Article traduït per un sistema de traducció automàtica. Més informació, aquí.

Estan segurs les nostres dades en el núvol?

L'auge de les aplicacions de l'anomenat "núvol" propicia una acumulació de dades molt temptadora pels ciberdelincuentes
Per Jordi Sabaté 21 de juny de 2011
Img nubesegura portada
Imagen: Ricky McGill

El” núvol“està de moda. És a dir, pujar totes les nostres dades als servidorsde les empreses i utilitzar-los des d’allí, o tenir-los sempresincronitzats amb els nostres dispositius, és la tendència mésimportant de l’últim any. Els usuaris, per comoditat, acumulem tota la nostra privadesaen servidors segurs de terceres empreses i així podem accedir aells quan vulguem i des de qualsevol lloc. Fa unes setmanesApple va presentar el seu sistema més innovador en aquest camp, iCloud, idoni per moure’s entre l’iPhone ,l’iMac i l’iPad sense renunciar a res. Ara bé: són el bastant segurs aquestsservidors? La resposta és sí, però també “fins a certpunt” i “de moment”. Els ciberdelincuentes veuen enel “núvol” un sucós botí i cada vegada aprenen millor a trencarels seus forrellats. Sony, Google i Dropbox, entre uns altres, ja han tingutexperiències negatives.

ImgImagen: Ricky McGill

Dir Bruce Schneier enseguretatinformàtica és a dir Cruyff en el futbol. Són dues personesprovocadores, que en ocasions parlen massa, però que rares vegadess’equivoquen en les seves prediccions perquè saben millor queningú de què parlen. Schneier va escriure fa uns mesos un post en el seu blog,titulat “Laera daurada per robar qualsevol cosa“. En ell advertia que l’estructura de seguretat dels servidors que treballen amb“cloudcomputing“, el “núvol”, està subdimensionada si esté en compte el creixent nombre de dades que alberguen.

Una era daurada per la ciberdelincuencia

Schneier vaticinava que laacumulacióde dades provoca un efecte anomenada en la ciberdelincuencia, queaprèn cada vegada més ràpid a saltar-se els protocols, motivada perel gran guany econòmic que suposa robar dades sensibles decentenars de milers d’usuaris. Els mateixos, una vegada en mans delsdelinqüents, es podrien vendre al mercat negre de dades,utilitzar per fer correu brossa o bé per ciberestafas massives. Schneieracaba per comparar la popularitat del sistema operatiu Windowsamb “el núvol” i vaticina una llarga i constant lluita similar a la dels programes antivirus.

El creixement desmesurat d’aquest tipus d’emmagatzematges ha posat en el límit de la seguretat a nombrosos serveis de gran importància

Lluny de ser un provocador,aquesta vegada larealitat li ha donat la raó a Schneier en qüestió de setmanes. Elcreixement desmesurat d’aquest tipus d’emmagatzematges ha posat enel límit de la seguretat a nombrosos serveis de gran importància,com el sistema operatiu per a mòbils Android, la plataforma desincronització d’arxius i còpies de seguretat Dropbox o la xarxasocial Facebook. En tots ells s’han descobert importantsforats de seguretat que exposaven massa les dades personals dels seus usuaris.

Però sens dubte, el serveique s’havist més afectat i potser el primer gran assoliment delsdelinqüents haestat la plataforma de videojocs Playstation Network de Sony.Aquest servei, que manté en els servidors de Sony les dades ivideojocs comprats per l’usuari, de manera que pugui jugar amb ellstant en el seu Playstation de saló, com a PS3 o PSP, el modelportàtil, sense notar el canvi de dispositiu, ha estat atacat ennombroses ocasions durant l’últim mes, alguna cosa que ha posat en lacorda fluixa els seus protocols de seguretat.

Playstation Network, la primera víctima

La Playstation Networkva començar a sofrir pèrdues massives de dades dels seus usuaris a principis delmes de maig, la qual cosa va provocar que Sony tanqués la plataforma durantuna mica més d’una setmana per estudiar on estava el problema, siera una vulnerabilitatdel sistema o bé atacs coordinats de delinqüents.Durant aquest temps, els usuaris es van veure privats de les avantatgese sincronitzar les seves dades, i fins i tot, molts no van accedir alsvideojocs que havien comprat, per la qual cosa Sonyva acordar una compensació amb un mes gratuït d’ús delservei.

Les conclusions van ser ques’havia registrat un atac, que aprofitava diverses vulnerabilitats delsistema de “núvol”, i es va dir que s’havia solucionat. Senseembargament, als pocs dies, un nou atac i una altra sagnia de dadesva posar en escac a Sony. Des de llavors, els atacs han estat intermitents i, encara que laplataforma torna a estar operativa, a Japó i a Àsia, la sevaprincipal mercat, encara està tancada.

Android i les xarxes wifi

En una altra magnitud se situenlesvulnerabilitats del sistema operatiu per a mòbils Android,desenvolupat per Google. Els delinqüents no han explotat les falladesd’Android, però sí experts en seguretat de la universitat alemanya d’Ulm. Aquests es posen de manifest quan el telèfon accedeix a la xarxa de dades mitjançant una connexió wifi. El problema és que, per donar d’alta determinats serveis del sistema, est demana una autenticació mitjançant claus a l’usuari i retorna la resposta en forma defitxer de text, que s’emmagatzema durant 14 dies en “el núvol”del sistema, la qual cosa comprèn tant els servidors com el telèfon.

Un delinqüent pot entrar amb facilitat al sistema del telèfon i apropiar-se del fitxer si la xarxa no té els nivells de seguretat adequats

En un accés wifi, és possible una sincronització del fitxer interferida per tercers obé que un delinqüent entri amb facilitat al sistema deltelèfon i s’apropiï del fitxer si la xarxa no té els nivells deseguretat adequats, alguna cosamolt freqüent. Davant el descobriment d’aquesta fallada, Google esva comprometre a augmentar els nivells de seguretat amb que es guarda elfitxer amb les claus i a reduir el temps de permanència delmateix.

Altres casos

La plataforma desincronització dearxius Dropbox també s’ha qüestionat. Encara que els seus nivells de seguretat són molt elevats, un estudiant de medicina va comprovar que podia entrar als arxius del seu compte sense necessitat d’escriure les claus, ja queabans havien quedat gravades en el navegador. En conseqüència, va posaruna reclamació i el servei va haver de modificar les seves condicions degarantia, en les quals incloïa literalment que era impossibleaccedir sense escriure les claus.

L’empresa de seguretatSymatecva comprovar a mitjan maig quealgunes aplicacions de Facebook havien filtrat dadesconfidencials d’uns 100.000 usuaris, entre ells fitxesambclaus d’accés, a alguns dels anunciants que utilitzen laplataforma per promocionar-se. La filtració es va deure a fallades deseguretat i s’ha recomanat el canvi de claus d’accés a laxarxa.