Cloud: sempre più servizi ma... la sicurezza dov'è?
La sicurezza dei dati è un tema sempre attuale, soprattutto negli ultimi tempi a causa della costante diffusione di un numero sempre più elevato di servizi cloud offerti e utilizzati dagli utenti. Non solo le aziende ma anche i privati hanno cominciato ad utilizzare servizi come Google Drive, Dropbox, OneDrive, iCloud e così via. Ma tutti questi dati online garantiscono una totale sicurezza e controllo da parte dei provider?
Alcune persone pensano che i dati archiviati all'interno dei servizi in cloud possano offrire una totale sicurezza mentre altri dichiarano il contrario, temendo sempre che qualcuno possa accedere a tali informazioni sensibili. I dati archiviati nel cloud vengono quasi sempre crittografati, il che non permette ai malintenzionati di leggerli. Allo stesso tempo, però, esistono anche altri modi relativamente semplici in cui gli utenti possono aumentare la sicurezza dei propri dati, nonostante venga già offerto un sufficiente grado di protezione.
Chi possiede la chiave di accesso?
Gli attuali servizi di cloud presenti in circolazione, o per lo meno i più famosi, proteggono i dati caricati al loro interno con una chiave di sicurezza, o encryption key, che non è da confondere con la password con cui accedete al vostro account. Si tratta di una chiave di cifratura alfanumerica generata automaticamente che viene associata al vostro account, utilizzata per proteggere i vostri file dagli intrusi.
Alcuni provider non forniscono all'utente questa chiave e preferiscono tenerla nascosta per far si che il servizio proceda alla codifica e decodifica dei dati automaticamente. Altri, invece, permettono agli utenti di visualizzare l'encryption key e utilizzarla autonomamente.
A proposito del primo dei due casi: in questa situazione la chiave si “attiva” nel momento in cui l’utente effettua il login al proprio account con una password, sbloccando dunque i propri dati. Questo è molto conveniente, soprattutto in termini di velocità e comodità, per gli utenti meno esperti. Tuttavia tali servizi sono anche meno sicuri, in quanto basterebbe che qualcuno scoprisse la vostra password per accedere, copiare o (peggio ancora) cancellare tutti i vostri dati.
Questo è uno dei tanti motivi per cui alcuni servizi cloud hanno mostrato una sicurezza discutibile in questi anni, come iCloud, giusto per fare un esempio.
È meglio che la possiedano gli utenti?
Alcuni servizi cloud meno conosciuti (ma comunque molto diffusi), tra cui Mega e SpiderOak, consigliano o obbligano gli utenti a caricare e scaricare file tramite client e app specifiche che includono funzioni di crittografia. Questi, inoltre, consentono loro di conservare e visualizzare le chiavi di crittografia.
Nonostante siano dedicati agli utenti più esperti in materia, questi servizi non sono perfetti e c'è sempre la possibilità che tali app possano essere compromesse consentendo a un intruso di poter leggere i file ancor prima che vengano criptati durante l’upload. Inoltre, è già successo più di una volta che i vari provider abbiano rilasciato aggiornamenti per le proprie app con evidenti bug che hanno compromesso la sicurezza, rendendo i dati degli utenti vulnerabili.
Per gli amanti del backup delle proprie foto esistono diversi metodi per proteggersi da quest’ultimo pericolo. Pixek è un’app che mira a mantenere le foto catturate con la fotocamera dello smartphone crittografate fin dal momento in cui vengono scattate, in modo da poter essere inviate ai servizi di cloud in tutta sicurezza.
Pixek non è ancora disponibile ufficialmente e per poterla provare è necessario compilare un form e, in seguito, accedere a questa pagina del Play Store per scaricarla. Non nascondo, tuttavia, che potrebbero presto sorgere altre soluzioni di questo tipo per altri tipi di dati, non limitandosi esclusivamente alle foto.
Proteggersi ancor prima di essere protetti
Per massimizzare la sicurezza dell’archiviazione all'interno dei servizi in cloud sarebbe meglio combinare entrambi gli approcci appena visti, ovvero criptare i file utilizzando appositi software ancor prima di effettuare l’upload. E viceversa, basterebbe scaricare il file e passare alla decriptazione utilizzando ancora una volta lo stesso software.
Gli svantaggi di questa procedura sono molteplici: avremo necessariamente bisogno del software di criptazione e decriptazione sempre a portata di mano, oppure, in altri casi, non sarà possibile modificare il file direttamente dagli editor live proposti da alcuni provider (Google Drive, ad esempio), ma questo è probabilmente il giusto prezzo da pagare per prevenire un qualunque tipo di falla di sicurezza dei servizi cloud.
Il mio consiglio è di attuare questa procedura almeno per i file sensibili o quelli davvero importanti. Online esistono una miriade di strumenti simili basati su licenze open source creati da esperti di sicurezza informatica con i quali è possibile “chiudere a chiave” i file prima di caricarli sul cloud, alcuni gratuiti, mentre altri a pagamento ma venduti a prezzi ragionevolmente bassi.
Utilizzate anche voi i servizi in cloud? Come proteggete i vostri file dagli occhi dei malintenzionati?
Non so voi, ma sia sul lavoro che nel privato alla quasi totalità dei miei conoscenti di sicurezza e/o privacy dei dati non interessa nulla, l'importante è che i servizi siano gratuiti, e se parli di queste cose la risposta è "tanto io non ho nulla da nascondere" o "a chi vuoi che interessino le mie cose" e le password usate (solitamente la stessa usata da anni per tutti gli account) spaziano dal nome dei figli, alla data di nascita, a "password" o al massimo "Qwerty789" per i più tecnologici (in questo caso mi sono personalmente complimentato per la fantasia!). Mia personale conclusione: se la sensibilità nel merito è questa, ben fanno le aziende a investire poco su questo fronte.