Жизнь под колпаком PRISM: как новые условия работы повлияют на знакомые программы и сервисы

Безопасность
Правила «игры в безопасность» изменились. Собственно говоря, для большинства разработчиков, новость о слежении с помощью PRISM была не очень-то и новостью. О том что данные их клиентов собираются, все знали и так – не было только весомых доказательств этого факта. Теперь же они появились.

Эта область довольно давно оставалась морально – и легально – серой для многих крупных сервис-провайдеров. Они были обязаны предоставлять данные о своих клиентах по запросу правоохранительных органов, но это требовало ордера суда и данные предоставлялись только в каком-то диапазоне (временном, конкретные адресаты переписки, и т.д.). Сейчас стремительно распространяется практика «харвестинга» данных, при которой правоохранительными органами, без ведома пользователей, добываются целые «пласты» данных. Это опасно тем, что в архиве переписки за несколько лет с очень большой вероятностью можно найти хоть что-то, дискридитирующее человека, если не по одной статье, то по другой. Принцип «был бы человек, а статья найдется» верен даже в самых демократических странах, если вы достаточно насолили власть предержащим.

Что это меняет? Прежде всего, правила взаимодействия с интернетом и сервисами. То, что ранее не шифровалось, будет шифроваться, и сами методы шифрования изменятся. Критически важные данные необходимо будет держать на собственных аппаратных мощностях (любопытно наблюдать как парадигма облачных вычислений переворачивается вверх дном буквально через считанные годы после ее принятия) или, если выигрыш от использования облаков существенен, в облачных, но полностью зашифрованным. В идеале, облачный сервис должен располагать минимумом информации (за пределами чисто технических характеристик), которая касается клиента.

Читать дальше →

Модель «клиентского шифрования» набирает популярность

Криптография
При использовании облачного приложения и хранении данных в облаке, вам приходится доверять сохранность своих данных той компании, которая предоставляет услуги, вместе со всеми вытекающими из этого рисками. Это компромисс, без принятия которого облачный компьютинг не мог бы существовать, и мы уже привыкли рассматривать его, если и не как нечто само собой разумеющееся, то как необходимое и неизбежное зло.

На протяжении некоторого времени эта схема работала без «побочных эффектов», но это время прошло. Череда взломов крупных и хорошо защищенных (по крайней мере, мы так думаем) сервисов продемонстрировала, что непреодолимой защиты не существует. Но это только часть проблемы.

Читать дальше →

Мультифакторная авторизация

Безопасность
Мультифакторная авторизацияЭтот год начался в вереницы громких взломов и компьютерных атак на крупные, популярные ресурсы известных корпораций. Реальность наших дней такова, что от атаки не застрахован никто, а уязвимости существуют везде. Чем сложнее становится интернет, тем меньше наша способность уследить за уязвимостями в разных его компонентах, а самым слабым звеном, как правило, является стык – системы авторизации. Они же зачастую становятся объектами атаки хакеров.

Похищена личность, просьба вернуть за вознаграждение


Случаи «кражи личности» пока что не так распространены, но и тех случаев, которые произошли, достаточно, чтобы озаботиться сохранностью наших личных данных в хранимых на просторах сети. Сейчас любой, чья жизнь (профессиональная карьера, заработки) накрепко связана с интернетом оставляет в нем много следов и определенную часть «себя» – цифровую идентичность, «аватар», представляющий нас в информационном пространстве.

Читать дальше →

Занимательная география, или как PRISM (и не только) должен заставить вас подумать дважды о том, где расположены ваши серверы

Безопасность
Облачный мирИ действительно, где они могут быть расположены? Для подавляющего большинства компаний ответ прост – в серверной. Локальное хранение данных десятилетиями было, а во многих случаях и сейчас остается, единственным способом обеспечить надежность и отзывчивость корпоративных вычислительных мощностей. Это изменилось – возможность получения доступа и обработки данных изменила ландшафт корпоративной ИТ.

«Будущее ИТ – в облаке!» — уверенно провозглашают… главным образом облачные вендоры. И аналитика. Но у первых есть корыстный интерес, а вторые могут ошибаться. Некоторые особенности облачного ИТ получают слишком мало освещения, хотя того наверняка заслуживают. И недавний скандал с утечкой секретных материалов АНБ в прессу может пролить на эти особенности свет.

Читать дальше →