Soukromé fotografie nahých celebrit, které do nepovolaných rukou unikly vysoce pravděpodobně z úložiště iCloud, znovu oživily diskusi o bezpečnosti podobných služeb. Apple uklidňuje veřejnost, že se jednalo o velmi úzce zaměřený útok, kdy došlo ke zneužití přístupových hesel a kontrolních otázek. Žádný neošetřený bezpečnostní problém údajně zneužit nebyl. To je ovšem otázka definice.
Experti dlouhodobě upozorňují, že slabým místem ochrany řady služeb (nejen úložišť) je změna hesla po zodpovězení kontrolní otázky. Dříve tuto ochranu mohl obejít útočník, který svou oběť důvěrně znal. Dnes však jsou odpovědi na typické kontrolní otázky dohledatelné na sociálních sítích. Útočník již nemusí oběť znát osobně.
Stačí zapátrat, což nemusí znamenat žádnou manuální mravenčí práci. Stále sílící botnety běžně sbírají různé informace, takže nelze vyloučit čistě strojový postup, kdy by již šlo zaútočit s mnohem širším záběrem. Nejsou tudíž samotné kontrolní otázky bezpečnostním problémem? Evidentně ano.
Kontrolní otázky a ověření e-mailem nestačí
Nezřídka se při obnovení hesla pro ověření identity vedle kontrolní otázky používá e-mail, na který je zaslána zpráva obsahující například odkaz pro aktivaci nového hesla. Jenže e-mail nebývá zabezpečen o moc lépe. Google, Microsoft a někteří další velcí hráči proto postupně přecházejí na obnovu hesla přes telefon.
Obnovu hesla a další citlivé operace je potřeba potvrdit jednorázovým dočasným kódem, který je zaslán jako textová zpráva nebo přehrán jako audio zpráva. Obecně však není moudré považovat přístup k e-mailové schránce za dostatečně spolehlivou metodou autentizace. Pomohlo by plošné rozšíření dvoufaktorového ověření identity.
Nejen kvůli zastarání konceptu kontrolních otázek, ale také proto, že nezřídka dochází k odcizení celých databází hesel od samotných provozovatelů služeb. Cloudová úložiště nevyjímaje, protože například Dropbox má za sebou již několik potvrzených větších úniků hesel. Některá úložiště dvoufaktorové ověření identity nabízejí.
Lepší ochrana? Pouze někde a volitelně
Dvoufaktorové ověření identity není běžné. Pokud jej některé úložiště nabízí, tak pouze volitelně (opt-in). Pohodlí dostává přednost před bezpečností. Další problém je, že některé služby ověření identity pomocí kódu zaslaného na mobil nabízejí pouze pro uživatele z vybraných zemí. Jaká je nyní situace?
Například Google dvoufaktorové ověření identity pro své služby, včetně Google Drive, nabízí, ale pouze volitelně. Microsoft již aktivně na dvoufaktorové ověření identity přešel, ovšem zatím jen pro citlivé operace, jako je manipulace s fakturačními údaji. Plošné využívání třeba pro přístup k úložišti OneDrive zůstává volitelné.
Apple pro iCloud a další služby rovněž nabízí dvoufaktorové ověření identity alespoň volitelně. Po čerstvém incidentu jej doporučuje, ale bohužel není dostupné pro všechny uživatele. Na seznamu necelých šesti desítek zemí, kde je vyšší úroveň ochrany dostupná, chybí Česká republika stejně jako sousední Slovensko.
Apple doporučuje dvoufaktorové ověření identity, ale například pro české nebo slovenské uživatele jej neposkytuje.
Dalším úložištěm využívajícím alespoň volitelně (opt-in) dvoustupňové ověření identity je americká služba SpiderOak, kterou nedávno doporučil z ruského azylu Edward Snowden. SpiderOak však verifikační kódy zasílá textovými zprávami jen do severoamerických mobilních sítí. Odvolává se na složitá jednání s mobilními operátory.
Rizikem je také mobilní malware, který se šmírováním textových zpráv pokouší pokořit tradiční druhý stupeň ověření identity. Vznikají proto alternativy, jako je mobilní aplikace Google Authenticator, která využívá sandbox. Kontrolní kódy generuje i bez připojení k internetu či mobilní sítě, takže zároveň řeší dostupnost autentizace.
Všichni šifrují, ale málokdo vskutku precizně
Dvoufaktorové ověření identity snižuje možnost zneužití hesla, ale nepomůže v případě, kdy cloudové úložiště chybou vydá soubory nepovolané osobě bez úspěšného ověření identity. Zde ochranu zajistí výhradně šifrování. K jeho využívání se hrdě hlásí kdekdo, ale zdaleka ne vždy ochrání před možným únikem dat.
Například populární služby Dropbox, Google Drive či OneDrive šifrují pouze přenos souborů mezi zařízením uživatele a cloudovým úložištěm. To je ochrana před datovým odposlechem, ale nikoliv únikem souborů přímo z úložiště, kde soubory nejsou šifrovány. Minimálně provozovatel úložiště k nim má plný přístup.
Pokud však selže zabezpečení, může nešifrované soubory teoreticky získat kdokoliv. Existují úložiště, která šifrují precizněji. Již etablovanou službou je Wuala. Do popředí se dere výše zmíněný SpiderOak. Neprávem opomíjena bývá datové skladiště Mega. V mnohém se tyto služby liší, ale jedno mají společné: precizní šifrování.
Bezpečnost cloudových úložišť je citlivé téma, ale také předmět konkurenčního boje, což je dobře. Jen houšť!
Soubory šifrují a dešifrují výhradně na straně uživatele pomocí hesla, které neopouští koncové zařízení uživatele. Nejenže jsou soubory chráněny na cestě mezi uživatelem a úložištěm, ale také zůstávají šifrovány uvnitř úložiště. Jeho provozovatel nemůže svěřená data dešifrovat. Přístup k nim vůbec nepotřebuje.
Například Google či Microsoft svěřené soubory prověřují a hledají závadný obsah. Prý sice čistě strojově, což jim věřit můžeme, ale nemusíme. Legislativně nikdo nenutí provozovatele cloudových úložišť proaktivně kontrolovat svěřená data. Přesto si často toto právo usurpují. Wuala, SpiderOak či Mega nikoliv.
Provozovatelé těchto úložišť nemají potřebné informace k dešifrovaným souborů. Heslo neopouští koncové zařízení uživatele (počítač, tablet, mobil). To je bezpečností killer-feature. Zároveň se tak eliminuje riziko úniku hesla na straně provozovatele úložiště. Najdou se ale také nevýhody.
Komplikovaná je otázka přístupu přes webové rozhraní. Wuala například webové rozhraní z důvodu bezpečnosti vůbec neprovozuje. Místo něj poskytuje aplikaci napsanou v Javě, kterou lze z jejích webových stránek spustit na vyžádání. Podporuje Windows, Mac i Linux. Jednoduchost webového rozhraní však nenabízí.
Wuala místo webového rozhraní nabízí on-demand aplikaci v Javě, kterou lze spustit na všech klíčových platformách.
Mega naopak webové rozhraní nabízí. Běží přes zabezpečený protokol (HTTPS) a veškeré soubory šifruje a dešifruje na straně uživatele. Provozovatel však varuje před zátěží procesoru, protože soubory šifruje a dešifruje JavaScript. Mega také nabízí rozšíření pro prohlížeče Google Chrome a Mozilla Firefox.
SpiderOak rovněž provozuje webové rozhraní, o které je prý mezi uživateli velký zájem. Nicméně provozovatel úložiště spíše doporučuje nativní aplikace. Naděje se upínají k chystanému standardu Web Cryptography API, který má obecně rozšířit možnosti zabezpečení ve webovém prostředí.
Zdarma až 50 GB nebo 2 TB za 19,99 EUR
Princip ochrany souborů je vesměs stejný, ale v dalších ohledech se služby Wuala, SpiderOak a Mega zásadně liší. Prvním rozdílem je kapacita poskytovaná zdarma. Wuala začala šetřit a novým uživatelům žádné místo zdarma neposkytuje. Za dříve bezplatných 5 GB nyní noví uživatelé zaplatí měsíčně 0,99 EUR.
Wuala stále nabízí jako základ 5 GB, ale pro nové uživatele již pouze za měsíční poplatek ve výši 0,99 EUR.
Wuala nabízí také další tarify s vyšší kapacitou, ale i cenou. Například za 20 GB si švýcarský provozovatel služby účtuje měsíčně 2,99 EUR. Za 50 GB uživatelé měsíčně zaplatí 5,99 EUR. Měsíční poplatek za dvojnásobnou kapacitu, tedy 100 GB, činí 9,99 EUR. K dispozici jsou také vyšší tarify.
Tarifů má Wuala celou řadu, ale není z nejlevnějších. Dle zvyklosti se více vyplatí roční než měsíční fakturace.
SpiderOak nemá komplikovanou nabídku. Jednotlivcům poskytuje jediný placený tarif s kapacitou 100 GB, za který si americký provozovatel služby měsíčně účtuje 10 USD. Kapacitu lze volitelně navyšovat. Za každých dalších 100 GB se cena zvedá o 10 USD. SpiderOak poskytuje i bezplatný prostor, ale pouze o kapacitě 2 GB.
Úložiště SpiderOak svou nabídku zbytečně nekomplikuje.
Mega nabízí zdarma luxusních 50 GB. Na rozdíl od konkurence sice omezuje objem přenášených souborů, ale reálně uživatele zase tolik nesvazuje. V bezplatném režimu je datový limit nastaven na 10 GB. Limit je ale dynamický. Za každých 30 minut, kdy nejsou přenášeny žádné soubory, se obnoví 500 MB až do výše původních 10 GB.
Při vyčerpání limitu není běžící přenos souborů stornován, ale pouze pozastaven. Jakmile se obnoví alespoň část limitu, přenos souborů plynule pokračuje tam, kde skončil. Nonstop lze tudíž přenášet 500 MB / 30 minut. Vše funguje automaticky, takže uživatel nemusí sledovat aktuální limit a ručně obnovovat pozastavený přenos.
Mega za poplatek nabízí nejen vyšší kapacitu, ale také vyšší datový limit. U placených tarifů je dvojnásobkem kapacity.
Za poplatek je možné získat větší prostor a vyšší limit. Například úložiště o kapacitě 500 GB vyjde měsíčně na 9,99 EUR. Za 2 TB si novozélandský provozovatel služby účtuje 19,99 EUR. Za úložiště s kapacitou 4 TB uživatelé hradí pravidelný měsíční poplatek ve výši 29,99 EUR. Pro tyto tarify je limit vždy dvojnásobkem kapacity.
Není synchronizace jako synchronizace
Wuala, SpiderOak a Mega nyní poskytují software pro Windows, Mac (OS X) a Linux. Shodně podporují synchronizaci souborů, ale jejich dílčí funkce liší. Wuala má robustní program lokalizovaný do češtiny. Funguje jako manažer souborů v úložišti. Zvládá správu sdílení či verzování stejně jako obnovu smazaných souborů.
Wuala nabízí klientský software, který dovede synchronizovat různé složky napříč pevným diskem zároveň, což je plus.
Wuala dovede najednou synchronizovat různé složky, což je její velká výhoda. Kromě obousměrné synchronizace podporuje ještě jednosměrné zálohování z lokálního disku do cloudového úložiště. Zálohování může stejně jako synchronizace běžet nonstop, ale rovněž lze naplánovat jeho automatické spouštění.
Wuala nabízí jak obousměrné nonstop synchronizování, tak jednosměrné zálohování spouštěné v pravidelných intervalech.
Nabízí se zálohování v hodinových, denních, týdenních či měsíčních intervalech. Rychlosti přenosu souborů v obou směrech lze uměle omezit, aby nenarušovala ostatní internetové aktivity. Přenos souborů je možné i dočasně pozastavit. Zajímavostí je namapování cloudového úložiště jako síťového disku.
Wuala umí cloudové úložiště namapovat jako síťový disk.
SpiderOak poskytuje klientský software, který rovněž slouží jako manažer souborů, díky němuž lze obsah úložiště procházet a spravovat (včetně sdílení a verzování). Umožňuje synchronizovat různé složky zároveň. Kromě obousměrné synchronizace lze soubory z pevného disku jednosměrně zálohovat do cloudového úložiště.
Jak synchronizace, tak zálohování mohou běžet nonstop, ale rovněž lze obě úlohy na sobě nezávisle spouštět v pravidelném intervalu. Ten je možné nastavit v rozmezí od 5 minut do 48 hodin. Úlohy je možné též nechat automaticky spouštět ve zvolený čas libovolný den v týdnu, každý všední den nebo během víkendů.
SpiderOak umí synchronizaci a zálohování provozovat nezávisle na sobě nonstop nebo podle nastavení.
Přenos souborů lze dočasně pozastavit. Rychlost přenosu souborů je však možné omezit pouze v odchozím směru (upload). SpiderOak rovněž neumí úložiště namapovat jako síťový disk. Zato podporuje synchronizaci nejen přes internet, ale také prostřednictvím lokální sítě. To je velmi užitečná funkce.
SpiderOak dovede synchronizovat soubory prostřednictvím lokální sítě, takže nemusí „běhat okolo“ přes internet.
Mega nabízí program Mega Sync, který disponuje českou lokalizací. Ostatně celá služba je lokalizována do češtiny včetně nápovědy, což je plus. Poskytovaný software ale patří k těm jednodušším. Jde o klasickou synchronizační utilitu ve stylu konkurenčních služeb Dropbox, Google Drive či Microsoft OneDrive.
Mega Sync si na disku vytvoří vlastní speciální složku, jejíž obsah je synchronizován mezi počítačem a cloudem. Po instalaci si uživatelé mohou vybrat, jestli chtějí s lokální složkou synchronizovat celé cloudové úložiště nebo pouze vybranou složku. Díky tomu lze například na různých počítačích synchronizovat různé soubory.
Obousměrná synchronizace více různých složek není možná. Chybí také podpora klasického plánovaného zálohování jedním směrem, které lze alespoň částečně nahradit výše zmíněnou selektivní synchronizací. O moc více funkcí vedle pozastavení synchronizace a omezení přenosové rychlosti utilita Mega Sync nenabízí.
Synchronizační utilita Mega Sync se svým pojetím neliší od utilit tradičních služeb Dropbox, Google Drive či OneDrive.
Kriticky chybí verzování souborů. Pokud je synchronizována z cloudu pouze vybraná složka, zbytek úložiště je možné spravovat pouze přes webové rozhraní. Možnosti sdílení jsou elementární, kdy z kontextového menu průzkumníka je možné pro vybrané soubory či podsložky zkopírovat unikátní odkaz pro jejich sdílení.
Wuala, SpiderOak a Mega nabízejí i přístupové aplikace pro mobily a tablety. Zřejmě nepřekvapí, že všechny tři služby shodně podporují tradiční platformy Android a iOS. Mega nabízí ještě aplikaci pro BlackBerry. Systém Windows Phone nepodporuje žádná služba. Stejně tak žádná nemá dotykovou aplikaci pro Windows 8 a vyšší.
Resumé? Mega zaujme velkým prostorem zdarma a levným pronájem vyšší kapacity. Wuala a SpiderOak zase mají výrazně sofistikovanější desktopový software. Mega Sync nepodporuje verzování. Wuala nedisponuje webovým rozhraním. Všechny tři služby mají svá pro a proti, takže nemá smysl obecně vyhlašovat, která je lepší či horší. Každý si může vybrat podle vlastních priorit.
Která z představovaných služeb vás nejvíce zaujala?
