image

Onversleutelde cloud is privacynachtmerrie

dinsdag 31 mei 2011, 13:13 door Redactie, 3 reacties

Partijen als Google bieden met opzet geen versleutelde cloudapplicaties aan, omdat ze de gegevens van gebruikers willen kunnen doorzoeken. Dat stelt de Poolse rootkit-expert Joanna Rutkowska. De cloud is volgens haar handig voor het delen en synchroniseren van gegevens, toch kleven er ook nadelen aan. "Je hoeft niet slim of securitybewust te zijn om te beseffen wat voor dreiging dit voor veiligheid en privacy is. Willen we onze privacy en veiligheid opofferen in ruil voor het eenvoudig synchroniseren en delen van gegevens. We hebben besloten om de Cloud te vertrouwen, maar wat betekent dat nu?"

Ten eerste moeten gebruikers de cloudaanbieder vertrouwen, dat die privégegevens niet aan iemand anders doorverkoopt, zoals een verzekeringsmaatschappij. Daarnaast moet de software van de cloudaanbieder veilig zijn. Ook moeten gebruikers de infrastructuur van de cloudaanbieder vertrouwen, maar ook de infrastructuur die hier tussen zit. "Dat is heel veel vertrouwen en de belangen zijn hoog. Moeten we echt zo'n offer brengen? Moeten we echt al onze privégegevens overhandigen aan deze organisaties? Natuurlijk niet!", laat de Poolse weten.

De oplossing is volgens haar het versleutelen van gegevens die naar de cloud worden gestuurd. Iets wat de applicatie op de computer van de gebruiker moet worden gedaan en niet in de cloud. Om gegevens toch met anderen te delen zou elk record met een willekeurige symmetrische sleutel voor elke andere gebruiker of machine moeten worden versleuteld. Door de symmetrische sleutel met de publieke sleutel van de andere gebruiker te versleutelen, heeft alleen die persoon toegang.

Vertrouwen
Toch zijn er nog steeds geen client-side versleutelde cloudaanbieders. "De meeste aanbieders vinden het fantastisch dat ze onbeperkt toegang tot de gegevens van hun klanten hebben. Denk je dat Google zit te wachten om de mogelijkheid op te geven dat ze al je gegevens kunnen doorzoeken? Dit kan hun advertenties, gezondheidsonderzoek of het geheime plan om de wereld over te nemen beïnvloeden."

Volgens Rutkowska is er geen technische reden dat gebruikers hun privégegevens aan deze bedrijven moeten toevertrouwen. Ze verwacht echter dat in de toekomst er een partij zal komen die een versleutelde clouddienst aanbiedt. "En ik zal de eerste zijn om het te gebruiken." De rootkit-expert benadrukt dat er niet veel vertrouwd hoeft te worden. "Maar er is altijd één element dat we moeten vertrouwen, en dat zijn onze clients. Als die gecompromitteerd zijn, kan een aanvaller alles stelen."

Reacties (3)
31-05-2011, 13:19 door Anoniem
De cloud is nu de hoge hoed van de goochelaar. Maar straks hebben we allemaal systemen met een OS als Google Chrome. Dan moet je via de cloud werken en heb je (vooralsnog) niets locaal. Erg leuk, niet alleen kan Google alles doorzoeken, maar bij een netwerk storing kun je zelfs niets meer doen. Immers, zonder netwerk is de cloud verdwenen.

Misschien toch maar bij de situatie blijven, dat je dingen locaal hebt en alleen iets in een beveiligde vorm naar de cloud zet. Dan heb je overal een backup beschikbaar én niemand kan er zo bij. Lost meteen het probleem op van het doorzoeken van systemen op vliegvelden. Je neemt een schoon geïnstalleerd systeem mee, niemand vindt iets, dus geen gezeik en uiteindelijk kun je toch bij je gegevens.
31-05-2011, 19:08 door Anoniem
Die hele cloud is een nachtmerrie, in welke vorm dan ook...
01-06-2011, 10:53 door Anoniem
Alleen Cloud gebruiken als het beter kan en goedkoper - als wanneer je het zelf zou kunnen doen. En versleuteld natuurlijk, zeker als het over applicaties gaat.

Er zijn natuurlijk ook genoeg Cloud applicaties die wel versleuteld zijn - of die geen persoonlijke informatie doorsturen: E-Mail scanning, WEB proxy, E-Mail Archiveren, E-Mail continuity, Back-up Toepassingen, CRM's etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.