Ведущим автором новой статьи является Дуэйн К. Уилсон, докторант факультета компьютерных наук инженерной школы Уайтинга. Старшим автором является его научный руководитель, доцент кафедры Джузеппе Атениезе.
Оба связаны с Институтом информационной безопасности Университета Джона Хопкинса.Их исследования были сосредоточены на поставщиках безопасных облачных хранилищ, которые все чаще используются предприятиями и другими лицами для хранения или резервного копирования конфиденциальной информации об интеллектуальной собственности, финансах, сотрудниках и клиентах. Эти поставщики хранилищ заявляют, что предлагают «среды с нулевым разглашением», что означает, что их сотрудники не могут видеть или получать доступ к данным клиентов. Эти компании, занимающиеся хранением данных, обычно утверждают, что эта конфиденциальность гарантируется, поскольку информация шифруется перед загрузкой в облачное хранилище.
Но команда Джона Хопкинса обнаружила, что эти поставщики не могут гарантировать полную конфиденциальность. «Наше исследование показывает, что до тех пор, пока данные не будут переданы другим лицам, их конфиденциальность будет сохранена, как утверждают поставщики», — сказал Уилсон. «Однако всякий раз, когда данные передаются другому получателю через службу облачного хранения, провайдеры могут получить доступ к файлам своих клиентов и другим данным».Проблема, по словам Уилсона, заключается в том, что конфиденциальность во время обмена файлами обычно сохраняется за счет использования доверенной третьей стороны, технологического «посредника», который проверяет личность пользователей, желающих обмениваться файлами. Когда этот процесс аутентификации завершен, эта третья сторона выдает «ключи», которые могут расшифровать, а затем перекодировать данные, чтобы восстановить их конфиденциальность.
«Среди поставщиков безопасных облачных хранилищ, которые мы исследовали, — сказал Уилсон, — каждая из компаний по хранению данных действовала как собственная« доверенная третья сторона », что означало, что они могли легко выдавать поддельные учетные данные людям, использующим эту услугу. Компании, занимающиеся хранением данных, могли использовать фальшивый «ключ» для расшифровки и просмотра частной информации, а затем ее повторного шифрования перед отправкой предполагаемому получателю ».
Уилсон добавил: «В результате, всякий раз, когда данные передаются другому пользователю или группе пользователей, служба хранения может выполнять атаку« злоумышленник посередине », выдавая себя за другого пользователя или члена группы. Все это будет происходить без предупреждения клиенты, которые ошибочно полагают, что поставщик облачного хранилища не может видеть или получать доступ к их данным ».Эти сервисы хранения обычно не раскрывают подробностей того, как работает их технология, поэтому Уилсон и Атенизе обосновали недостаток безопасности, используя комбинацию обратного проектирования и анализа сетевого трафика, чтобы изучить тип связи, который происходит между поставщиком безопасного облачного хранилища и его клиенты.
Исследователи отметили, что их исследование было сосредоточено только на трех поставщиках хранилищ, которые заявили, что данные их клиентов останутся полностью конфиденциальными. Другие службы обмена файлами, такие как Dropbox и Google Drive, не гарантируют конфиденциальности. Вместо этого они говорят, что после загрузки данных пользователя они шифруются ключами, принадлежащими службе обмена файлами.
Чтобы устранить брешь в безопасности, исследователи рекомендуют пересмотреть договоренности между клиентами и поставщиками безопасных хранилищ, чтобы независимая третья сторона выступала в роли «посредника» по обмену файлами, а не сама компания, занимающаяся хранением данных.«Хотя у нас нет доказательств того, что какой-либо поставщик защищенных облачных хранилищ получает доступ к частной информации своих клиентов, мы хотели сообщить, что это может легко произойти», — сказал Атениезе, который руководил исследованием. «Это как обнаружить, что ваши соседи оставили дверь незапертой. Может быть, никто еще ничего не украл из дома, но не думаете ли вы, что они хотели бы знать, что ворам будет просто проникнуть внутрь?»