image

PRISM-bestendige cloudopslagdienst gelanceerd

maandag 9 september 2013, 11:03 door Redactie, 20 reacties

Een groep beveiligingsexperts heeft een cloudopslagdienst gelanceerd die tegen de spionageprogramma's van de Amerikaanse inlichtingendienst NSA bestand zou moeten zijn. De Simple Secure Storage Service (S4) is gebaseerd op het Tahoe Least Authority File System (Tahoe-LAFS).

Tahoe-LAFS, dat sinds 2007 in ontwikkeling is, is een gedecentraliseerde infrastructuur waarmee gebruikers online gegevens kunnen opslaan die ze graag privé houden, alsmede met een selecte groep vrienden willen delen. Het gaat hier om open source software die kosteloos te gebruiken is. Vorige maand lanceerde een aantal van de oprichters van Tahoe-LAFS S4.

Surveillance

S4 wordt omschreven als een "commerciële PRISM-bestendige" veilige, off-site back-updienst", die Tahoe als backend gebruikt en Amazon voor de opslag van de data. Tahoe zou verschillende wiskundige garanties bieden waardoor het tegen verschillende aanvallen van derde partijen bescherming biedt.

"Met wat we nu over grootschalige online surveillance weten is het fantastisch dat commerciële diensten zoals S4 verschijnen", zegt Danny O'Brien van de digitale burgerrechtenbeweging Electronic Frontier Foundation.

S4 rekent 50 dollar per maand. Gebruikers krijgen daarvoor 350GB aan beveiligde opslag. Dit abonnement zou vooral voor systeembeheerders en ontwikkelaars bedoeld zijn. Er komt ook nog een versie van de dienst voor eindgebruikers, maar die is nog in ontwikkeling.

Image

Reacties (20)
09-09-2013, 11:09 door Anoniem
Tahoe zou verschillende wiskundige garanties bieden waardoor het tegen verschillende aanvallen door derde partijen bescherming biedt.

We moeten natuurlijk wel de implementatie van die wiskundige garanties controleren. Als je de laatste berichten moet geloven, heeft NSA bij verschillende organisaties voor een minder veilige implementatie gezorgd.

Peter
09-09-2013, 11:27 door Anoniem
Maar hebben we dan geen last van de afluisterbare https verbindingen (die zijn "rood" in het plaatje ) ?
09-09-2013, 11:28 door Anoniem
NSA heeft de wet achter zich staan dus waarom zou deze VS business wel veilig zijn?
09-09-2013, 11:41 door Anoniem
Deze S4 servce is veel leuker: http://www.supersimplestorageservice.com/ , wel lekker verwarrend.
09-09-2013, 11:45 door [Account Verwijderd] - Bijgewerkt: 09-09-2013, 11:46
[Verwijderd]
09-09-2013, 11:48 door Anoniem
En wie beheert dat rode gedeelte? Zou ik maar gewoon in eigen beheer houden.

En dan kun je net zo goed de zwarte stukjes zelf inkopen.
09-09-2013, 11:53 door Anoniem
Op wuala.com/FreemoveQuantumExchange is de uitleg van een systeem te vinden dat bijvoorbeeld deze end-to-end secure cloud storage functionaliteit ook ondersteund, gebaseerd op quantum sleutels en asymmetrische PGP encryptie. Dit systeem is sinds 2007 operationeel. Een voorbeeld groep is te vinden op wuala.com/pgpstore
09-09-2013, 11:58 door Anoniem
Het gebruikt Amazon dus als de Amerikaanse overheid zegt spring vragen zij: "Hoe hoog?".
09-09-2013, 12:33 door Anoniem
Zolang de providers in Nederland een opslagplicht hebben ga ik zeker geen 50 dollar betalen,
ik heb mijn eigen (ext. hdd) cloud.
09-09-2013, 12:57 door Anoniem
Het is een zwarte stip op een witte berg, ra ra wat is het?

...een Belg in Camouflage.

Lijkt een kazig grapje, maar het is hier behoorlijk van toepassing.
Als je iets te verbergen hebt, verberg het dan niet in een neon-advertized HIER LIGT HET kluis, maar gewoon in een oude doos op zolder.
Dit soort clouddiensten trekken de aandacht, en iedereen die er zaken mee doet loopt een verhogde kans op een telefoontap, drone/satteliet voor de deur, of een oldschool Cartman- A-probe.

Mijn geheime dingen? die verberg ik waar sommige mensen het verwachten, want de plek waar niemand het verwacht? daar zoeken ze het eerst. ;-)
09-09-2013, 13:47 door Anoniem
Hoe je het ook wendt of keert, de data staat bij iemand anders op de schijf. Je moet gewoon alles in eigen hand nemen. Een Synology NAS met Bittorrent Sync, en je bent klaar.
09-09-2013, 14:04 door Anoniem
Door Anoniem: Het gebruikt Amazon dus als de Amerikaanse overheid zegt spring vragen zij: "Hoe hoog?".

De data wordt versleuteld voor het naar Amazon gaat. Daarnaast kun je ook besluiten om meer opslag providers te gebruiken waar je bij ieder maar een deel van de (versleutelde) data neerzet. Omdat je de versleutelde data opsplitst moet een aanvaller minimaal een X aantal providers kraken wil hij voldoende data hebben om een ontsleutelpoging te starten.

Ik heb een tijd geleden nog meegewerkt aan plannen om zoiets op te zetten en dan specifiek te gaan voor opslag bij bedrijven onder verschillende jurisdictie.

Zie http://searchsecurity.techtarget.com/definition/data-splitting voor een korte uitleg.

Het probleem op dat moment was dat er geen vraag naar was.

Peter
09-09-2013, 14:07 door Anoniem
Leuk, maar is het ook bestand tegen het geweld van de overige NSA-programma's naast PRISM?

En is het niet een commerciële instelling uit de VS, opgericht door Amerikaanse IT'erts, die gebruik maken van Amerikaanse servers. Patriot Act, iemand?

Misschien heb ik iets te veel alu op m'n hoofd nu, maar ik zou wel weten wat voor commerciële diensten ik op zou gaan zetten als ik de NSA was...
09-09-2013, 14:08 door Rstandard
Door Anoniem: Maar hebben we dan geen last van de afluisterbare https verbindingen (die zijn "rood" in het plaatje ) ?
Door Anoniem: En wie beheert dat rode gedeelte? Zou ik maar gewoon in eigen beheer houden.

De rode gedeeltes hoort dan ook in eigen beheer te zijn.
Uit de tekst:
Dit abonnement zou vooral voor systeembeheerders en ontwikkelaars bedoeld zijn.
Van systeembeheerders en ontwikkelaars zou men verwachten dat ze zulke infrastructuur (het rode gedeelte) makkelijk kunnen bouwen.
Terwijl dat niet makkelijk verwacht kan worden van eindgebruikers (uiteraard zijn er wel uitzonderingen).
09-09-2013, 14:55 door steve sh1t
Dit is een scam.
09-09-2013, 15:05 door Anoniem
Eigenlijk is het vrij simpel: als je iets veilig in de cloud wilt opslaan dan moet je lokaal de encryptie regelen,
zodat wat je opslaat al encrypted is voor het je computer verlaat.
Dat wil dus zeggen een lokaal geinstalleerd encryptiepakket.
Heb je dat geregeld dan is het eigenlijk niet meer interessant wat er op het netwerk en bij de cloud dienst
allemaal gebeurt, en hoef je ook geen speciale clouddienst meer te gebruiken.
09-09-2013, 20:57 door MI-10 - Bijgewerkt: 09-09-2013, 20:57
Het gaat hier om open source software die kosteloos te gebruiken is.
Dat is al stukken beter. Ik heb het namelijk helemaal gehad met Closed Source (waar de NSA-achterdeurtjes stiekem in zijn aangebracht.)

En wie beheert dat rode gedeelte? Zou ik maar gewoon in eigen beheer houden.
Mee eens, daar moet ook precies over worden geïnformeerd, anders moet je er niet aan beginnen.
09-09-2013, 20:58 door MI-10
Door Anoniem: Eigenlijk is het vrij simpel: als je iets veilig in de cloud wilt opslaan dan moet je lokaal de encryptie regelen,
zodat wat je opslaat al encrypted is voor het je computer verlaat.
Dat wil dus zeggen een lokaal geinstalleerd encryptiepakket.
Heb je dat geregeld dan is het eigenlijk niet meer interessant wat er op het netwerk en bij de cloud dienst
allemaal gebeurt, en hoef je ook geen speciale clouddienst meer te gebruiken.
Nee, want ook de encryptiepakketten blijken door de NSA te zijn gecompromitteerd.
10-09-2013, 09:15 door Anoniem
Door MI-10:
Door Anoniem: Eigenlijk is het vrij simpel: als je iets veilig in de cloud wilt opslaan dan moet je lokaal de encryptie regelen,
zodat wat je opslaat al encrypted is voor het je computer verlaat.
Dat wil dus zeggen een lokaal geinstalleerd encryptiepakket.
Heb je dat geregeld dan is het eigenlijk niet meer interessant wat er op het netwerk en bij de cloud dienst
allemaal gebeurt, en hoef je ook geen speciale clouddienst meer te gebruiken.
Nee, want ook de encryptiepakketten blijken door de NSA te zijn gecompromitteerd.

Er is nog niets tegen AES 256 bestand. Ook de NSA kan niet toveren en heeft geen ongelimiteerd budget. Indien je wachtwoorden lang genoeg maakt en deze qua samenstelling af laat wijken van standaard woordenboek woorden dan zal het nog steeds jaren duren voordat de NSA, of welke geheime dienst dan ook, jouw bestandje gekraakt heeft.
De NSA, maar ook andere geheime diensten en de media, gebruiken de angst om mensen te laten geloven dat ze net zo goed geen encryptie meer hoeven te gebruiken. Je moet niet alles geloven wat er in de media wordt gezegd en geschreven.
De wiskundigen zijn er duidelijk over, de encryptie zelf is niet zomaar te kraken maar de implementatie ervan is wel kwetsbaar. Versleutel je files met bijvoorbeeld 7-Zip voordat je deze ergens naar toe stuurt en gebruik een ander kanaal om het wachtwoord uit te wisselen of spreek ruim van te voren een standaard (sterk) wachtwoord af.
16-09-2013, 15:33 door Patio
Anoniem schreef: stuurt en gebruik een ander kanaal om het wachtwoord uit te wisselen

Wachtwoorden verstuur je helemaal niet. Zet ze op een papiertje
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.