Cloud computing – Usluge u oblacima – podaci i sigurnost

Ispis
PDF

cloud computing

Jedan od trendova u IT branši koji raste par godina zaredom je 'cloud computing'. Riječ je o računalstvu u oblacima, odnosno preseljenju dijela usluga u oblake. Vjerujemo da ste se već susreli s time, makar možda ponekad niste o tome niti razmišljali. Dropbox, GDrive, MEGA, OneDrive ... samo su neki od servisa u oblacima koji vam dozvoljavaju pohranu podataka u oblake, odnosno na servere koji se nalaze negdje u svijetu, a tim istim podacima možete pristupiti sa bilo kojeg uređaja koji ima pristup Internetu.

Dropbox, GDrive, MEGA, OneDrive

No nisu popularni samo dotični servisi za pohranu podataka. Mnoge usluge u oblacima koristimo praktički na dnevnoj bazi. Tako koristimo servise za pohranu glazbe, gledanje serija i filmova, vođenja ToDo listi (razne web aplikacije), skiciranje grafova, potpisivanje digitalnih dokumenata i tako dalje. Očito je da se trend povećava, odnosno da se sve više usluga pokušava prenijeti u oblake. S jedne strane to je super jer ne morate ništa imati lokalno instalirano na računalo, ali s druge strane ima i nekih negativnih strana. Neke od njih su konstantna veza na Internet bez koje ne možete raditi, morate imati brzu Internet konekciju, usluge se naplaćuju na mjesečnoj bazi, a tu je i pitanje sigurnosti. Pitanje je koliko su cloud usluge sigurne i što možemo mi učiniti kako bi one bile sigurnije...

Privatno vs. Poslovno
Kao što smo rekli, danas se mnoge usluge nalaze u oblacima što je super. Uzmite za primjer Netflix – servis za gledanje serija i filmova. Sve što vam treba je Internet konekcija i to je to. Napravite korisnički račun, platite mjesečnu pretplatu Netflixa i do mile volje gledate vaše omiljene serije i filmove. Praktički možete eliminirati televizor iz svoga doma. Dobro, mi u Hrvatskoj malo teže, ali većina svijeta ima pristup servisima kao što su Netflix i Hulu ...

Netflix hr

Ako želite slušati glazbu, imate servise za slušanje glazbe ili određenih radio postaja, imate servise za pohranu vaše glazbe, imate servise za kupovinu glazbe (ujedno i pohranu, te ju možete streamati na bilo koji uređaj). Ako želite pohraniti podatke, imate Dropbox, GDrive, OneDrive ... Ako želite nešto na brzinu nacrtati imate, recimo, Glitty. Ako želite pohraniti puno slika i napraviti foto-albume te ih podijeliti sa ljudima imate na raspolaganju ogroman broj servisa, a jedan od najvećih i najkorištenijih je Googleova Picasa ... Ako želite nešto napisati ili napraviti prezentaciju, imate uredske alate u oblacima koji su vam sasvim dovoljni za svakodnevni rad.

Što se osobnih potreba tiče, možete praktički veći dio vaših potreba preseliti u oblake ako ne želite dodatni softver na svom računalu i ako ste imalo tehnički vješti. Inače, ne trebate biti haker da koristite usluge u oblacima, ali dobro dođe znanje barem one osnovne informatike koju bi danas svako trebao imati.
Što se poslovnog svijeta tiče, posebice malih i srednjih poduzeća, one također pokazuju naznaku da žele preseliti dio poslovanja u oblake. Što zbog brzine izvođenja, što zbog lakšeg poslovanja. Mnogo je lakše zakupiti 100+ korisničkih računa za određenu uslugu i početi ju koristiti na Internetu, nego kupiti softver, instalirati ga na sva računala, konstantno ga ažurirati i slično. A da ne govorimo o lokalnim izradama sigurnosnih kopija i sličnim poslovima koji se moraju obaviti. Softver i usluge koje se koriste u oblacima najčešće imaju trostruki backup pa nikada nećete ostati bez svojih podataka.

githubNo, opet ponavljamo – sigurnost je veliki problem i jedan od razloga zašto se kompanije tako sporo odlučuju na korištenje pojedinih usluga u oblacima, odnosno općenito usluga koje se koriste preko Interneta. S druge strane, mnoge kompanije vode evidenciju rada preko softvera u oblacima (Atlassian ima jedan takav alat), koriste se razni chat programi za komunikaciju unutar kompanija (određeni alati dozvoljavaju izrade posebnih grupa, grupnih razgovora, video konferencija i slično), neke kompanije imaju u oblacima planove za razvoj kompanije te dijelova iste, mnoge softverske kompanije svoj izvorni kôd drže u oblacima (GitHub, BitBucket) ...

Neke od tih informacija su bezvrijedne neovlaštenim osobama, odnosno onima koji bi se eventualno mogli dokopati tih informacija, a neke su ipak malo važnije. Zamislite da netko dođe do GitHub pristupa kompanije koja se bavi razvojem softvera – nastala bi katastrofa. Uzmite za primjer GitHub – prema njihovim stranicama, navodno nekoliko velikih kompanija pohranjuje kôd upravo kod njih. To su: Blizzard, PayPal, Etsy, SAP, Vimeo, Rackspace ... Njihovi podaci moraju biti izuzetno sigurni, te serveri i web stranica otporna na hakerske napade.
Sve u svemu, bez obzira na to da li se radi o pojedincu ili kompaniji, cloud je svima zanimljiv i svi ga žele koristiti.

Kripto algoritmi i zaštita podataka
Iako većina servisa tvrdi da su vaši podaci kriptirani, to ne znači da jesu, odnosno nema garancije. Kao što ste mogli vidjeti u vijestima tokom prijašnjih godina, američke agencije i vlada imaju pristup vašim datotekama na raznim serverima, emailovi se filtriraju, prati se tko što skida, tko što pretražuje, što objavljuje. Mit je da postoji „privatnost" na Internetu kao takva. Da, možete se vi na Redditu skrivati iza nekog kreativnog korisničkog imena, no to nije važno. Da vas netko želi naći, našao bi vas. Postoje zapisi s kojih IP adresa ste se spajali i na koju email adresu ste se registrirali.

Eksperti zaduženi za računalnu sigurnost kažu da većina servisa ima podatke o vama preko kojih se može doći do vas te da nigdje zapravo niste sigurni. One sekunde kada vaši podaci „napuste" računalo i kopiraju se na server nekog servisa vi ne znate što se događa. Jednostavno nemate načina kako saznati, a ne možete vjerovati nikome jer vam svi lažu. Kako biti sigurni da je platforma sigurna? Zato što to piše u EULA-i? Možda ih je Vlada određene države natjerala na to, ali oni ne smiju ništa reći o tome. Prisjetite se Edwarda Snowdena i informacija koje je on iznio.

Vjerojatno ne čitate uvjete korištenja i spomenutu EULA-u, no gotovo svi email servisi, chat servisi, društvene mreže ... tvrde da su vaši podaci kriptirani i sigurni i da samo osobe od povjerenja mogu doći do tih podataka. Izuzev vas naravno. To znači da određeni zaposlenik može napraviti upit u bazi podataka, naći vaše korisničko ime i lozinku i bez problema se logirati u servis. Vlada može zatražiti vaše podatke kako bi pregledala što sve imate u oblacima. „Osoba od povjerenja" možda baš i nije osoba od povjerenja. Čak i servisi koji kažu da samo vi imate ključ znaju da to nije tako. Da se želi naći ključ, našao bi se.

Pogledajmo to iz još jednog kuta. Recimo da se podaci u oblacima kriptiraju i spremaju se kriptirani na server. Tko god ima ključ može taj kontejner otključati i vidjeti što je unutra. Čemu onda uopće kriptiranje? Da hakeri ne bi mogli doći do toga* Pa većina hakera ne krade direktno podatke sa servera nego bazu podataka sa korisničkim imenima i šiframa, a zatim se kradu podaci bez da itko zna da se kradu. Ako kriptirate podatke na računalu i onda ih pošaljete u oblake – ista situacija. Ključevi su negdje zapisani, a sa tim ključevima se lako dolazi do podataka.

Kim Dotcom

Bez obzira o kakvoj se zaštiti radilo i da li ključ ima 64 bita ili 256. Ključ u milisekundi otključava kriptirani kontejner. Jedan od takvih servisa je MEGA iza koje stoji Kim Dotcom. Oni vam dozvoljavaju da u oblake pohranite 50 GB podataka, a „garantiraju" da je sve kriptirano i da nitko osim vas nema ključ. Lozinka je ključ i ako ju izgubite/zaboravite, nikada više ne možete pristupiti vašem korisničkom računu i oni vam ne mogu ili ne žele resetirati šifru jer ju ne znaju. A pošto su podaci kriptirani sa „starom" šifrom to nije ni moguće. Nekako smo skeptični da je to baš tako, no mnogi će povjerovati u to. Koliko je siguran SpiderOak? Ista stvar kao i MEGA, tj. ista politika.

Apple tvrdi da je njihova SMS/MMS usluga iMessage u potpunosti kriptirana – glasovna i pisana komunikacija i da ju oni ni neka treća strana ne mogu presresti. To nije open source usluga i ne znamo kako funkcionira i da li je zaista tako. iCloud je isto tako „neprobojan" pa su procurile fotografije poznatih slavnih glumica koje su držale slike u iCloudu. Da li se radilo o klasičnom brute force ili profinjenijem hakerskom napadu, ne možemo reći, no znamo da se Internet mjesec dana zabavljao sa tim slikama.

Jedan od globalnih problema je taj što Vlade diljem svijeta misle da imaju pravo nadzirati komunikaciju, odnosno barem dio komunikacije u svojoj državi. Tako misle da im telekomunikacijske kompanije moraju dostaviti ispise vaših telefonskih poziva, poruka koje ste slali, kada ste se spajali na Internet, što se skidali, koja je bila vaša IP adresa, što ste posjećivali ... To nije stav samo Amerikanaca koji se uvijek pravdaju da tako žele spriječiti terorističke napade, nego gotovo 90% vlada diljem svijeta. Možda se tako spriječi nekoliko terorističkih napada, no teroriziraju se vlastiti građani i narušava se njihovo pravo, a to je pravo na privatnost. Dapače, konvencije UN-a govore o tome, no očito političari misle da su iznad toga i da mogu raditi što žele.

Po nama, mnogo je veći problem što kompanije dobrovoljno daju vaše podatke, a vi tu ne možete ništa. Čak i ako niste „terorist", Vlada će prekopati po vašim dokumentima, slikama i ostalim podacima. Prema tvrdnjama određenih zviždača Google, Yahoo, Apple ... samo su neke kompanije koje su dale pristup raznim agencijama da njuškaju po njihovim serverima i da uvijek mogu vidjeti što se tamo nalazi. Google je „regularno" predao preko 30.000 podataka prošle godine američkim sudovima bez da je ikoga o tome obavijestio. Jednostavno je dao.

Recimo da je jedan Internet korisnik u cloud stavio slike sa ljetovanja. Obične slike kakve ima milijun drugih ljudi diljem svijeta. Agencije koje pregledavaju podatke možda te slike neće ni vidjeti. Ako ih i vide, ne bi im trebale biti zanimljive. No, sa stajališta pojedinca koji je stavio slike u cloud, to je narušavanje privatnosti. I opet to možemo gledati iz nekoliko kutova – da li ga je itko tjerao da koristi baš taj servis? Da li ga je netko natjerao da koristi općenito cloud servis? Nije – no vjerovao je kompaniji koja stoji iza te usluge i ona ga je prevarila.

Situacija kod kompanija je još gora. Mnoge kompanije koriste „sigurne" cloud servise u kojima drže poslovne planove, gdje rade sigurnosne kopije važnih dokumenata i gdje drže razne poslovne tajne. Vjerujući kompaniji koja je razvila uslugu, njihovi podaci su sigurni. A možda baš neka druga kompanija, koja je ujedno i konkurencija spomenutoj, ima te dokumente i zna što dotična kompanija radi. Možda ovo zvuči kao nemoguć scenarij, no prilično smo sigurni da je itekako moguć. Pa svakog tjedna smo svjedoci vijesti u kojima se obavještavaju korisnici određenih servisa da resetiraju i promijene lozinke jer su ih hakeri skinuli sa njihovih servera. Bolje je pitanje što je sa ljudima iza kulisa koji tamo rade. U velikim kompanijama uvijek postoje pojedinci koji zloupotrijebe svoje ovlasti i gledaju ono što ne bi trebali gledati.

Za kraj, dotaknimo se društvenih mreža. Tko je vlasnik podataka koje im date? Vi ili oni? Kratko i jasno – oni. Kompanija kojoj date podatke je vlasnik istih i može ih prodavati trećim stranama bez vašeg znanja i dopuštenja. U EULA-i Facebooka čak i piše da se određeni podaci o vama prodaju. Pogotovo podaci sa slika. Točnije, Facebook skenira vaše slike, traži logo poznatih brendova (recimo da na slici imate Nike majicu) i onda proda vaše podatke toj kompaniji. Cijena? 10-15 dolara po setu podataka o pojedincu. Facebook, Twitter, Google, LinkedIn ... kompanije koje imaju po nekoliko desetaka ili stotina milijuna korisnika žive od toga.

Ukratko – ne, vaši podaci u oblacima nisu sigurni bez obzira što vam netko kaže ili „garantira". Mogu vam obećati što god oni žele, a vi nemate načina saznati to. Čak i da radite u jednoj od tih kompanija, jer određene stvari znaju samo najvažniji pojedinci. Programeri i ostalo „tehničko" osoblje je tamo da radi, a što se radi sa podacima njih nije briga niti će moći to isto saznati. S druge strane, te iste kompanije vas uvjeravaju da je cloud computing super i da su vaši podaci sigurni bez obzira na sve. Jedino mjesto gdje će vam podaci biti sigurni je vaše lokalno računalo. A čak ni tamo ukoliko ste „zaraženi". Ne nasjedajte na priče o velikim enkripcijama, tko zna kakvim tehnologijama zaštite podataka i slično, kada se to zaobiđe u sekundi.

Ali ipak ...
Postoje načini kako da ublažite „katastrofu" i izbjegnete neugodne situacije sa svojim podacima u oblacima. To vrijedi za privatne, odnosno 'normalne' Internet korisnike, kao i za kompanije. Kao što smo rekli, nikada nećete biti 100% sigurni, no sa dobrom praksom možete izvući najbolje od pohrane podataka u oblake, a da pri tome ne kompromirate svoje osjetljive podatke. Najidealnije bi bilo ne koristiti usluge u oblacima, no to je praktički danas nemoguće. Živimo u svijetu gdje podatke moramo imati dostupne u svakom trenutku i ovakvi servisi su idealni. Barem u tom pogledu.

1) Izbjegavajte pohranu osjetljivih podataka u oblake – Ovo je vrlo jednostavan korak. Ako je nešto jako osjetljivo i ne želite da netko to vidi, nemojte to pohraniti u oblake. Mnogo puta smo se susreli sa ljudima koji u oblacima drže skenirane privatne dokumente (osobne iskaznice, putovnice) ako im ikada zatrebaju. Te situacije se gotovo nikada ne dogode, a pitanje je tko je vidio te vaše skenirane dokumente. Danas se podaci najviše i kradu kako bi se došlo do određenih osobnih informacija, a ovako im praktički informacije dajete na pladnju. Ako ih baš morate imati u oblacima, kriptirajte ih sa nekim drugim alatom lokalno na računalu i tek ih onda dignite u oblake. Jedan od preporučenih alata je AxCrypt koji bi svatko trebao imati na računalu – alat za brzo i efikasno kriptiranje podataka. Ako se netko i dokopa te kriptirane datoteke, teško će ju otključati bez ključa. Pobrinite se da ključ bude jako dugačak i kompleksan.

2) Čitajte uvjete korištenja i EULA-u – Vjerojatno niste nikada u životu pročitali tako nešto, no trebali biste. Rekli smo već da vam kompanije mogu obećati i napisati što god žele i vi to ne možete provjeriti. I dalje stojimo iza toga, no ipak biste uvjete korištenja trebali pročitati jer određeni servisi imaju stavke u kojima jasno kažu koje podatke o vama prodaju, koje filtriraju, čitaju ... Google je jedna od njih – svi koriste njihove usluge, a jako mali broj ljudi je zapravo pročitao EULA-u u kojoj jasno piše da Google podatke filtrira i prodaje. Točno vam piše koji su to podaci i kako to rade. Drugi servisi možda to neće tako napisati, no svakako vrijedi pročitati što oni nude i kako „posluju".

3) Koristite jake lozinke – Ovo upozorenje ste čuli već 1000 puta, no većina hakerskih napada se radi pomoću brute force tehnike. To je tehnika kod koje se pogađa šifra tako da se krene od određene kombinacije, recimo „aaaaaa" pa nadalje. Ako vam je šifra marko12345, vrlo vjerojatno će se šifra relativno brzo pogoditi. No ako vam je šifra „r(Hm:u7r9vJ=#5q/=k" tada vjerojatno neće. Što duža šifra to bolje! Svakako preporučamo korištenje softvera kao što su 1Passfort ili LastPass koji za vas generiraju i pamte šifre. Također, bilo bi idealno na svakoj stranici koristiti drugačiju šifru jer ako vam netko i nađe šifru, od recimo, Twittera, neće moći uči na PayPal račun, Facebook, Google ... Ako imate istu šifru, a vrlo vjerojatno i korisničko ime/email, onda će vam moći ući u sve servise koje koristite.

4) Kriptirajte – Kao što smo rekli, jedini relativno siguran način pohrane podataka u oblake je kriptiranje podataka lokalno na računalu, te naknadno pospremanje u cloud. Morate razlikovati takvo kriptiranje i kriptiranje podataka koje vam „garantira" određena usluga. Ako vi podatke pošaljete na udaljeni server i oni se tamo kriptiraju, to znači da ih je tamo lako i dekriptirati – o tome smo već rekli u tekstu. No kada vi kriptirate sa posebnim alatom podatke na računalu, a zatim ih pošaljete na server, praktički imate dvije enkripcije. Prva je vaša i druga je od servisa kojeg koristite. Čak da netko probije zaštitu od servisa, vaši podaci su dodatno kriptirani jakim algoritmom i nitko ne može ništa sa vašim podacima. Postoje određeni 256-bitni algoritmi koji su, barem zasada, neprobojni, odnosno nije ih moguće otključati bez ključa. Ako je ključ dugačak i kompleksan, praktički ne postoji ni teorijska šansa da ga netko pogodi i otključa vaše podatke. Preporučamo alate AxCrypt i GPG/PGP, te algoritam AES.

Zaključak
Koliko god vam možda neke stvari u ovom tekstu zvučale nevjerojatno, budite sigurni da se događaju. Velike kompanije žive od vaših podataka i nema razloga zašto oni vaše podatke ne bi pregledavali, analizirali i na kraju krajeva prodavali i zarađivali od njih. To je ogroman novac, posebice ako imate na milijune korisnika koji vam podatke praktički daju. To je također poseban problem, no o tome nekom drugom prilikom.

Možda će mnogi od vas reći: „Neka pregledavaju moje podatke, ja ništa ne skrivam niti imam nešto ilegalno ili kompromitirajuće". To je loš stav jer svjesno dopuštate da vam netko narušava privatnost, a vas za to nije briga. Svi Internet korisnici bi se trebali boriti protiv toga i to svim mogućim sredstvima. Jedan od načina je kriptiranje podataka tako da oni za druge budu neupotrebljivi pa ih neće moći prodati ili iskoristiti na bilo koji način. Društvene mreže su ipak posebna priča kada su mnogi podaci sa tih mreža javni i vi ih dajete drugima da ih vide, no ipak biste i tu trebali biti oprezni. Tko zna kako bi netko jednog dana mogao iskoristiti informacije.

Ovaj tekst bi vas trebao upozoriti da nije sve onako kako se čini i da cloud nije sigurno mjesto. Tome svjedoče na stotine članaka relevantnih IT stručnjaka koji će vam, u malo širem obliku, reći što smo vam i mi rekli. Stoga, već danas počnite brinuti o svojoj privatnosti i sigurnosti, obrišite osjetljive podatke iz clouda (mada ti isti podaci ostaju i dalje na udaljenim serverima) i počnite štititi svoje podatke. Oni su vaši bez obzira na EULA-u i samo vi imate pravo na njih!

Autor: Boris Plavljanić

MicrosoftTrend MicroCiscoCarnetDebian

Online?

Trenutno aktivnih Gostiju: 79 

Partneri

  • Microsoft
  • Trend Micro
  • Metronet
  • Asbis
  • Dell
  • CARNET
  • Olympic International
  • Dubrovnik Telekom
  • RECRO
  • ...