Autor: Vojtěch Bednář, externí redaktor ICTsecurity

Služby pro zpřístupnění a synchronizaci dat si nacházejí stále více příznivců mezi organizacemi; dokonce i ve svých bezplatných podobách. Jak je to s jejich bezpečností, a jaká jsou rizika?

Donedávna to byl jen barevný sen o cloud computingu, který se realizoval jen organizacím s vlastními dokumentovými servery (a synchronizačními aplikacemi). Představa sdílených dokumentů dostupných odkudkoliv, kdykoliv, a především synchronizovaných tak, že každý uživatel na kterémkoliv místě má lokálně k dispozici nejnovější verzi a současně ji může poskytnout všem ostatním, byla velmi lákavá, ale současně její realizace poměrně omezená.

Doba se změnila. Ke splnění snu o kdekoliv dostupných a plně synchronních dokumentech již nepotřebujeme vlastní servery ani VPN. Na internetu existuje celá řada služeb, které zajišťují synchronizaci složek a online sdílení dokumentů. Nástroje jako Live Mesh, nebo Dropbox si stále častěji nacházejí cestu i do organizací. Někdy dokonce ve svých bezplatných základních podobách (na což typicky nejsou určeny).

Již z laického pohledu je zřejmé, že nahrávání dokumentů na vzdálené servery mimo vlastní kontrolu může být problém z bezpečnostního hlediska – a stejně tak jejich přenos do klientských počítačů. Jak je to s bezpečností služeb veřejného Cloud Computingu? Co je skutečným rizikem? A mají tyto služby v organizaci vůbec své místo?

V cizích rukou

Aby byla možná online synchronizace dokumentů mezi počítači, a také jejich zpřístupnění pomocí webového rozhraní je nezbytné, aby veškerý obsah, který projde cloud službami byl nahráván na server jejich provozovatele. Přímá synchronizace na bázi P2P mezi klienty by sice byla možná (a v praxi se používá, ovšem u jiného typu služeb), ale současně by služby připravila o podstatnou část jejich funkcionality. Důsledkem toho je, že data, která cloud nástroje spravují, se nacházejí na serverech jejich provozovatelů, kam (a odkud) jsou přenášeny po veřejné síti. Tyto skutečnosti představují základní determinanty bezpečnosti těchto nástrojů, protože ať chceme nebo ne, naše dokumenty jsou při jejich využívání v cizích rukou.

Elementárním rizikem použití veřejných služeb pro Cloud computing je, že se data, která pomocí těchto služeb synchronizujeme, dostanou do rukou někoho, komu nejsou určena. Podružným (i když také závažným) rizikem pak je jejich poškození, nebo dokonce zničení. K obojímu může dojít hned několika cestami.

Provozovatelé služeb sdílení složek pochopitelně hasí obavy uživatelů tím, že jejich nástroje používají šifrování, bezpečnou autentizaci (prakticky vždy pomocí klasické kombinace jména a hesla) a ochranné nástroje pro udržení bezpečnosti dokumentů. Má to však několik otazníků. To, že se využívá šifrování při přenosu dokumentů mezi lokálním klientem a serverem neznamená, že data jsou šifrována i na samotném serveru (z hlediska provozovatele služby je jednodušší zajistit kódovaný přenos, než kódované úložiště). I když napadení konkrétního uživatelského účtu bez znalosti jeho přihlašovacích údajů není příliš pravděpodobné, žádný zákazník/uživatel synchronizační služby neví, v jakém stavu jsou jeho dokumenty u provozovatele.

Programy a účty

Dalším potenciálně slabým místem synchronizačních služeb jsou klientské aplikace. Provozovatelé služeb se snaží zajistit interoperabilitu mezi různými operačními prostředími a platformami, což je jen dobře a pro blaho uživatelů. Současně se tak ale zvyšuje pravděpodobnost toho, že některý z jejich klientů obsahuje doposud nezjištěné bezpečnostní chyby. Klientské aplikace jsou samy o sobě nepoužitelné bez údajů o uživatelských účtech, s nimiž mají být propojeny. Jakmile jsou do nich ale údaje zadány, uchovávají je, někdy v podobě reverzibilního šifrování. Aplikace s uloženými přístupovými údaji může být předmětem exploitu, přičemž v případě úspěšného překonání jejího zabezpečení není napaden pouze ten počítač, na kterém k incidentu došlo, ale (a hlavně) celý uživatelský účet, tj. všechny dokumenty v něm uložené. Aktualizace a patchování bezpečnostních vad je přitom zcela v režii provozovatele služby pro všechny podporované platformy.

Samotné uživatelské účty jsou identifikovány kombinací jména a hesla. Potenciální útočník může jejich ochranu překonat jednak odposlechnutím kombinace při zadávání do lokální aplikace, a jednak do webového rozhraní. Právě webové rozhraní představuje vyšší riziko proto, že se k němu uživatelé připojují i z neověřených a neznámých počítačů. Uživatelské údaje jsou platné univerzálně a tak je možné napadnout účet v synchronizační službě v extrémním případě tím, že si do sítě počítačů uživatele útočník přidá svého vlastního klienta. Synchronizační služby sice uživatelům ukazují změny v jejich datovém okruhu, ale přidání dalšího počítače si ne nutně musí všimnout.

Stejně tak je zdrojem potenciálních problémů funkce sdílení dat, kterou některé ze služeb nabízejí. V případě byť i krátkodobého průniku do uživatelských účtů (například zapomenuté otevřené sezení na veřejném počítači) je možné změnit nastavení tak, že účet sdílí veřejně data, která jeho majitel sdílet nechce. A tak bychom mohli pokračovat dál.

Ve víru změn

Jestliže základní funkci cloudových služeb pro synchronizaci dokumentů je udržet soubory na různých zařízeních ve stejně aktuálním stavu, pak jedním z rizik je riziko jejich poškození. Služby udržují na serverech aktuální verze dokumentů. Některé z nich uchovávají také historii, tedy starší verze souborů, případně alespoň popisy jejich změn, ale to neplatí vždy. Navíc ani v případě, že je k dispozici starší verze nelze vždy zabránit ztrátě dat způsobené tím, že došlo (například náhodou) k současné synchronizaci téhož souboru ze dvou míst zároveň.

Negativně se též může projevit záměrné či náhodné smazání souboru, a jeho nahrazení zcela jiným souborem sdílejícím s původním název. Útočník může poškodit uživatele synchronizačních služeb prakticky jakoukoliv změnou ve struktuře a v obsahu souborů, které se mu podaří dosáhnout, protože tato změna je ihned distribuována do všech ostatních zařízení. Platí přitom, že škoda je tím větší, čím později si jí poškozený všimne. V případě, kdy uživatel synchronizační služby má ve svém účtu komplikovanou strukturu složek a souborů to může být za docela dlouhou dobu.

Data ovšem nemusí poškodit jen cílený útok. Selhat může kontrola integrity v klientské aplikaci, případně propojení mezi touto aplikací a serverem, přičemž kontraproduktivní roli zde může sehrát i zmiňované šifrování přenosu, jehož hlavním cílem je starat se o bezpečnost. V každém případě platí, že i přes přítomnost ochranných mechanismů a u některých služeb ukládání verzí riziko poškození dat (záměrného i náhodného) není zanedbatelné.

Bez záruky

Synchronizační služby, zejména ve své veřejně dostupné podobě, jsou službami bez záruky. Těžko je lze používat k zálohování, ke kterému nejsou ani v principu určeny. Ale současně se na ně ani nelze plně spolehnout v oboru, pro který určeny jsou, to znamená v oblasti udržování a zpřístupnění dat. Pokud jsme v pozici platících zákazníků, pak provozovatel služby musí, respektive měl by poskytovat záruky na funkčnost své služby. U volně dostupných služeb určených veřejnosti to ale je jen těžko možné.

Nabízí se tedy otázka; používat, nebo nepoužívat veřejné služby pro zpřístupnění a synchronizaci dokumentů? Je potřeba říct, že v podstatě použitelné jsou, a mohou být také docela užitečné. Tyto služby řeší problém, který by byl jinak řešitelný pouze za pomocí vlastních technologií, serverů a aplikací. Řeší jej jednoduše, uživatelsky snadno a překvapivě prakticky. Je ovšem nezbytné nenechat se ukolébat sliby provozovatelů těchto služeb o jejich bezpečnosti a bezproblémovosti.

Základní radou je uchovávat v co největším bezpečí přihlašovací údaje, neinstalovat klienty a nelinkovat účty na větší počet počítačů, než je absolutně nezbytné a dále omezit přistupování k těmto službám, respektive k jejich veřejnému rozhraní z veřejně dostupných počítačů. I když je to komplikace, vyplatí se čas od času změnit přístupové heslo (s následnou de-autentizací všech klientů), a hlavně sledovat seznam změn souborů.

A konečně platí, že důležité dokumenty, které synchronizujeme pomocí nástrojů veřejného cloud computingu by měly existovat i jinde, než jen ve složkách, které jsou spravovány klienty těchto nástrojů.

Autentizace | Cloud computing | Šifrování | Zálohování a Backup