Kategorier
Länkar

Sårbarhet i ”säkra” molntjänster

Vissa molnleverantörer använder zero knowledge-metoden som ska göra det omöjligt för utomstående att komma åt kundernas data. Men en ny studie utförd av datorforskare vid John Hopkins University ifrågasätter hur säkra dessa tjänster egentligen är.

Zero Knowledge-tjänster fungerar i regel på så sätt att de lagrar kundernas data i krypterat tillstånd, och endast kunderna själva har de nycklar som behövs för dekryptering. Leverantören har alltså inte tillgång till dessa.

Forskarna har dock konstaterat att om data delas inom molntjänsten kan nycklarna vara sårbara för en attack, och det innebär att leverantören har möjlighet att granska kundernas data om de känner för det.

– Så snart data delas med en annan mottagare via molntjänsten kan leverantören komma åt sina kunders filer och andra data, säger Duane Wilson på Information Security Institute vid John Hopkins University, en av forskarna bakom studien.


Spider Oak är en av flera tjänster som använder zero knowledge-principen.

Den här typen av tjänster förlitar sig i regel på en mellanhandstjänst som verifierar användarna innan de får tillgång till nycklarna för dekryptering. Forskarna noterade att vissa leverantörer använder egen verifiering vilket ger dem möjlighet att komma åt användarnas information. Principen är densamma som en man in the middle-attack.

Några bevis för att data har kommits åt på det här sätter har forskarna inte hittat, och de har heller inte sett några suspekta aktiviteter från leverantörerna. De anser dock att detta är en potentiell sårbarhet.

– Även om vi inte har sett några bevis för att någon säker molntjänst kommer åt kundernas privata data vill vi ändå informera om vad som skulle kunna hända. Det är som att du skulle upptäcka att dina grannar har lämnat dörren olåst. Ingen har kanske stulit något från huset ännu, men tror du inte att de skulle vilja veta att det är lätt för tjuvar att ta sig in? säger Giuseppe Ateniese, en professor som övervakade studien.

I studien tittade man specifikt på molntjänsterna Spider Oak, Wuala och Tresorit. Representanter för Spider Oak säger att de godtar delar av studien.

IDG News