Поскольку отдельные пользователи компьютеров все чаще выходят в Интернет с различных смартфонов, планшетов и ноутбуков, многие предпочитают использовать облачные онлайн-сервисы для хранения и синхронизации своего цифрового контента. Облачное хранилище позволяет потребителям извлекать свои данные из любого места с помощью любого устройства и может обеспечивать важные резервные копии в случае отказа жесткого диска. Но хотя люди обычно проявляют бдительность в отношении принятия мер безопасности на персональных компьютерах, они часто не задумываются о том, насколько безопасны их файлы в облаке.
Теперь результаты, полученные группой под руководством Цзянин Чжоу из Института исследований информационно-коммуникационных технологий ASTAR в Сингапуре, обещают улучшить безопасность популярных онлайн-сервисов и лучше защитить пользователей за счет выявления скрытых недостатков, связанных с важной функцией облачного хранилища. - возможность делиться файлами с друзьями, коллегами или публикой1.
Обмен контентом - это привлекательный способ, позволяющий удаленным коллегам просматривать и совместно работать над проектами без использования вложений электронной почты, которые часто имеют строгие ограничения по размеру файла. Обмен данными может быть: публичным, без контроля доступа; частный, в котором поставщик облачных услуг аутентифицирует совместное использование с помощью элементов управления входом; или совместное использование «секретного» универсального указателя ресурсов (URL), когда люди без учетной записи в облачной службе могут получить доступ к данным, перейдя по определенной веб-ссылке.
Исследователи под руководством ASTAR проанализировали безопасность трех известных поставщиков облачных услуг - Dropbox, Google Drive и Microsoft SkyDrive - и обнаружили, что все три имеют уязвимости, с которыми могут столкнуться многие пользователи. Они обнаружили несколько рисков, связанных с обменом секретными URL-адресами. Поскольку URL-адреса сохраняются на различных сетевых серверах, в истории браузера и в интернет-закладках, у третьих лиц часто есть возможность получить доступ к личным данным. Кроме того, получатель URL-адреса может отправить ссылку другим лицам без согласия владельца данных.
Еще одна опасность заключается в практике сокращения URL-адресов - сокращении длинных веб-адресов до кратких буквенно-цифровых последовательностей для облегчения обмена на мобильных устройствах. Хотя исходный URL-адрес может указывать на частный файл, сокращение превращает этот адрес в обычный текст, не защищенный шифрованием. Чжоу также отмечает, что, поскольку короткие URL-адреса имеют очень ограниченную длину, они подвержены атакам грубой силы, которые могут выкапывать предположительно секретные файлы.
Чжоу объясняет, что основная причина проблем с безопасностью в облаке заключается в необходимости сбалансировать удобство использования с защитой конфиденциальности. «Пользователи должны быть осторожны, когда они обмениваются файлами в облаке, потому что ни одна система не является абсолютно безопасной. Между тем, облачная индустрия должна постоянно повышать планку против новых атак, сохраняя при этом максимально функциональную работу сервиса».