O Instituto Fraunhofer encontra vulnerabilidades de segurança nos serviços de armanezamente na Nuvem/Cloud
O Instituto Fraunhofer para a Informação Tecnológica Segura (Fraunhofer Institute for Secure Information Technologoy) - SIT - testou sete serviços que fornecem armazenamento na nuvem (cloud) e publicou os resultados num relatório de livre acesso, que, caso queiram uma maior e melhor explicação sobre todo o processo de Estudo e os resultados obtidos, aconselho-os a descarregarem e lerem (em Inglês).
Os autores deste relatório encontraram vulnerabilidades que afectam o registo e o processo de "login", a encriptação e o acesso partilhado aos dados em vários dos serviços.
O estudo centrou-se nos serviços, CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One e o Wuala. Cada um deles pode ser acedido directamente através da instalação de um software pertença de cada serviço no Sistema Operativo do utilizador.
Os investigadores não tiveram em conta serviços como o Amazon's S3 que só estão acessíveis via uma API. Em resposta a perguntas por parte dos colaboradores do site HOnline à empresa Heise Security, um porta-voz confirmou que iria ser efectuado um Estudo subsequente tendo em conta outros grandes fornecedores deste tipo de serviços e que o mesmo já está a ser planeado.
As funções examinadas pelo Fraunhofer foram a Cópia, Backup, Sincronização e Partilha. Apenas o TeamDrive e o Wuala oferecem todas as quatro opções (features). O CrashPlan e o Mozy apenas oferecem a opção de Backup – opção a qual, não é oferecida pelo CloudMe, Dropbox ou o Ubuntu One.
O pior serviço em termos de performance, no que toca aos factores de Segurança dos que foram testados, foi o CloudMe. Este não encripta os dados, nem antes, nem durante a transferência dos mesmos. Os investigadores também criticaram o CrashPlan, o TeamDrive e o Wuala por usarem os seus próprios protocolos de encriptação não publicados (desconhecidos) em vez daquele que é o Standard, o SSL/TLS.
O CloudMe, o Dropbox e o Ubuntu One também perdem terreno pelo facto de não usarem a encriptação do lado do cliente (client-side encryption), isto significa que o fornecedor do serviço podia e pode ler (ter acesso) os dados do cliente. O Wuala oferece esta opção, mas o processo de encriptação usado pode permitir ao fornecedor a capacidade de reconhecer ficheiros duplicados
Tabela 1
| Opções-> | Copy | Backup | Sync. | Sharing |
|---|---|---|---|---|
| CloudMe | + | + | ||
| CrashPlan | + | |||
| DropBox | + | + | + | |
| Mozy | + | |||
| TeamDrive | + | + | + | + |
| UbuntuOne | + | + | + | |
| Wuala | + | + | + | + |
Tabela 1 -> Opções (features) dos serviços de armazenamento na Nuvem (Cloud)
Tabela 2
| Opções-> | Registration | Transport | Encryption | Sharing | Deduplication |
|---|---|---|---|---|---|
| CloudMe | -- | -- | -- | - | % |
| CrashPlan | + | +- | + | % | + |
| DropBox | - | + | - | +- | + |
| Mozy | +- | + | +- | % | - |
| TeamDrive | +- | +- | + | +- | % |
| UbuntuOne | ++ | + | -- | ++ | + |
| Wuala | - | +- | +- | +- | - |
Tabela 2 -> Pontuações: + + muito bom, + bom, ± algumas vulnerabilidades, - mau, - - muito mau, % não disponível
O Estudo dedica também um capítulo à parte legal. Os autores do Estudo notaram que o US Patriot Act (Lei do Acto Patriota dos EUA) influencia o nível de protecção relativamente aos dados guardados pelas companhias Americanas, tendo os utilizadores menos garantias do que os da União Europeia.
Das companhias estudadas, apenas o CloudMe (Suécia), o TeamDrive (Alemanha) e o Wuala (Suíça) não estão abrangidos pela jurisdição desta legislação.
Espero que este artigo ajude os utilizadores deste forum a ter em conta as opções disponíveis relativamente a este tipo de serviços e, a tomarem de forma informada, uma decisão sobre qual ou quais usarem tendo em conta o que pretendem e o que é efectivamente fornecido.
Não deixem de partilhar a vossa opinião e referirem o serviço ou serviços que utilizam.
FONTE: HOnline
Cumps.
