«Облака» в тумане: чем опасны cloud-сервисы

Новости Угрозы

Первая неделя сентября ознаменовалась эпичнейшей новостью об утечке личных фото- и видеоматериалов знаменитостей, в том числе голливудской звезды Дженнифер Лоуренс и некоторых других. Несмотря на то что источников конфиденциальных данных было несколько, больше всего досталось компании Apple, ее облачному хранилищу и сервису Find My iPhone.

После скандала, разумеется, последовали всевозможные слухи о взломах iCloud, рассуждения о несовершенстве систем защиты и бесконечные споры о том, кто и как умудрился собрать внушительную базу чужих фоток. Мы же хотим коснуться другой, не столь очевидной проблемы: большинство пользователей понятия не имеют о том, что их данные хранятся не только в их смартфонах и планшетах, но и в так называемом «облаке», а те, кто все-таки об этом знает, как правило, не очень хорошо себе представляют, что с этими данными там происходит, каким образом они защищены и кто имеет к ним доступ.

Если задуматься, то столь удручающая ситуация в некоторой степени обязана своим существованием самим компаниям, предоставляющим облачные сервисы. Google, Facebook, Apple, Microsoft и прочие гиганты столь же активно развивают свои cloud-продукты, сколь часто дополняют и меняют условия их использования, непонимание или даже незнание которых очень часто становится причиной многих проблем. И беда не в том, что кто-то недостаточно грамотен для понимания принципов работы облачных хранилищ, а в том, что угнаться за постоянно меняющимися нюансами их функционирования зачастую довольно трудно, если вообще возможно.

Несколько лет назад, когда Apple только-только запустила поддержку iCloud на всех устройствах, один из моих коллег стал жертвой этого феномена, поучаствовав в переписке с приятелем:
Приятель: Ну что, где сегодня встречаемся?
Коллега: Без разницы. Главное — чтобы поближе, а за барной стойкой была как минимум одна горяченькая барменша.

То, что за облачный сервис взимается плата, вовсе не означает, что он будет защищен лучше, чем бесплатный аналог

Довольно безобидно… было до тех пор, пока iCloud не решил синхронизировать все сообщения iMessage между всеми девайсами коллеги. Таким образом его переписка прилетела на iPad, который на тот момент был в руках его сына, который, в свою очередь, тут же пошел к маме продемонстрировать непонятно откуда появившееся сообщение. Что было дальше, догадаться нетрудно.

С тех пор Apple, как известно, слегка подкорректировала принцип синхронизации, а особо продвинутые родители соответствующим образом настроили отданные своим детям устройства, но проблему это едва ли решило: очень немногие имеют четкое представление о том, где именно находятся их данные, кто имеет к ним доступ и каким образом они защищены.

Кстати, о защите облачных хранилищ (особенно тех, которые нацелены на обычных пользователей): в ряде случаев механизм авторизации в таких сервисах надежен лишь условно и очень часто взламывается при помощи примитивных методов вроде социальной инженерии или на худой конец несложных программ и скриптов, не требующих даже минимальных знаний в предметной области. Положение слегка исправляет двухфакторная аутентификация, но именно что слегка: во-первых, она есть не везде, а во-вторых, у нее тоже есть серьезные недостатки, сильно ограничивающие круг тех, кто этой функцией пользуется.

Кроме того, как я уже сказал выше, пользователи понятия не имеют, у кого на самом деле есть доступ к их данным, потому что никто (подчеркиваю: никто!) не читает соглашения об использовании — длинные документы, которые мы вынуждены «подписывать», если хотим получить доступ к тому или иному интернет-сервису или ПО. Те же, кто хоть как-то разобрался в этом вопросе (и ужаснулся), вынуждены страдать от другой проблемы, заключающейся в сложности управления всем тем добром, что оказалось в «облаках». Кто-то сейчас, конечно, скажет, что это цена, которую мы вынуждены платить за бесплатность сервисов. Этот аргумент давно стал притчей во языцех, и он, безусловно, в какой-то степени справедлив. Только вот беда в том, что факт взимания платы за подобные сервисы или отказ от их бесплатных версий вовсе не означает избавление от вышеописанных проблем.

То, что было продвинутой атакой вчера, сегодня может стать обыденным делом

Взять, к примеру, многочисленные онлайн-сервисы, позволяющие увеличить свою производительность: почтовые сервисы, планировщики, таск-менеджеры, системы управления заказами, клиентами и так далее. Если вы не используете подобные вещи, значит, вы, скорее всего, будете отставать от конкурентов, которые оказались более благосклонны к инновациям. Так что вы или играете по тем же правилам, что и все, или мигом оказываетесь аутсайдером.

Но вот беда: все подобные современные сервисы неразрывно связаны с Интернетом и теми «облаками», посредством которых происходит создание, передача и хранение данных. Технически эти «облака» представляют собой всего лишь кучу серверов, расположенных в каком-нибудь Купертино или, что более вероятно, в месте с более скромной арендной платой за помещение. То есть они находятся в конкретном месте на вполне конкретных физических носителях. И вот тут возникает масса вопросов: а что происходит с этими данными? Они кем-нибудь индексируются? У кого есть доступ к ним? Может ли, скажем, некая государственная структура получить эти данные? А конкуренты могут? Вот почему аргументы типа «тем, кому нечего скрывать, нечего и бояться» не выдерживают никакой критики: потому что тех, «кому нечего скрывать», просто не существует. Кроме того, скрывать что-либо — это пока еще не обязательно преступление.

Проблема тем временем становится все больше и шире, все сильнее влияя на личную жизнь каждого из нас. Куда отправляются данные с вашего фитнес-трекера? Вы знаете, у кого есть доступ к ним? Можете ли вы быть уверены в том, что однажды эти данные не повлияют на стоимость вашей медстраховки?

Apple и другие компании зарабатывают огромные деньги на своих облачных сервисах и при этом причинами утечки фотографий знаменитостей называют продвинутые целевые атаки. Окей, не вопрос, только вот то, что было «продвинутым» вчера, может стать совершенно обыденным уже к тому моменту, как вы дочитаете этот пост. Пора признать, что у всех нас большие проблемы и с этим надо что-то делать. Как минимум не игнорировать необходимость надежной защиты на своих устройствах и не забывать о том, что эта защита работает особенно эффективно в связке с вашей бдительностью и образованностью.