которые, заразив устройство, будут отключать вам доступ к облако и, например, требовать деньги за его восстановление. Сценариев угроз и проблем тут может быть очень много.

Как Вы считаете, насколько могут быть уязвимы облачные структуры, подобные Apple iCloud, к хакерским взломам? Возможно ли появление поддельных облаков, маскирующихся под Apple iCloud, — популярный сегодня прием мошенников? Если да, то как простому пользователю можно убедиться, что содержимое его компьютера сканирует именно сервис Apple, а не мошенники, прикинувшиеся Apple?

Мне бы не хотелось сейчас теоретизировать на тему уязвимости облачных сервисов Apple. С одной стороны для подобного ответа необходимо детально разобраться с тем как там все будет организовано, а такой возможности пока нет. С другой стороны об уязвимых местах системы мы все же сначала сообщаем компании владельцу для исправления проблемы, а не широкой публике. В целом же считаю, что самым уязвимым местом системы будет являться все-таки конечный пользователь, клиент, тот человек который с этим облаком взаимодействует.

Появление поддельных облаков, наверное, возможно, но я не очень пока вижу смысл в их существовании. Обмануть пользователя, заставив его сохранить свои данные не туда куда надо? Да, но для достижения это целей возможны разные технические приемы, гораздо более простые и дешевые в реализации.

Что, на Ваш взгляд, нужно большими буквам написать в инструкции по пользованию интернет-сервисом синхронизации данных, подобным Apple iCloud, из разряда «Это нужно обязательно знать, чтобы избежать каких-либо неприятностей»?

После того как вы передали свои данные за пределы вашего компьютера, эти данные уже не только ваши.
–4
2413
1

Комментарии (3)

+14
r21514, #
Давайте просто честно признаемся что боимся потерять десктопный рынок из-за роста облачных технологий.
0
ArcKain, #
Кто о чем, а лысый о расческе…
+1
CLR, #
Представители Apple утверждают, что будущее – за облачными сервисами во многом потому, что облачный подход устраняет всяческую опасность спама, заражения вирусами, попадания в ботнет и прочих опасностей, обусловленных «самостоятельным» выходом компьютерного устройства в Интернет. Вы согласны с таким утверждением?

Никогда не слышал подобных утверждений, но с радостью бы послушал/почитал.

Если же брать всю десятилетнюю историю когда Apple предлагала и предлагает свои «облачные» сервисы, то так же ничего подобного никогда не наблюдалось. Даже сейчас iCloud — в первую очередь лишь средство синхронизации/бекапа. При этом не понятно, отчего столько внимания, сервис практически никак не изменился со времен все того же MobileMe. По сути изменения косметические + ребрендинг.

Как все это может сказаться не безопасности — совершенно не понятно, теже претензии можно предъявить абсолютно к любому веб сервису.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.