CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

17/05/2012

Detecten greus carències i negligència en servicis d'emmagatzemament en el núvol

Cloud Computing Un nou informe revela greus problemes de seguretat amb servicis d’emmagatzematge en el núvol com Dropbox i semblants.

Investigadors alemanys de l’Institut Fraunhofer han analitzat el funcionament de Dropbox, Cloudme, Mozy, Ubuntu One i altres tres servicis d’emmagatzematge en el núvol. El seu informe, titulat "On The Security of Cloud Storage Services" ("Sobre la seguretat dels servicis d’emmagatzematge en el núvol"), demostra que la seguretat d'estos servicis és, en la majoria dels casos, insuficient.

Cap dels servicis estudiats complix un estàndard satisfactori de seguretat, i uns quants no utilitzen l'encriptació necessària per a protegir les dades dels seus usuaris. Presenten, a més, problemes tècnics i carències en la interfície d’usuaris, que pot provocar que informació confidencial pujada per estos al núvol d'usuari siga indexada per buscadors.

Cloudme, Dropbox i Wuala presenten problemes en el registre de nous usuaris, on ni tan sols es controla que l’adreça de correu electrònic que ingressen és correcta. Això implica que persones desconegudes poden, per exemple, obrir un compte en nom d’una altra persona, pujar material il·legal i després denunciar la víctima a la policia.

El servici Cloudme no encripta la transferència de dades, mentres que Crashplan, Teamdrive i Wuala utilitzen protocols propis, no certificats per entitats especialitzades. Dropbox no utilitza encriptació en els seus servidors i, per tant, té accés a totes les dades pujades pels usuaris. Mozy, per la seua banda, transmet els noms dels arxius sense encriptar-los.

Quan els usuaris opten per intercanviar els seus arxius amb altres usuaris no subscriptors del servici, allò més normal és que el sistema genere un URL llarg i aleatori. Segons els investigadors, este procés té diversos errors, que poden provocar que les dades queden a disposició d’intrusos.

Els científics de l’Institut Fraunhofer recomanen als mateixos usuaris encriptar les seues dades amb programes com Truecrypt, EncFS i GnuPrivacyGuard, abans de pujar-los al núvol.

D’altra banda, l’informe fa referència als problemes jurídics que es presenten en emmagatzemar dades en servicis amb seu als Estats Units. En este cas, es corre el risc que les autoritats exigisquen al proveïdor l’entrega de les dades invocant la "Llei Patriòtica". Esta situació també afecta proveïdors europeus de servicis d’emmagatzematge en el núvol.

En 2011, una publicació alemanya va revelar que les autoritats nord-americanes tenen accés als servidors de Google a Europa.

 

 

Investigadors alemanys de l’Institut Fraunhofer han analitzat el funcionament de Dropbox, Cloudme, Mozy, Ubuntu One i altres tres servicis d’emmagatzematge en el núvol. El seu informe, titulat "On The Security of Cloud Storage Services" ("Sobre la seguretat dels servicis d’emmagatzematge en el núvol"), demostra que la seguretat d'estos servicis és, en la majoria dels casos, insuficient.

Cap dels servicis estudiats complix un estàndard satisfactori de seguretat, i uns quants no utilitzen l'encriptació necessària per a protegir les dades dels seus usuaris. Presenten, a més, problemes tècnics i carències en la interfície d’usuaris, que pot provocar que informació confidencial pujada per estos al núvol d'usuari siga indexada per buscadors.

Cloudme, Dropbox i Wuala presenten problemes en el registre de nous usuaris, on ni tan sols es controla que l’adreça de correu electrònic que ingressen és correcta. Això implica que persones desconegudes poden, per exemple, obrir un compte en nom d’una altra persona, pujar material il·legal i després denunciar la víctima a la policia.

El servici Cloudme no encripta la transferència de dades, mentres que Crashplan, Teamdrive i Wuala utilitzen protocols propis, no certificats per entitats especialitzades. Dropbox no utilitza encriptació en els seus servidors i, per tant, té accés a totes les dades pujades pels usuaris. Mozy, per la seua banda, transmet els noms dels arxius sense encriptar-los.

Quan els usuaris opten per intercanviar els seus arxius amb altres usuaris no subscriptors del servici, allò més normal és que el sistema genere un URL llarg i aleatori. Segons els investigadors, este procés té diversos errors, que poden provocar que les dades queden a disposició d’intrusos.

Els científics de l’Institut Fraunhofer recomanen als mateixos usuaris encriptar les seues dades amb programes com Truecrypt, EncFS i GnuPrivacyGuard, abans de pujar-los al núvol.

D’altra banda, l’informe fa referència als problemes jurídics que es presenten en emmagatzemar dades en servicis amb seu als Estats Units. En este cas, es corre el risc que les autoritats exigisquen al proveïdor l’entrega de les dades invocant la "Llei Patriòtica". Esta situació també afecta proveïdors europeus de servicis d’emmagatzematge en el núvol.

En 2011, una publicació alemanya va revelar que les autoritats nord-americanes tenen accés als servidors de Google a Europa.

 

 

Font: Diario Ti

CSIRT-CV