Взлом облачных сервисов хранения, где находились фотографии обнаженных знаменитостей, взорвал Интернет и стал тревожным звонком для индивидуальных пользователей и организаций, которые держат свою конфиденциальную информацию в облаке.
Разразившийся скандал заставил понервничать предприятия, которые и без того обеспокоены вопросами безопасности в облаке. Естественным следствием случившегося теперь должно стать дополнительное сопротивление переходу в облако со стороны клиентов.
«Вот яркий пример того, какие неприятности может принести с собой облако, — заявил независимый аналитик Джефф Каган. — Не знаю, начнут ли теперь пользователи отказываться от облака, но то, что этот случай сделает их более осторожными, несомненно. Надеюсь, произошедшее станет всем хорошим уроком. После того как кто-то обжегся, остальные обычно стараются не подходить близко к горячей плите».
Так или иначе, в Интернете оказались выложены обнаженные фотографии модели Кейт Аптон, ряда актрис, в том числе Мэри Уинстед и обладательницы «Оскара» Дженнифер Лоуренс. Похоже, что некоторые фотографии подлинны. Другие, вероятно, нет.
Скандал, разразившийся вокруг системы безопасности облака и привлекший внимание СМИ, заставит многие ИТ-службы отложить на какое-то время переход в облако. Некоторые компании опасаются за надежность и безопасность хранения информации в облаке, а заголовки новостей, рассказывающих об очередных взломах и брешах, создают дополнительные поводы, для того чтобы задуматься.
Аналитик The Gabriel Consulting Group Дэн Олдс заявил, что новость о взломе не сулит облачному рынку ничего хорошего: «Многие полагают, что взломщики просто охотились за знаменитостями, но, судя по предварительным данным, человек, опубликовавший эти фотографии, не получил за них никаких денег. Так стоит ли сомневаться в том, что хакеры, стимулированные деньгами, приложат гораздо больше усилий к похищению торговых секретов и прочей конфиденциальной информации? Хакер, охотящийся за корпоративными данными, мотивирован значительно сильнее и будет работать упорнее. Как думаете, что произойдет, когда к данным, хранящимся в облаке, проявят интерес настоящие профессионалы своего дела? Лично я полагаю, что корпоративным и правительственным клиентам пока имеет смысл взять паузу».
«Вместе с тем предприятиям следует помнить, что облака не менее безопасны, чем все прочие варианты развертывания ИТ, — заявил аналитик компании Technology Business Research Аллан Кранс. — Облачные учетные записи индивидуальных пользователей не позволяют оценить их безопасность в свете тех требований, которые предъявляются компаниями. Речь идет о средствах защиты, паролях и управлении идентификацией во всех типах ИТ-систем, которые могут подвергнуться взлому. Думаю, что сервисы персонального резервного копирования менее безопасны в силу разрешенного доступа. Управление ими может осуществляться не только централизованно организацией, но и отдельной группой лиц, которой для этого потребуется возможность получения простого и частого обращения к конфиденциальным данным. Все это создает дополнительные бреши в системе безопасности, которые могут быть использованы злоумышленниками».
Пользователи, задающие одинаковый пароль на разных сервисах и желающие получать простой и быстрый доступ к своей учетной записи, не соблюдают правила корпоративной безопасности.
По словам Кагана, взлом учетных записей знаменитостей должен стать предупреждением как для пользователей, которым следует проявлять осторожность, так и для поставщиков облачных сервисов, которые должны уделять больше внимания вопросам безопасности.
«В сложившихся условиях мы не знаем, является ли слабым звеном само облако или пользователи с простым паролем, — подчеркнул Каган. — Существует так много способов взлома облака или учетных записей пользователя, что все риски просчитать практически невозможно».
Аналитик компании Moor Insights & Strategy Патрик Мурхед заявил, что проблема вовсе не обязательно связана с облачным сервисом Apple iCloud.
«Конечно, существует вероятность того, что облачный сервис действительно взломали, но она не слишком велика, — добавил он. — Скорее всего вторжение осуществлялось через скомпрометированный ПК, украденный телефон, пароли к телефонным приложениям или телефонные приложения, имеющие дефекты».
Если же хакер проник через брешь в системе безопасности облака, индивидуальным пользователям и предприятиям следует позаботиться об укреплении своей облачной безопасности.
«Когда облачные сервисы взламывают, у руководства предприятия зачастую возникает желание отказаться от их использования, — подчеркнул Мурхед. — Однако во многих случаях облако оказывается безопаснее системы, развернутой на собственных ресурсах, поскольку владельцы облака могут позволить себе самые новые и совершенные технологии обеспечения безопасности… Предприятиям необходимо минимизировать объем хранимой информации. Важно, чтобы все данные шифровались в ходе всего технологического процесса: на клиентском устройстве, в сети и на сервере. Необходимо также убрать некоторые данные подальше от администраторов, которые могут иметь доступ к учетной информации или незашифрованным сведениям».
Аналитики согласны с тем, что предприятиям следует выполнять собственные тесты на проникновение. Некоторые данные и приложения требуют более высокого уровня безопасности по сравнению с остальными, и ИТ-службе следует убедиться, что эти требования выполняются.
Компаниям следует начинать свою работу в облаке с размещения там менее важных данных, переходя к более конфиденциальной информации по мере изучения системы.
«Сегодня мы должны сосредоточиться на безопасности и защите наших частных данных, — отметил Каган. — Компаниям следует поднимать уровень защиты информации до максимально возможного… Думаю, в ближайшее время многие сервисные компании обыграют вопросы безопасности в своей маркетинговой тактике».
Двухфакторная аутентификация на iCloud неудобна, но защищает от взлома
Сайт TechHive опубликовал напоминание о том, как пользоваться двухфакторной аутентификацией на сервисе Apple iCloud, чтобы не стать жертвой взлома аккаунта подобно американским звездам. Процесс аутентификации состоит из двух этапов — вначале вводится пароль, потом на ваш смартфон присылается SMS с временным кодом доступа. Даже если кто-то получил ваш пароль, он не сможет зайти, не имея вашего смартфона.
Двухфакторная аутентификация есть на сервисах Dropbox, Facebook, Google, Microsoft, PayPal, Twitter и других. Что касается iCloud, функция там тоже есть, но спрятана в настройках, отмечают на TechHive. Кроме того, если вы активировали ее, нужно будет сменить пароль, после чего придется еще подождать три дня до включения функции: предполагается, что если у вас похитили пароль, то вор сразу попытается его сменить, но вы получите уведомление о смене пароля по электронной почте и за эти три дня сможете обратиться в службу поддержки Apple.
В Apple уверяют, что массовый взлом аккаунтов знаменитостей не был совершен с использованием бреши в iCloud, а стал результатом целенаправленной атаки, связанной с выяснением имен пользователей и ответов на контрольные вопросы.