Надежность iCloud

Нас всегда интересовал вопрос доверия во взаимоотношениях пользователей и провайдеров услуг. И одно дело, если вы покупаете, например, телевизор и совсем другое, если храните на серверах провайдера какую-то частную информацию. В повседневной жизни я пользуюсь продукцией фирмы Apple. И меня не то чтобы волновал вопрос защищенности своих данных, но было интересно какие меры Apple внедряет для того, чтобы обеспечить защиту и целостность моих данных, которые хранит. На Ars Technica мы нашли две интересные статьи, посвященные этому вопросу.

Недавно сотрудники Ars пытались узнать подробности того, каким образом Apple обеспечивает защищенность и конфиденциальность данных пользователей, хранящихся в iCloud. В частности, мы отвергли предположения того, что Apple использует надежные разработки и лучшие достижения в области защиты информации для сохранения приватности данных пользователей iCloud и предупредили, что информация в iCloud не так уж и надежно скрыта от третьих сторон. Главная причина этого в том, что Apple может в любое время просмотреть информацию которая синхронизируется с iCloud и предоставить ее, например, по требованию правоохранительным органам.

Мы консультировались с различными источниками для того, чтобы понять составляющие модели защиты информации и шифрования, которые используется в iCloud. Также пытались выяснить, какие именно разработки и достижения в области защиты информации смогут улучшить надежность хранения информации пользователей в таком набирающему популярность сервисе как iCloud. Пусть Apple принимает существенные меры для того, чтобы предотвратить доступ к информации от третьих сторон или злоумышленников. Однако компания не рекомендует использовать сервис для корпоративных нужд из-за недостаточно высокого уровня безопасности или для тех пользователей, которые не хотят, чтобы к их частной инфомации смогли получить доступ государственные органы.

В Apple есть мастер ключ.

Как мы уже писали в нашем расследовании, гипотетически Apple может расшифровать и получить доступ ко всей информации, хранящейся в iCloud. Она включает контакты, заметки, незашифрованные электронные письма, настройки пользовательских программ, закладки Safari, календари и напоминания.

Эти догадки недавно были подтверждены источником, с которым общалась редакция Ars Techica. Также эту мысль подтверждает судебно-медицинский эксперт и специалист по вопросам защиты информации Джонатан Здзиарски (Jonathan Zdziarski). «Я могу сказать, что в условиях использования iCloud Apple отмечает, что может получить доступ и расшифровать любую информацию пользователей», говорит Здзиарски.

В частности Здзиарски привел выдержки с условиями использования iCloud в которых указано, что Apple может «просматривать, перемещать, отклонить, изменить и / или удалять информацию в любое время» если содержание считается «нежелательным» или иным образом нарушает условия использования сервиса. Более того, Apple может «получать доступ, использовать, скрывать и / или разглашать ваши личные данные и контент по запросу правоохранительных органов» каждый раз, когда потребуется или разрешено законом. Также Apple отмечает, что периодически по требованию будет проверять пользовательский контент на соответствие требованиям сохранения автороского права согласно Закону об авторском праве в цифровую эпоху (DMCA).

«Если бы информация в iCloud была бы полностью зашифрована то Apple не смогла бы смотреть, передавать ее правоохранительным или проверять на соответствие требованиям DMCA», отмечает Здзиарски.

Главный исполнительный директор компании Securosis Рич Могул (Rich Mogull) соглашается с тем, что модель шифрования данных в iCloud предоставляет Apple возможность такого доступа.

«Данные iCloud зашифрованные только при пересылке между хранилищем и клиентским устройством, однако данные не шифруются для каждого пользователя отдельно», говорит Могул. «Apple может шифровать данные на дисках, но должна иметь ключ для дешифровки.»

Иными словами, чтобы обеспечить способы доступа к информации, предлагает Apple, она должна иметь ключ шифрования зашифрованных данных. «Если вы можете получить доступ к информации зашифрована, через веб страницу, это значит, что веб сервер имеет ключ для расшифровки ваших данных», объясняет Могул. «Таким образом, мы знаем, что Apple может получить доступ во всяком случае до того содержания iCloud, который можно просмотреть в браузере. Также это относится к Dropbox, box.net и в им подобных. Если вы можете просмотреть свою информацию с помощью браузера то они могут увидеть ее на сервере. Данные в iCloud не шифруются ключами, создаваемых пользователем. Они защищены ключами, которые созданы и контролируются Apple ».

Тем не менее вице-президент по продуктам фирмы Echoworx, специализирующаяся на хмаринних технологиях в области защиты иниормации, Робби Гулри (Robby Gulri), отметил, что Apple использует надежные разработки и нийкращи достижения в этой области. «Apple сделала верные шаги в направлении защиты частной информации пользователей, как для такого публичного сервиса как iCloud», отметил он в интервью Ars Technica. «Например, данные передаются с помощью SSL, информация шифруется на дисках серверов ключами длиной в 128 бит и Apple отменила доступ разработчиков с помощью индивидуального UDID».

«Однако то, что данные зашифрованы не значит, что они защищены», отмечает Гулри. «В симметричной системе шифрования всегда есть возможность получить доступ к данным. Всегда есть вероятность, что непорядочный сотрудник компании сможет использовать ключ дешифровки и получить доступ к данным пользователей ».

Делая «надежные разработки и лучшие достижения» лучше.

Apple подчеркивает тот факт, что очень серьезно относится к вопросу конфиденциальности частной информации пользователей и сохранение их данных. Также в компании действует определенный перечень мер, предотвращающих кражу информации мошенниками, о которых упоминал Гулри. Однако Гулри считает, что есть определенные меры, которые нужно применять как проавйдерамы хмаринних услуг так и производителями мобильных устройств для того, чтобы повысить степень защиты данных пользователей.

Во-первых, все сервисы должны использовать асимметричное шифрование с помощью публичного ключа. «С ассиметричным шифрованием приватность каждого отдельного пользователя» лучше защищена, отмечает Гулри, т.к. используется один «публичный» ключ для того, чтобы зашифровать данные перед отправкой на сервер и второй, для того, чтобы расшифровать данные, получаемые с сервера. В этом случае только пользователь имеет ключ и никто — ни Apple, ни Google, ни правительство, ни злоумышленники — не смогут расшифровать данные.

Кроме того, Гулри советует проводить регулярный аудит механизма шифрования доверенной третьей стороной. В надежном механизме шифрования могут быть уязвимые места и регулярный аудит, который будет проводиться доверенным третьей стороной, позволит их выявить и своевременно исправить. В частности аудит позволит выяснить, есть ли шифровальный механизм надежным и эффективным.

Наконец, производители мобильных устройств должны улучшить работу своих устройств с «публичными» ключами. Например, приложение Mail на iPhone может комплектоваться S / MIME для того, чтобы отправлять и получать зашифрованную почту. В частности письма, отправленные с помощью этого метода могут быть замечены, как присланные надежным отправителем. Но сейчас процесс установления частных и публичных ключей для использования S / MIME нельзя назвать простым и доступным.

«Это большая проблема для всех мобильных устройств», говорит Гурли. «Исторически так сложилось, что не способа передачи по воздуху сертификаты так, чтобы это было безопасно и прозрачно для конечного пользователя». Также, после установки нет простого способа управления ими для использования в различных сервисах.

Иными словами, если асимметричное шифрование будет простым и удобным в использвании то все будут им пользоваться. «Реальность такова, что Apple пренебрегает всем ради удобства, включая и безопасность», отмечает Гурли. «В том виде, что сейчас имеет PKI не пригоден для использования обычным пользователем».

ОНАКО проблема затрагивает не только обычных пользователей. Учитывая тот факт, что Apple может расшифровать и получить доступ к любой информации, хранящейся на серверах iCloud, корпоративные пользователи сталкиваются с повышенным риском нарушения конфиденциальности корпоративных данных или их передачи третьим лицам. Через различные юридические требования или корпоративные политики, корпоративные пользователи просто не должны использовать iCloud. Каждый эксперт в области безопасности, с которым мы говорили согласился, что это целесообразно, и хотя один источник сообщил, что Apple сама дает такие же рекомендации для корпоративных пользователей.

Пока корпоратвные пользователи могут заменить iCloud использованием, например, Exchange, который покрывает только синхронизацию электронной почты, контактов и календарей. Также сотрудники крупных компаний используют iPhone (или другие смартфоны) для личных а также рабочих целей и iOS просто лишена других методов синхронизации такой пользовательской информации как, например, закладки браузера. Поэтому для этих целей следует использовать или собственный сервер или сервер, предоставленный работодателем.

В качестве компромисса Гулри советует настроить iCloud таким образом, чтобы в нем сохранялась только та информация, которую вы не собираетесь скрывать от других и в которой гепотитично Apple может получить доступ. «Я большой поклонник iPhone и iPad и мои данные тоже хранятся в iCloud», говорит он. «Если вы имеете какие-то опасения относительно данных, хранящихся в iCloud просто измените настройки. Отключите синхронизацию тех данных, которые вы не хотели отправлять в iCloud. Собственно я синхронизирует только фотографии, купленные в iTunes программы и музыку. »

В итоге надежность хранения данных в iCloud — это вопрос доверия между отдельным пользователем и Apple. Как подтвердили эксперты, Apple внедрила ряд мер, чтобы избежать несанкционированного доступа к данным пользователей третьими лицами, но такие меры не защитят данные от самой Apple. Если есть необходимость, или вы просто хотите быть уверенными в том, что в данных никто не будет иметь доступа просто выключите функции iCloud, что вам не нужны. Когда-то производители мобильных устройств и поставщики облачных сервисов смогут построить доступную и простую в использовании для рядового пользователя инфраструктуру с поддержкой асимметричного шифрования, но этот день — это не сегодня.

Назад на главную>>>

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*