CDR SecUpdate 36 - Jak se bránit (v) cloudu?
Aktuální úniky citlivých fotografií celebrit stáčí pozornost k bezpečnosti v cloudu. Pojďme se podívat na dnešní možnosti cloudových služeb, jak k nim zabezpečit přístup a případně jak je úplně opustit.
Chyby v softwaru a malware
iCloud hack - jak se alespoň trochu bránit všudypřítomnému cloudu?
Cloud je všude. Jelikož je zdrojem cenných informací, poskytovatelé služeb často volí velmi agresivní způsoby, jak uživatele do cloudových sítí polapit (každý holt nemá štěstí jako Facebook, kam lidé nahrávají soukromé informace sami od sebe). Jinými slovy, dá někdy až absurdní práci se cloudu u oblíbených služeb vyhnout. Stejně tak je tomu u Applu se službou iCloud, na kterou je napojená knihovna fotografií iPhoto, Pošta, Kontakty, prohlížeč Safari a v neposlední řadě šifrovaná databáze přihlašovacích údajů Klíčenka.
Když k tomu připočtete navíc novou službu iCloud Drive, kterou Apple nejspíš naplno spustí s novou verzí OS X Yosemite, a zapnete sdílení všemi zmíněnými kanály, jako byste po startu počítače odeslali kompletní obsah disku na cizí server. S tím rozdílem, že jsou data pěkně zaškatulkovaná a přístupná v kompatibilních formátech pro lidské vnímání. Když pomineme šifrování dat, můžeme říci, že to, o co se snažily generace hackerů v minulosti, dnes poskytovatel služby dostane zadarmo (případně si za to ještě nechá zaplatit). Nikdo mu pak nebrání provést sem tam nějakou tu analýzu velkých dat, jejíž výsledky jsou z marketingového hlediska zlatý důl. Není divu, že se Romanu Staňkovi s GoodData v USA tak daří.
Pokud řekneme, že přístup k e-mailu býval z hlediska dat kritický, přístup k jednotnému účtu v cloudové službě typu iCloud bude fatální. Částečně se o tom přesvědčila Jennifer Lawrence a další celebrity, z jejichž iCloud účtů útočníci vybrali citlivé fotografie. Co dělat, abyste nedopadli jako Jennifer?
1) Použít dvoufázové ověření pro přihlášení do cloudu
To je ta rychlejší možnost. Navíc pokud jste již jednou něco do cloudu nahráli, nikdy nemáte jistotu, zda je poskytovatel smaže. Hodí se tedy mimo jména a hesla další faktor během přihlašování (opisování kódu z SMS, hlasové zprávy…).
- Apple - http://support.apple.com/kb/HT5570?viewlocale=cs_CZ
- Windows - http://windows.microsoft.com/en-us/windows/two-step-verification-faq
- Google - https://www.google.com/landing/2step/
- Twitter - https://blog.twitter.com/2013/getting-started-with-login-verification
- Facebook - https://www.facebook.com/note.php?note_id=10150172618258920
- DropBox - https://www.dropbox.com/help/363
| Výhody | Nevýhody |
|---|---|
| Rychlé nastavení* | Před každým manuálním přihlášením musíte opisovat kód |
| Nic se ohledně dat v cloudu nezmění | Pro automatické přihlašování skrz aplikace musíte jednorázově zvlášť nastavit údaje |
| Dále můžete využívat oblíbené služby (většinou*) | Např. mobilní aplikace nemusí být s dvoufázovým ověřováním kompatibilní. |
* Problém nastává u mobilních aplikací, které nedokáží “přijmout SMS a obsat kód”. Například Google to řeší unikátními hesly, která vygeneruje pro každou aplikaci zvlášť. Náhodnou změť znaků snadno zkopírujete do aplikace a je hotovo. Je to časově náročnější než běžné nastavení dvoufázového ověřování a také služba nemusí vůbec tuto funkci podporovat.
2) Vypnout cloudovou synchronizaci
Jak Windows, tak OS X ve svých nejnovějších verzích integrují cloudové služby automaticky. Osobně mi přijde Microsoft v tomto ohledu agresivnější než Apple, ale je to jen subjektivní pocit. Každopádně někdy je prostě nejjednodušší všechno vypnout a šmytec.
- Apple - http://support.apple.com/kb/PH2613?viewlocale=cs_CZ
- Windows - http://www.pcworld.com/article/2111442/how-to-disable-windows-8s-deep-cloud-integration-piece-by-piece.html
- Google - https://support.google.com/accounts/answer/32046?hl=cs
- Twitter - https://support.twitter.com/entries/15358-how-to-deactivate-your-account
- Facebook - https://www.facebook.com/help/224562897555674
- DropBox - https://www.dropbox.com/help/43
| Výhody | Nevýhody |
|---|---|
| Do budoucna se nebudou automaticky synchronizovat data | Smazáním účtu přijdete o přístupnost dat kdekoliv z internetu |
Před smazáním účtu doporučujeme zazálohovat všechna důležitá data:
- Apple - synchronizovat všechna data a vypnout iCloud
- Windows - synchronizovat všechna data a vypnout OneDrive/další cloud služby (viz odkaz výše)
- Google - stáhnout archiv dat z Google účtu
- Twitter - stáhnout archiv dat z Twitter účtu
- Facebook - stáhnout archiv dat z Facebook účtu
- DropBox - synchronizovat všechna data a vypnout DropBox
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Androidům hrozí nebezpečí z nového útoku na bankovní aplikace
Hackeři dokáží vzdáleně ovládat auto, firmy jsou nepřipravené
Díly CDR Security Update SPECIÁL
Zdroje:
forbes, Vlastní, fluiditservices.com
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
