Sensitiv informasjon bør IKKE lagres i dagens nettskyer – spesielt ikke amerikanske.


cloud

En rekke amerikanske nettskyer som iCloud, SkyDrive, DropBox og Google Drive har blitt svært populære de seneste årene. Nå advares bedrifter, organisasjoner og privatpersoner mot å lagre sensitiv informasjon her.

Som å sende NSA og alle konkurrentene en kopi

Grunnen er enkel. Å lagre informasjonen her, er det samme som å sende NSA en kopi av all sensitiv informasjon man måtte sitte på. Hva dem så gjør med denne informasjonen, og hvem de deler den med er usikkert. Det er allerede kommet frem at NSA deler informasjonen sin med Israel, England, Tyskland og Sverige, men dette er bare toppen av isfjellet. At de må gi noe tilbake til Microsoft, Google, Yahoo, Facebook, Verizon, Apple, Oracle og andre amerikanske selskaper som gir dem tilgang til sine systemer og hjelper dem med å knekke sine egne sikkerhetsmekanismer og installere bakdører, bør være innlysende. Hvilke andre som også får tilgang til dataene, er høyt uvisst – ennå. Frykt derfor det verste, og sørg for at all sensitiv informasjon ligger på et trygt sted.

Eksempler på sensitiv informasjon

Eksempler på sensitiv informasjon som ikke bør lagres i dagens nettskyer er: personopplysninger, økonomiske opplysninger, regnskapsdata, bedriftshemmeligheter, produksjonsmetoder og teknikker, forretnings kontrakter og avtaler, forskningsresultater, tegninger, planer, kildekoder, prosjektinformasjon og lignende informasjon som konkurrenter og andre kan ha interesse av å få tilgang til.

DropBox, SkyDrive og Google Drive åpner og skanner alle dine filer

WNC InfoSec har avdekket Dropbox smugtitter på visse filer som lastes opp til brukerens private Dropbox-konto. De utførte en test ved hjelp av HoneyDocs-tjenesten som gir en logg som forteller når og hvor dokumentet er blitt åpnet.

10 minutter etter at de hadde lastet opp en zip-folder med embeddede .doc-filer, ble de første filene åpnet viser loggen. Alarmen programmet sender ut på SMS og epost kom fra en IP-adresse som tilhørte Amazon EC2 i Seattle, USA. som Dropbox bruker som leverandør av sine cloud-tjenester.

Ifølge Dropbox er dette vanlig praksis.De sier at dette er nødvendig for at brukerne deres skal kunne få se en forhåndsvisning av sine doc, pst og pdf filer, før de åpner dem. Filene åpnes utelukkende for å lage et forhåndsvisning av dem til brukerne, ikke noe annet, hevder DropBox. De sier også at det kun er en liten gruppe medarbeidere som har tilgang til bruker-dataene, og at support medarbeidere kan ha tilgang til noe av metadataene, men aldri innholdet. Om du velger å stole på dette, blir opp til deg selv.

SkyDrive tjensten til Microsoft er ikke bedre. Deres porno-sensur gjør at de må åpne alle filer og skanne alt innhold, inkludert alle bilder, for å sjekke om dette inneholder ulovlig innhold. De vil ikke ut med detaljer om hvilke teknikker de bruker, men fra Outlook.com tjenesten deres hvor all inngående og utgående epost skannes av deres mailservere for å avgjøre om innholdet er spam, malware eller annet uønsket epost eller ikke, gjør oss temmelig sikre på at SkyDrive tjenesten opererer lignende.

Google sitt omfattende program som går ut på å registrere alle data de kommer over, for å analysere dem og selge dem til sine annonsører for å øke annonseinntektene har lenge vært kjent. Google Drive tjenesten er intet unntak.

iCloude, SkyDrive, Google Drive og Dropbox er pliktig til å utlevere dine data til NSA

Etter Snowden avsløringen i sommer om hvordan NSA har direkte tilgang til alle serverne til Microsoft, Apple, Google, Yahoo, Amazon, Facebook, eBay og andre amerikanske selskaper, er det ikke bare blitt klart at alle amerikanske selskaper er pliktig til å utlevere all informasjon som myndighetene spør om. Selv om informasjonen er om deres kunder som ikke er amerikanske statsborgere.

Utleverer ikke selskapene informasjonen frivillig, får NSA hemmelige rettspålegg fra hemmelige domstoler som pålegger dem å utlevere dem, hvis ikke risikerer de å bli satt i fengsel som landsforedere. Når vi vet dette, bør man stille seg spørsmålet om hvor lurt det er å lagre nyttig informasjon på amerikanske servere.

Tro ikke at situasjonen nødvendigvis er bedre i andre land. Forskjellen mellom USA og de andre større nasjoner, er at de ikke har hatt lekkasjer om sin virksomhet, slik NSA har hatt i sommer.

Norske data bør ligge i Norge

Når du lagrer filene dine i en nettsky, er det ikke lenger norsk lov som gjelder, med mindre du velger en norsk leverandør. Dataene som ligger lagret i en nettsky er underlagt loven i det landet hvor serverne står lagret – uavhengig av hvem som eier serverne eller hvilke kunder som har sine filer lagret på dem.

Vårt råd er derfor å sørge for at alle norske data forblir liggende i Norge, slik at det er norsk lov som regulerer hvem som skal få lovlig tilgang til dem og hva de kan brukes til. Å velge en norsk leverandør holder ikke, da svært mange norske leverandører leier sine servere og infrastruktur fra amerikanske datasentre. Sjekk derfor alltid hvor serverne fysisk befinner seg. Det kan du gjøre ved å sjekke servernes IP-adresser.

Umulig å sende dataene på en trygg måte over nettet

Etter at det ble kjent at NSA har knekt krytperingen av alle de sentrale sikkerhetsprotokollene på Internett, har det blitt klart at det i praksis er umulig å sende informasjon mellom to datamaskiner på Internett uten at NSA skal klare å fange opp innholdet (pakkene som sendes).

Tidligere var SSH, SSL og VPN å anse som tre sikre standarder for overføring av data uten at noen skulle klare å «lytte» på linjen, men etter at det ble kjent at NSA har knekt disse protokollene er det ingen alternativer igjen.

Det gjelder derfor ikke å styre bort fra amerikanske nettskyer, da signalene ofte vil gå utenfor Norges grenser, selv om både din datamaskin og serveren som mottar dataene ligger i Norge. Befinner du deg i Norge og benytter norske servere, er slik overvåkning vanskeligere enn hvis signalene går igjennom et at de store NIX punktene i EU- eller USA, men du er aldri sikret – med mindre du foretar en trace-route hver gang du skal overføre dataene for å sjekke hvilken vei dataene tar fra deg og til målserveren.

Å bruke mobilen og mobilnettet er ikke noe bedre. NSA betaler milliard beløp årlig til amerikanske telecom selskaper for hemmelig tilgang til deres nettverk, og NSA har for lengst sikret seg full tilgang til alle data du har lagret på din mobiltelefon. Ihvertfall hvis du synkronisere denne mot en PC, nettbrett, server eller nettsky.

Data og telefonsamtaler som går utelukkende via nasjonale mobil- og telenett, er imidlertid beskyttet mot NSA sin overvåkning – med mindre de nasjonale myndighetene utleverer slike data til NSA. Sverige og sikkert flere andre land gjør det, mens Tyskland og andre ikke gjør det. Tyskland går faktisk så langt som å anbefale sine teleselskaper om å kun benytte tyske servere og nettverk.

Amerikanske krypteringsnøkler er en vits

Frem til for noen år siden var 120 bits kryptering forbeholdt det amerikanske etterretningsvesnet og ble ansett som et hemmelig våpen. Etter at denne høyeste krypteringsnøkkelen ble sluppet fritt på markedet har mange trodd at det har vært mulig å kryptere dataene på en trygg måte. Det vil si på en måte som gjør det umulig for andre å åpne og lese innholdet i filen, selv om de skulle klare å lyttet på nettverket ditt gjennom å knekke ditt SSL-sertifikat eller VPN-nøkkel og snappe opp pakkene som sendes over Internett.

Det er nå blitt kjent at NSA har lykkes å knekke de fleste krypteringsnøklene som finnes på Internett i dag, og de har til og med fått lov til å skrive den siste sikkerhetsstandarden som brukes av alle de store sikkerhetsselskapene i verden for å kryptere dataene til sine kunder. Har du et anti-virus program, router e.l. fra et amerikansk selskap, bruker dette utstyret mest sannsynlig denne sikkerhetsstandarden.

De amerikanske sikkerhetsstandardene de ikke klarer å knekke selv, tvinger de produsentene til å hjelpe dem med. Flere selskaper, f.eks. Microsoft og Google, har gått offentlig ut og fortalt at de har måtte hjelpe NSA med å knekke deres egen sikkerhet.

Skulle de fortsatt ha problemer, kjøper de kodene de trenger fra andre hackere på Internett. Bare ifjor ble det bevilget 160 millioner kroner til hackere for innkjøp av ondsinnet progravare (hacker koder).

Ønsker man ikke at NSA skal ha full kontroll på sensitive data, bør du velge en russisk eller kinesisk krypteringsnøkkel. De er garantert ikke komprimert allerede av NSA. Spørsmålet er bare om hva de russisk og kinesiske myndighetene har gjort med disse kodene. Har de selv skrevet koden e.l. som gjør at de har full tilgang til all den krypterte informasjonen? Personlig tviler jeg på at disse stormaktene er spesielt bedre enn USA på dette området, med tanke på erfaringene som ble gjort under den kalde krigen på 70- og 80-tallet.

Dårlig sikkerhet i dagens løsninger

Selv om du ikke skulle være redd for at amerikanske myndigheter og konkurrenter skal få tilgang til dine forrretningsdata eller personlige opplysninger, finnes det flere andre gode grunner for å advare mot DropBox, SkyDrive og de andre store nettsky tjenestene. Det største ankerpunktet er ytelsen og sikkerheten.

Det er bare noen dager siden vi publiserte en artikkel om hvor enkelt det er å bryte seg inn på din DropBox konto, og det er allerede skrevet spaltemeter opp og ned om manglende SSL-sertifikater og «sikre» krypteringsnøkler som vanlige private hackere kan hacke enkelt.

 

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: