» »

Nevarnosti oblačnega računalništva

Schneier.com - Kot za New York Times piše Jonathan Zittrain, se z uporabo oblakov uporabniki izpostavljamo številnim nevarnostim, ki jih prej nismo poznali.

Zittrain navaja nekaj težav, na katere bi morali biti pozorni uporabniki oblakov, preden se odločijo svoje podatke zaupati zunanjemu ponudniku.

Prvo nevarnost seveda predstavlja možnost, da ponudnik storitve propade ali samovoljno poseže v podatke uporabnikov. Znan je že primer, ko je v podatke, shranjene na napravi uporabnika, brez njegove vednosti posegel Amazon (v primeru bralnika Kindle), pred časom pa je tudi Youtube na podlagi zahtev založnikov odstranjeval "zasebne" video posnetke uporabnikov, ki so kršili avtorske pravice. Vse to kaže, da možnosti za odstrajevanje vsebin mimo volje uporabnikov vsekakor obstajajo.

Resno nevarnost predstavlja tudi vdor v oblak - pred kratkim je recimo neznani heker vdrl v osebi e-naslov Twitterjevega uslužbenca, pridobil njegovo Google geslo ter s tem dostop do številnih (tudi zaupnih) dokumentov podjetja Twitter shranjenih v oblaku.

Problem je tudi zasebnost. Po Patriot Actu imajo namreč podatki v oblakih v ZDA nižjo stopnjo pravne zaščite, kot podatki v napravah pod neposredno kontrolo uporabnikov. Vrhovno sodišče ZDA je leta 1961 v primeru Chapman v. United States (365 U.S. 610) presodilo, da je policijska preiskava hiše brez sodne odredbe in le ob soglasju lastnika - ter brez soglasja najemnika - nezakonita, vendar pa za podatke v oblaku ta merila (še?) ne veljajo.

FBI-jev interni nadzor je pokazal, da je pri tovrstnih dostopih do podatkov (s pomočjo tim. National Security Letters) v preteklosti že prihajalo do številnih zlorab, zato skrb nikakor ni odveč.

Vprašanje pa je tudi, ali je uporaba oblakov na dolgi rok optimalna, saj gre pri tem pravzaprav za priklepanje na enega ponudnika (ang. vendor lock-in) ter ustvarjanje monopolov in zmanjševanje konkurenčnosti.

Vsekakor gre za zanimivo razmišljanje, ki bi si ga morali prebrati vsi, ki v pretežni meri uporabljajo oblačne storitve.

Danes bo sončno.

28 komentarjev

ABX ::

Če nekaj uploadaš, uploadaj šifrirano, in poleg uploada ohrani lokalno kopijo z sinhronizacijo.

Ok, move on people, nothing to see here.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

terryww ::

@ABX
in če moreš obdelovat tisti dokument? saj oblaki niso samo backup...
It is the night. My body's weak.
I'm on the run. No time to sleep.

Okapi ::

Vse to kaže, da možnosti za odstrajevanje vsebin mimo volje uporabnikov vsekakor obstajajo.
To veze nima z oblakom. Vsak proizvajalec programov ti lahko (teoretično) ob updatu zbriše program, če ugotovi, da ni kupljen po pravilih.

pred kratkim je recimo neznani heker vdrl v osebi e-naslov Twitterjevega uslužbenca,
Tudi to nima veze z oblakom. Vdreš lahko (teoretično) kamorkoli in ukradeš podatke, ki nimajo nič skupnega z oblakom.

ali je uporaba oblakov na dolgi rok optimalna, saj gre pri tem pravzaprav za priklepanje na enega ponudnika

A kdo komu brani uporabljati različne ponudnike oblačnih storitev?

O.

ABX ::

@ABX
in če moreš obdelovat tisti dokument? saj oblaki niso samo backup...


Ga pač obdelaš in re-sinhoriniziraš. Kje je problem?
Vaša inštalacija je uspešno spodletela!

Matthai ::

Ja. Denarnica. :D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

BlueRunner ::

Najprej dejstvo, da je to skupno vsem rešitvam, kjer se naše vsebine in podatki nahajajo na opremi, ki ni naša lastnina ali pod našim neposrednim nadzorom (najem). Oblaki so tukaj drugotnega pomena, saj so te težave obstajale že prej.

Problem je tudi zasebnost.


Problem zasebnosti je primarno problem obdelave teh podatkov na način s katerim se lastnik podatkov ni predhodno strinjal. Tega pa so največkrat osumljena podjetja, ki imajo v lasti ali pod neposrednim nadzorom IKT opremo. Ne glede ali se gre tukaj za hranjenje podatkov ali pa njihvo prenos (operaterji!).

Po Patriot Actu imajo namreč podatki v oblakih v ZDA nižjo stopnjo pravne zaščite, kot podatki v napravah pod neposredno kontrolo uporabnikov. Vrhovno sodišče ZDA je leta 1961 v primeru Chapman v. United States (365 U.S. 610) presodilo, da je policijska preiskava hiše brez sodne odredbe in le ob soglasju lastnika - ter brez soglasja najemnika - nezakonita, vendar pa za podatke v oblaku ta merila (še?) ne veljajo.


Tudi v Sloveniji ima zakonodaja še nekaj lukenj, saj npr. Zakon o elektronskem poslovanju na trgu (ZEPT) tistim, ki omogočajo hranjenje vsebin na lastni opremi nalaga, da takšno podjetje na zahtevo sodišča te vsebine odstrani ali do njih prepreči dostop. Ne glede na to, če so vsebine javne narave ali ne.

Po isti logiki pa ima Policija na podlagi odredbe sodišča možnost takšno opremo ali podatke, ki se nahajajo na njej zaseči neposredno od lastnika opreme. Pravna varnost je tukaj praktično na 0, ker lastnik podatkov ni obveščen o zasegu in ne more biti prisoten pri zasegu, kot bi sicer lahko bil, če se bi takšen zaseg opravljalo v njegovih lastnih prostorih.

Pa da si ne bo kdo mislil, da so kolokacije pri nas kaj bolj varne, saj se iz njih ravno tako zasega opremo, ne da bi bil prisoten lastnik ali njegov pravni zastopnik, ki bi skrbel za pravilno izvedbo in obseg zasega. Ker to pač ni hišna preiskava pri osumljencu ampak pri neki tretji strani.

terryww ::


Po isti logiki pa ima Policija na podlagi odredbe sodišča možnost takšno opremo ali podatke, ki se nahajajo na njej zaseči neposredno od lastnika opreme. Pravna varnost je tukaj praktično na 0, ker lastnik podatkov ni obveščen o zasegu in ne more biti prisoten pri zasegu, kot bi sicer lahko bil, če se bi takšen zaseg opravljalo v njegovih lastnih prostorih.

Pa da si ne bo kdo mislil, da so kolokacije pri nas kaj bolj varne, saj se iz njih ravno tako zasega opremo, ne da bi bil prisoten lastnik ali njegov pravni zastopnik, ki bi skrbel za pravilno izvedbo in obseg zasega. Ker to pač ni hišna preiskava pri osumljencu ampak pri neki tretji strani.


hja, ni dolgo nazaj ko je /. o tem pisal. No, tu vsaj rabijo listek od sodišča, tam pa si ga po novem kar sami napišejo...
It is the night. My body's weak.
I'm on the run. No time to sleep.

Zgodovina sprememb…

  • spremenil: terryww ()

CaqKa ::

kaj je to oblačno računalništvo?

Zgodovina sprememb…

  • odbrisal: madviper ()

terryww ::

It is the night. My body's weak.
I'm on the run. No time to sleep.

ABX ::

kaj je to oblačno računalništvo?

Cloud computing @ Wikipedia
Vaša inštalacija je uspešno spodletela!

Okapi ::

kaj je to oblačno računalništvo?
Ena zelo meglena zadeva, podobno kot web 2.0. Izraz vsak po svoje zlorablja.:P

O.

ABX ::

kaj je to oblačno računalništvo?
Ena zelo meglena zadeva, podobno kot web 2.0. Izraz vsak po svoje zlorablja.:P

O.


Vsakič ko stran nalaga preveč časa, je to Web 2.0. :)
Vaša inštalacija je uspešno spodletela!

Matthai ::

Pri nas a) rabijo odredbo
b) pri izdelavi kopije imaš pravico biti prisoten. V novi zakonodaji bo to izrecno zapisano.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

FitnessBoy ::

V primeru, da je SW lepo napisan in podatki pravilno kriptirani mislim, da ni skrbi. Sicer se zadeva že sedaj ponuja od različnih ponudnikov. Meni osebno je najbolj všeč MS Azure. Sicer pa je nekaj ponudnikov "storitev v oblaku" tudi pri nas - recimo miniMAX, kjer ponujajo ERP v oblaku, pravilen pristop so pa obrali tudi pri FMC z Complete datacentrom.

Utk ::

Sploh ne vem v čem je problem. Marsikaj se bo dalo prenest v oblake, kaj občutljivega boš pa pač obdržal pri sebi. Itak je pa koristno bolj za manjše firme, za posameznika nima dost smisla, za velike firme pa tudi najbrž ne.

BlueRunner ::

Pri nas a) rabijo odredbo

Praksa kaže, da so nekatera sodišča zelo "neodvisna" tudi pri raztegovanju upravičenih razlogov za odredbe. Pomembno pa je tudi dejstvo, da sodišče zahteva takojšnjo izvedbo ukrepa, lastnik podatkov pa mora potem sodno varstvo zahtevati v kasnejšem postopku, ki lahko pri nas traja mesece in leta.

b) pri izdelavi kopije imaš pravico biti prisoten. V novi zakonodaji bo to izrecno zapisano.

Bo, ko bo. Do takrat pa se počne stvari tako kot se jih tudi zato, ker se jih lahko.

Saj stvari potem v sodnem postopku padejo, ker se je nepravilno zbiralo dokaze, vendar pa je škoda še vedno povzročena.

Buggy ::

izraz oblak je pa res malo priskuten no...a je res potreben?

BlueRunner ::

Meni se pa zdi čisto simpatičen prevod. Zidanje gradov na oblakih recimo. Pa zaključena omrežja smo vedno risali kot oblačke, če njihova fizična konstrukcija ni bila pomembna.

Buggy ::

..saj ravno zaradi te topologije mi je bedno :)

CyberPunk ::

White box je zakon. Oblaki so za rajo. Razen ce jih imas v lasti, tako kot Google. ;)

Matthai ::

Mate danes fajn novico kaj se zgodi, ko se pretrgajo podvodni kabli...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

zee ::

Damn. Bo treba se lokalni postni streznik postavit :O
zee
Linux: Be Root, Windows: Re Boot
erwin3: Dual Xeon X5650, 32 GB RAM, 14 TB HDD

BlueRunner ::

Tega si postaviš že zato, da ti naš domači veliki brat slučajno ne more shranjevati čisto vseh podatkov o temu s kom si se kdaj dopisoval.

noraguta ::

Mate danes fajn novico kaj se zgodi, ko se pretrgajo podvodni kabli...

če dobr razumem , ne morš do interneta. on pa ne do tebe. ampak ne strežnikih lahko data distribuiraš globalni strežnik , nek lokalac ter klijent. sinhroniziraš pa takrat ko gre.
Pust' ot pobyedy k pobyedye vyedyot!

ABX ::

Itak, ne vem zakaj krivit tehnologijo za pomanjkljivo organizacijo.
Vaša inštalacija je uspešno spodletela!

Mr.B ::

Tega si postaviš že zato, da ti naš domači veliki brat slučajno ne more shranjevati čisto vseh podatkov o temu s kom si se kdaj dopisoval.
To spada v isto kategorijo kot zakaj imaš pa dinamični IP ? Zaradi varnosti:|
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuĹĄa prikazati, ĹĄtevilke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

ABX ::

Tega si postaviš že zato, da ti naš domači veliki brat slučajno ne more shranjevati čisto vseh podatkov o temu s kom si se kdaj dopisoval.
To spada v isto kategorijo kot zakaj imaš pa dinamični IP ? Zaradi varnosti:|


Tako nekako. :)
Vaša inštalacija je uspešno spodletela!

BlueRunner ::

Hi, hi... morda je pa vse res. Vendar za ločeno debato. >:D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemški nadzorni organ za varstvo osebnih podatkov o oblačnem računalništvu

Oddelek: Novice / Zasebnost
343132 (2582) Mr.B
»

Spet o nevarnostih oblačnega računalništva (strani: 1 2 )

Oddelek: Novice / Varnost
994843 (2500) Matthai
»

Microsoft in T-Mobile izgubila podatke uporabnikov Sidekicka

Oddelek: Novice / Varnost
311778 (985) kopernik
»

Odprtokodni oblačni datotečni sistem Tahoe

Oddelek: Novice / Zasebnost
61838 (1206) Matthai
»

Nevarnosti oblačnega računalništva

Oddelek: Novice / Varnost
283370 (2059) BlueRunner

Več podobnih tem