jueves, 24 de abril de 2014

Incluso el almacenamiento en la nube más seguro puede no serlo tanto [Estudio Universidad Johns Hopkins]

Un estudio reciente de la Universidad Johns Hopkins cuestiona cuán seguras son las tácticas de "conocimiento cero" adoptadas por algunos suministradores de almacenamiento en la nube.
seguridad cloud
 
 Brandon Butler, Network World (US)
Los servicios cloud de “conocimiento cero funcionan normalmente almacenando los datos de los clientes de forma cifrada y dando solo a los clientes las claves para descifrarlo, en lugar de que el suministrador tenga acceso a las claves. Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrías ser vulnerables a un ataque que permitiría a los suministradores tener acceso a los datos de los clientes si quisieran.
 
El estudio arroja dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos de los expertos de que los usuarios deberían conocer en detalle cómo gestionan los suministradores sus datos. Los suministradores cloud de “conocimiento cero” analizados por los investigadores, en este caso Spider Oak, Wuala y Tresorit, utilizan normalmente un método donde los datos son cifrados cuando se almacenan en la nube y son descifrados sólo cuando el usuario los descarga de nuevo de la nube. El modelo es seguro. Pero, los investigadores alertan de que si los datos están compartidos en la nube, lo que significa que son enviados por el servicio en la nube sin que el usuario los baje a su sistema, los suministradores tienen la oportunidad de verlos.

Siempre que los datos estén compartidos con otro beneficiario en el servicio de almacenamiento en la nube, los suministradores pueden tener acceso a los archivos de los clientes y otros datos” ha afirmado el autor del informe, Duane Wilson, estudiante de doctorado en el Instituto de Seguridad de la Información en el Departamento de Informática de la Universidad Johns Hopkins.
 
Es normal para estos suministradores tener un servicio intermediario que verifica a los usuarios antes de proporcionar las claves para cifrar los datos. Los investigadores han descubierto que los suministradores a veces proporcionan su propia verificación. Esto representa una oportunidad para los suministradores de potencialmente ofrecer credenciales falsas que descifrarían los datos y permitiría a los suministradores ver la información. Es similar al tradicional ataque de seguridad del “hombre intermediario”.
 
Los investigadores han afirmado que no encontraron evidencia de datos de clientes que fueran comprometidos, ni han identificado ningún comportamiento sospechoso de los suministradores, pero los investigadores afirman que podría ser una vulnerabilidad. “Aunque no tenemos ninguna evidencia de que ningún suministradores de almacenamiento seguro en la nube esté accediendo a la información privada de sus clientes, queremos que se sepa que esto podría ocurrir fácilmente”, ha afirmado Giuseppe Ateniese, profesor asociado que ha supervisado la investigación. “Es como descubrir que los vecinos han dejado la puerta sin echar la llave. Quizá nadie haya robado nada todavía, pero ¿no creen que les gustaría saber que es muy fácil que puedan entrar los ladrones?