ИТ-эксперты: iCloud опасен для бизнеса

Через iCloud документы могут покинуть пределы офиса

Новый облачный сервис Apple iCloud дает надежду на совершенно новый подход к синхронизации данных между различными устройствами. В то же время в полный рост поднимаются опасения экспертов в отношении безопасности. Синхронизация столь огромных массивов данных через единый хаб Apple может привлечь к себе нежелательное внимание хакеров. iCloud создает проблему и ИТ-специалистам предприятий, поскольку автоматическая синхронизация данных может привести к тому, что конфиденциальная информация выйдет за пределы офисных стен.

iCloud сделает пользователей Apple еще лояльнее

Анонс сервиса iCloud привел в приподнятое состояние всю высокотехнологическую индустрию. По мнению ряда аналитиков, с помощью нового сервиса компания еще крепче «привяжет» к себе потребителей свой продукции. Другие аналитики полагают, что iCloud породит бурное развитие облачных вычислений. Так или иначе, облачный сервис техногиганта из Купертино никого не оставляет равнодушным.

iCloud упрощает переход на новое iУстройство

iCloud позволяет автоматически делать резервные копии данных (музыки, фотографий и многого другого) и хранить их на удаленном накопителе. Это упрощает пользователю переход на новое iOS-устройство, поскольку все, что было на старом будет храниться в iCloud и сохраненные данные легко и просто загружаются на свежеприобретенное устройство.

То, что радует пользователя, несет беспокойство специалистам в сфере компьютерной безопасности

Кроме того, iCloud позволяет автоматически обновлять пользовательский контент и практически любую информацию, включая созданные документы, среди которых могут оказаться и закрытые файлы корпораций. Все это будет синхронизироваться между всеми устройствами одного пользователя. Для пользователя все это звучит замечательно, но вызывает опасения с точки зрения безопасности.

Наступление потребительских устройств на офисное пространство

Поскольку устройства потребительского класса (и, в особенности, устройства Apple) массово проникают в корпоративное окружение, iCloud ставит перед специалистами вопросы, касающиеся безопасности. Поскольку и руководители и рядовые сотрудники используют свои личные iPad и iPhone в повседневной работе, возникает опасность того, что корпоративные документы случайно сможет увидеть посторонний. Таково может быть следствие автоматической синхронизации данных через iCloud.

Проблема безопасности iCloud ранее уже поднималась

Насколько эти опасения оправданы? Трудно сказать, но из Купертино пока не поступило никакой информации на сей счет, хотя данная тема уже поднималась, в частности оперативным директором по безопасности nCircle Эндрю Стормсом (Andrew Storms).

En Pointe Technologies: «облака» идут в наступление

Директор консультативного сервиса En Pointe Technologies Ал Масловски-Йергс (Al Maslowski-Yerges) делится своими опасениями с репортером MacNewsWorld:

Наступление «облаков» смещает фокус [основного внимания специалистов по] безопасности на мельчайшие компоненты индивидуальных машин и данные как таковые.

Эксперты блуждают впотьмах

В зависимости от программных средств, которые используются для взаимодействия с приложениями в iCloud, существует потенциальная вероятность значительного повышения уровня риска. Не зная путей защиты данных и конечных точек, будет очень трудно организовать защиту iCloud или любого другого подобного сервиса.

Apple хранит спецификации защиты iCloud в тайне

Речь идет о том, что в Купертино не сочли необходимым предоставить спецификации, которые позволили бы экспертам в области компьютерной безопасности получить знания о том, как устроен сервис iCloud изнутри и уже на базе этого знания разработать комплекс защитных мер.

Credant Technologies: Самую большую опасность несет синхронизация документов

Директор Credant Technologies по маркетингу продуктов Геоф Веб (Geoff Web) сообщает MacNewsWorld о том, что iCloud ускорит процесс проникновения облачных сервисов в корпоративное окружение. Ал Масловски-Йерг дополнительно отмечает, что хакеры могут организовать свои атаки через любые средства, содержащие контент, будь то электронная почта, браузер, USB-накопитель или же съемный носитель, подключенный к устройству конечного пользователя.

Из этого эксперт делает глубокомысленный вывод о том, что синхронизация и резервное копирование данных в iCloud…

…вероятно, очень привлекательно для организаторов атак. Я больше переживаю за две другие области. Одна из них состоит в возрастающем риске утечки через iCloud важной информации из компаний, а вторая [, вызывающая беспокойство проблема,] заключается в том, что iCloud сам по себе может оказаться «под прицелом».

Самое большое беспокойство вызывает функция синхронизации документов. Бизнес-пользователи могли бы спросить, как это влияет на их возможности ограничить доступ к закрытым данным.

Damballa: iCloud непривлекателен в качестве объекта атаки

Впрочем, на проблему есть и иная точка зрения, изложенная вице-президентом Damballa по исследованиям Гюнтером Оллманном (Gunter Ollmann). Он полагает, что сервис iCloud непривлекателен для сетевых атак, поскольку он…

…по существу является онлайновой системой хранения файлов и сервисом авторизированного доступа.

Гюнтер Оллманн: iCloud может стать питомником вредоносного кода

Иными словами, анонимный доступ к данным, по всей видимости, в iCloud не предусмотрен. Вслед за этим утверждением Гюнтер Оллманн переход к той опасности, которую iCloud все же несет. По его мнению, злоумышленники попытаются использовать iCloud в качестве питомника вредоносных программ, которые будут распространяться среди множества устройств и…

…техника будет оставаться под постоянной угрозой.

Пользователей iTunes недавно заставили купить игру

Apple iTunes был недавно взломан и с аккаунтов пользователей была списана оплата за игру «Kingdom Conquest» от Sega. Sega отказывается от какой-либо ответственности за инцидент, уверяя, что снять оплату возможно только в случае, если некто войдет в аккаунт iTunes потенциальной жертвы и правильно идентифицируется, скачает приложение и осуществит покупку.

Дэниел Эмитей: Виноваты слишком простые пароли

Возможно, зацепкой для злоумышленников послужили слишком простые пароли пользователей? Как отмечает разработчик iOS-приложений Дэниел Эмитей (Daniel Amitay), 15% пользователей довольствуются в качестве десятью запоминающимися комбинациями из четырех цифр. Среди них предустановленный на заводе «1234», а также не менее «сложные» «0000» «1111» и «2222». Многие пользователи отдают предпочтение сочетаниям цифр, расположенным в одной колонке на клавиатуре iPhone: «0852» и «2580».

nCircle: Централизованная модель угроз ИТ-безопасности

С большой долей вероятности можно предполагать, что существуют и другие опасности, которые iCloud может создать корпоративной безопасности. Оперативный директор по безопасности nCircle Эндрю Стормс (Andrew Storms) отмечает, что iCloud меняет саму модель распространения угроз безопасности. Если раньше она была «индивидуальной» и хакеру предстояло получить доступ к устройству пользователя и компании, то теперь она становится «централизованной».

Эндрю Стормс: Чтобы получить доступ к данным миллионов пользователей, хакерам достаточно проникнуть на сервера iCloud

Как объясняет Эндрю Стормс свою мысль, задача хакеров в рамках новой «централизованной» модели упрощается, им достаточно лишь получить доступ к хабу (в данном случае, iCloud) и тем самым получить доступ к данным миллионов пользователей. По мнению эксперта, шансы на успешную атаку возрастают, поскольку iCloud является бесплатным сервисом. Таким образом, можно предположить, что большинство пользователей техники Apple воспользуются возможностями облачного сервиса. Ведь это ни копейки не стоит, почему бы и не попробовать? Именно так люди станут рассуждать, расширяя аудиторию сервиса а, вместе с тем, и аудиторию потенциальных жертв хакерских атак.

Эндрю Стормс: В Купертино не спешат делиться информацией

По мнению Эндрю Стормса, главная проблема кроется в отсутствии со стороны Купертино достаточной информации о методиках безопасности iCloud:

Это означает, что каждый текущий или потенциальный пользователь iCloud может только догадываться о том, насколько надежно защищены его данные. Группы ИТ-безопасности предприятий особенно не любят [строить свою работу] на догадках. Они хотят [получить] солидную информацию, на базе которой можно сформировать «модель рисков» и защитить бизнес.

Эндрю Стормс: Специалисты не желают действовать наобум

Профессионалы не желают нащупывать проблему «методом тыка», им необходимо точно знать технологию защиты сервиса. Уже на этой базе специалисты в сфере ИТ-безопасности могут разрабатывать инструментарий защиты и принимать меры предосторожности. Apple же предпочитает хранить спецификации в секрете. Именно это положение вещей вызывает глубокую обеспокоенность Эндрю Стормса.

Эндрю Стормс предупреждает об опасности

Эксперт в области компьютерной безопасности считает управление и контроль за конфиденциальными данными и интеллектуальной собственностью одним из сложнейших аспектов ИТ-безопасности предприятий. Фунция автоматической синхронизации iCloud может сделать закрытую корпоративную информацию доступной не имеющим к ней права доступа лицам. Эндрю Стормс призывает бизнес к осмотрительности:

Поскольку iCloud бесплатен и очень прост в использовании, каждый пользователь iPhone и iPad в вашей компании с большой вероятностью станет синхронизировать свои устройства через iCloud, а Apple не предоставляет ни единого средства, позволяющего предприятию осуществлять контроль над тем, какие именно виды данных могут сохраняться в iCloud.

Преданным ценителям Apple на заметку: «Спокойствие, только спокойствие»

После этих слов экспертов, хотелось бы написать небольшое послесловие. Всем известно, что преданные ценители техники Apple всегда резко воспринимают любой негатив в отношении продуктов и сервисов любимой компании. Подобные материалы часто вызывают бурные обсуждения с обилием гневных откликов.

Объективная обеспокоенность экспертов

Прежде всего, это не негатив, это объективная обеспокоенность экспертов теми потенциальными угрозами, которые iCloud несет бизнесу. Каждая компания стремится защитить свою конфиденциальную информацию, а пользователей iPhone и iPad очень много, их становится все больше и больше и они являются руководителями и сотрудниками предприятий.

Профессионалам и обычным пользователям

По этой причине специалисты в сфере ИТ-безопасности хотят получить от Apple описание механизмов защиты ее облачного сервиса, чтобы самим строить модель безопасности, опираясь на проверенные данные, а не на предположения и домыслы. Данный обзор в большей степени адресован ИТ-профессионалам, использующим технику Apple в своей работе, хотя может быть интересен и обычным пользователям.

У каждой приятной вещи есть своя «темная сторона»

Любое новое значимое явление в мире, любые технические новшества несут не только приятные моменты, но и ставят перед специалистами и обычными людьми очередной комплекс задач, который необходимо решать и обсуждать спокойно. Поэтому подобные обзоры следует рассматривать в качестве предупреждения об имеющихся рисках, не более того и не менее.

Каждый принимает решение самостоятельно

В этом обзоре не содержится никаких рекомендаций в отношении использования или неиспользования iCloud. Их бессмысленно искать «между строк», потому что их там попросту нет. Статья несет определенную информацию, одну из точек зрения, к которой можно как прислушиваться, так и не прислушиваться. Обзор дает возможность принимать свои решения более взвешенно или, по крайней мере, просто узнать для себя нечто новое, поближе познакомиться с теми вопросами и проблемами, которые стоят перед ИТ-специалистами, погрузиться в интереснейший мир их задач и тревог.

Источник: Macnewsworld.com, Technewsworld.com