Безопасное хранилище данных. Пять способов безопасного хранения электронных данных

Для обмена файлами между компьютерами и мобильными гаджетами больше не нужны кабели и флешки. Если устройства имеют доступ в Интернет, файлы могут «летать» между ними «на облаке». Точнее, они могут «поселиться» в облачном хранилище, которое представляет собой совокупность разбросанных по миру серверов (объединенных в один виртуальный — облачный сервер), где пользователи платно или бесплатно размещают свои данные. В облаке файлы хранятся точно так же, как на жестком диске компьютера, но доступны не с одного, а с разных устройств, которые способны к нему подключиться.

Каждый второй-третий Интернет-юзер уже взял технологию облачного хранения данных на вооружение и с удовольствием ею пользуется, но кто-то до сих пор спасается флешками. Ведь не все знают о такой возможности, а некоторые просто не могут определиться, какой сервис им выбрать и как им пользоваться. Что ж, давайте разбираться вместе.

Что представляют собой облачные хранилища с точки зрения пользователя и как они работают

Если взглянуть глазами неискушенного юзера, облачное хранилище — это обычное приложение. Оно только и делает, что создает на компьютере папку под собственным именем. Но не простую. Всё, что вы в нее помещаете, одновременно копируется на тот самый облачный Интернет-сервер и становится доступным с других устройств. Размер этой папки ограничен и может увеличиваться в пределах выделенного вам дискового пространства (в среднем от 2 Гб).

Если приложение облачного хранилища запущено и компьютер (мобильный гаджет) подключен к глобальной сети, данные на жестком диске и в облаке синхронизируются в реальном времени. При автономной работе, а также, когда приложение не работает, все изменения сохраняются только в локальной папке. При подключении машины к Интернету доступ к хранилищу становится возможен в том числе через браузер.

Файлы и папки, загруженные в облако, являются полноценными веб-объектами, такими же, как любой контент интернет-сайтов и ftp-хранилищ. Вы можете ссылаться на них и делиться ссылками с другими людьми, даже с теми, кто не пользуется этим сервисом. Но скачать или увидеть объект из вашего хранилища сможет только тот, кому вы сами это разрешили. В облаке ваши данные скрыты от посторонних глаз и надежно защищены паролем.

Основная масса облачных сервисов имеет дополнительный функционал — средство просмотра файлов, встроенные редакторы документов, инструменты создания скриншотов и т. п. Это плюс объем предоставляемого пространства и создает главные отличия между ними.

— облачный сервис хранения данных, который не нуждается в представлении пользователям Windows. Еще бы, ведь в последних выпусках этой ОС (в «десятке») он прямо-таки лезет поверх всего на экране, так как настроен на автозапуск по умолчанию.

Для пользователей винды преимущество сервиса Microsoft OneDrive перед аналогами, пожалуй, только одно — его не нужно устанавливать. Также не нужно создавать для него отдельный аккаунт — для входа в облако достаточно ввести данные своей учетной записи Microsoft.

Владельцу одной учетки Microsoft OneDrive предоставляет 5 Гб бесплатного дискового пространства для хранения любой информации. Чтобы получить дополнительный объем, придется доплачивать. Максимум составляет 5 Тб и стоит 3 399 рублей в год, однако в этот пакет входит не только дисковое пространство, но и приложение Office 365 (домашний выпуск). Более демократичные тарифные планы — это 1 Тб (2 699 рублей в год — хранилище и Office 365 персональный) и 50 Гб (140 рублей в месяц — только хранилище).

Дополнительные возможности всех тарифов:

• Поддержка других операционных систем — Mac OS X, iOS и Android.
• Просмотр и редактирование документов при помощи приложений встроенного пакета Office.
• Удаленный доступ ко всему содержимому компьютера (не только папки OneDrive), на котором установлен сервис и используется ваша учетная запись Microsoft.
• Создание фотоальбомов.
• Встроенный мессенджер (Скайп).
• Создание и хранение текстовых заметок.
• Поиск.

Только платных версий:

• Создание ссылок с ограниченным сроком действия.
• Автономные папки.
• Многостраничное сканирование с сохранением документов в файл формата PDF.

В целом сервис неплох, но иногда случаются проблемы со входом в учетную запись. Если вы собираетесь работать с веб-версией хранилища (через браузер) и заходите в него под другим IP-адресом, чем был раньше, Microsoft иногда запускает проверку принадлежности учетной записи вам, что отнимает довольно много времени.

Также были жалобы на удаление пользовательского контента из OneDrive — когда у Microsoft возникали подозрения, что он нелицензионный.

— одно из старейших кроссплатформенных облачных хранилищ. В отличие от предыдущего, оно поддерживает все основные операционные системы, а также некоторые редко используемые, например, Symbian и MeeGo. Сервис очень прост в применении, работает быстро и стабильно.

Бесплатно пользователю DropBox предоставляется всего 2 Гб дискового пространства для хранения личных файлов, но этот объем можно увеличить вдвое, создав и присоединив к своему аккаунту еще один — рабочий (который на самом деле может быть и личным). Вместе получится 4 Гб.

Переключение между личным и рабочим дисковым пространством на сайте DropBox и в приложении осуществляется без выхода из учетной записи (не нужно каждый раз вводить логин и пароль). На компьютере для того и другого аккаунта создается отдельная папка — 2 Гб каждая.

У DropBox, как и положено, тоже есть несколько тарифных планов. Про бесплатный было сказано выше, Платные — это «Plus» (1 Тб, $8,25 в месяц, предназначен для личного использования), «Standard» (2 Тб, $12,50 в месяц, для бизнеса), «Advanced»(неограниченный объем, $20 в месяц за 1 пользователя) и «Enterprise» (неограниченный объем, индивидуально устанавливаемая цена). Различия между двумя последними заключаются в наборе дополнительных опций.

Бесплатным пользователям помимо хранилища доступны:

• Сервис совместной работы с документами DropBox Paper .
• Возможность делиться ссылками и создавать общие папки.
• Журнал изменений файлов с возможностью восстанавливать их к предыдущей версии (до 30 дней).
• Комментирование файлов — как своих, так и других пользователей, если файл доступен для просмотра.
• Функция поиска.
• Получение уведомлений о событиях (настраивается индивидуально).
• Автоматическая загрузка фотографий с камеры (кстати, за включение этой опции некоторое время назад DropBox предоставлял пользователям дополнительное пространство).
• Выбор полной либо выборочной синхронизации.
• Шифрование данных при хранении и передаче.

Возможности платных тарифов можно перечислять очень долго, поэтому отметим только основные:

• Удаленное уничтожение данных из DropBox на потерянном или украденном устройстве.
• Ограничение срока действия ссылки.
• Двухфакторная проверка подлинности аккаунта.
• Настройка уровней доступа к разным данным.
• Усиленная защита информации класса HIPAA/HITECH (безопасное хранение медицинской документации).
• Круглосуточная техническая поддержка.

DropBox если не лучший, то весьма достойный сервис. Несмотря на малый по сегодняшним меркам объем бесплатного места, им пользуются миллионы людей по всему миру.

Mega (Megasynk)

Как понятно из описания, Amazon Web Services ориентирован только на корпоративный сектор и не предназначен для хранения альбомов с фотографиями котиков, хотя не исключено, что кто-то использует его и для этого. Ведь облачное хранилище файлов — Amazon Glacier , как и Яндекс диск, предоставляет пользователям 10 бесплатных Гб. Стоимость дополнительного объема составляет $0,004 за 1 Гб в месяц.

Сравнение Amazon Glacier с веб-ресурсами, о которых рассказано выше, пожалуй, некорректно, поскольку у них несколько разное назначение. Функционал и возможности этого сервиса определяются задачами бизнеса, в числе которых:

• Бесперебойная работа, повышенная надежность.
• Соответствие стандартам усиленной защиты данных.
• Мультиязычный интерфейс.
• Неограниченный объем (расширение за доплату).
• Простота использования и гибкость настроек.
• Интеграция с прочими службами Amazon Web Services.

Те, кого заинтересовали возможности Amazon, могут ознакомиться с полной документацией по продуктам AWS , которая находится на официальной сайте.

Mail.ru

Занимает второе-третье место в рейтинге популярности файловых веб-хранилищ у русскоговорящей аудитории. По набору возможностей оно сопоставимо с Google Drive и Яндекс Диск: в нем, как и в них, присутствуют веб-приложения для создания и редактирования документов (текстов, таблиц, презентаций) и скриншотер (утилита для получения снимков экрана). Оно тоже интегрировано с другими проектами Mail.ru — почтой, соцсетями «Мой мир» и «Одноклассники», сервисом «Mail. Знакомства» и т. д., имеет удобный просмотрщик файлов с флеш-плеером и также весьма доступно по цене (для тех, кому недостаточно выделенного объема).

Размер бесплатного дискового пространства облака Mail составляет 8 Гб (ранее эта цифра несколько раз менялась). Премиальный тариф на 64 Гб стоит 690 рублей в год. За 128 Гб придется отдать 1 490 рублей в год, за 256 Гб — 2 290 рублей в год. Максимальный объем — 512 Гб, обойдется в 3 790 рублей в год.

Прочие функции сервиса мало чем отличаются от ему подобных. Это:

• Общие папки.
• Синхронизация.
• Встроенный поиск.
• Возможность делиться ссылками.

Клиентское приложение Mail.ru работает на Windows, OS X, iOS и Android.

Облачное хранилище — фирменная веб-служба для владельцев смартфонов и планшетов одноименного производителя. Предназначена для хранения резервных копий данных с мобильных устройств — мультимедийного контента, файлов ОС и прочего на усмотрение пользователя.

Клиентское приложение Samsung Cloud предустановлено на телефонах и планшетах, выпущенных позже второй половины 2016 года (точнее, после выпуска Samsung Galaxy Note 7). Регистрация аккаунта на сервисе возможна только через него, видимо, для отсеивания посторонних.

Объем бесплатного хранилища составляет 15 Гб. Дополнительные 50 Гб стоят $0,99 в месяц, а 200 Гб — $2,99.

iCloud (Apple)

— фаворит среди облачных хранилищ данных у пользователей продукции Apple. Еще бы, ведь он бесплатный (правда, не очень вместительный) и интегрирован с другими яблочными службами. Сервис предназначен для хранения резервных копий данных с iPhone, iPad и iPod, а также пользовательских медиафайлов, почты и документов (последние автоматически синхронизируются с содержимым iCloud Drive).

Вместимость бесплатного хранилища iCloud составляет 5 Гб. Дополнительное пространство продается по цене $0,99 за 50 Гб, $2,99 за 200 Гб и $9,99 за 2 Тб.

Клиентское приложение iCloud поддерживает операционные системы Mac OS X, iOS и Windows. Официального приложения для Android не разработано, но владельцы девайсов на базе этой ОС могут просматривать на своем устройстве почту из облака Apple.

Завершает топ-парад облачных хранилищ китайский сервис . Как видно по скриншоту, для нас с вами он явно не адаптирован. Зачем же он тогда нужен, если существуют более привычные русскоязычному человеку отечественные, европейские и американские аналоги? Дело в том, что Baidu предоставляет пользователям целый терабайт бесплатного дискового пространства. Ради этого и стоит преодолеть трудности перевода и другие препятствия.

Регистрация на Baidu Cloud значительно более трудоемка, чем у конкурентов. Она требует подтверждения кодом, присланным по SMS, а SMS с китайского сервера на российские, белорусские и украинские номера не приходит. Нашим согражданам приходится выкручиваться с помощью аренды виртуального номера телефона, но это еще не всё. Вторая сложность заключается в том, что аккаунт нельзя зарегистрировать на некоторые адреса электронной почты. В частности, на сервисах gmail (Google заблокирован в Китае), fastmail и Яндекс. И третья сложность — это необходимость установки мобильного приложения Baidu Cloud на телефон или планшет, так как именно за это и дается 1 Тб (при регистрации на компьютере вы получите всего 5 Гб). А оно, как вы понимаете, полностью на китайском.

Не испугались? Дерзайте — и будете вознаграждены. Информация, как своими руками создать аккаунт на Baidu, есть в Интернете.

За последние несколько лет появилось столько сервисов для удаленного хранения и синхронизации пользовательских данных, что отказаться от их использования уже почти невозможно. Тем не менее многих останавливают вопросы конфиденциальности. В конце концов, загружая файлы в облако, мы передаем их на чужой компьютер, а значит, доступ к нашей информации может иметь еще кто-то, кроме нас.

С другой стороны, сложно отказаться от многочисленных удобств, которые нам дают сервисы для хранения данных: наличие резервной копии файлов, возможность получить доступ к своим документам с любого устройства из любой точки мира, удобная передача файлов другим людям. Можно найти несколько способов решения проблемы безопасности удаленного хранения файлов. О некоторых из них и пойдет речь в этом обзоре.

⇡ Cloudfogger — бесплатное шифрование для любого облака

Возможно, самый простой способ заботы о безопасности файлов, хранящихся в облаке, — шифровать их вручную. Для этого можно использовать защищенные паролем архивы или же одно из множества существующих приложений для шифрования. Но для тех, кто имеет дело с большим числом документов, в которые постоянно вносятся изменения, такие способы не очень хорошо подходят. Раз уж сервисы для удаленного хранения файлов избавляют нас от необходимости загружать на них файлы вручную, то и процесс шифрования стоит автоматизировать. Это можно реализовать при помощи специализированной программы Cloudfogger. Она работает с Windows, Mac, а также может быть установлена на устройства с Android и iOS.

Приложение шифрует данные с использованием 256-разрядного шифрования алгоритмом AES (Advanced Encryption Standard), перед тем как они загружаются в облако. Файлы попадают на серверы Dropbox и других облачных хранилищ исключительно в зашифрованном виде, поэтому доступ к ним можно получить только в том случае, если на устройстве, с которого вы хотите открыть файл, тоже установлен Cloudfogger.

Очень удобно, что шифрование не вызывает неудобств в работе: ключ для доступа к файлам вводится лишь один раз, при загрузке системы, после чего можно работать с ними в обычном режиме. Но если, к примеру, ноутбук будет украден, то при следующем запуске злоумышленник уже не сможет узнать содержание файлов в защищенных папках.

В начале работы с Cloudfogger нужно создать учетную запись (причем для большей безопасности можно отключить опцию восстановления пароля, но в этом случае забывать его категорически не рекомендуется). Затем приложение само попытается найти папки популярных облачных сервисов Dropbox, SkyDrive, Google Drive и прочих. Но даже если Cloudfogger не справился с этой задачей в автоматическом режиме, все равно можно вручную выбрать директории, содержимое которых требуется шифровать.

Кроме этого, есть возможность определить отдельные файлы из любых других папок. Сделать это проще всего при помощи контекстного меню «Проводника» — Cloudfogger добавляет в него свой список команд.

Также предусмотрена возможность исключать из шифрования отдельные директории и файлы из тех папок, которые защищены Cloudfogger. Такие данные будут загружаться на облачные сервисы в обычном режиме. Стоит иметь в виду, что после того как синхронизируемая папка будет защищена Cloudfogger, потребуется некоторое время на повторную загрузку данных из нее в облачное хранилище.

Еще одна функция Cloudfogger — обмен зашифрованными файлами с другими людьми. Если данные, содержащиеся в облачных хранилищах, будут защищены приложением, стандартные способы отправки ссылок на них другим людям не подойдут. Но вот если разрешить доступ к файлам в интерфейсе Cloudfogger, можно безопасно обмениваться ими с другими людьми. Файлы, зашифрованные Cloudfogger, можно передавать на флешке или отсылать по почте.

Технически доступ к файлам работает так: каждый файл Cloudfogger (.cfog) содержит уникальный ключ AES, который в зашифрованном виде хранится в самом файле. Такие 256-разрядные ключи защищены ключами RSA, которые уникальны для каждого пользователя. Расшифровка происходит только в том случае, если доступ к файлу пытается получить тот пользователь, чей ключ RSA соответствует прописанному в заголовке файла.cfog. Если таких пользователей несколько, данные об их ключах, соответственно, заносятся в заголовки файлов.

Еще одно специализированное решение для обеспечения безопасности файлов на «облачных» сервисах — Boxcryptor. Первоначально созданное как дополнение к Dropbox, сегодня это приложение поддерживает все популярные сервисы для удаленного хранения файлов. Правда, в бесплатной версии доступно шифрование данных, хранящихся лишь на одном сервисе, а также нельзя включить шифрование имен файлов.

Boxcryptor автоматически определяет наличие установленных клиентов популярных сервисов для хранения файлов в облаке (поддерживается даже «Яндекс.Диск»), создает виртуальный диск и добавляет в него соответствующие папки. В настройках можно управлять всеми подключенными папками: добавлять новые, на время отключать шифрование и так далее.

Сервис предлагает поддержку всех основных платформ, как настольных, так и мобильных. Есть даже расширение для Google Chrome. Для работы с Boxcryptor потребуется создание учетной записи — забывать свой пароль категорически не рекомендуется!

⇡ Tresorit — облачный сервис с повышенным вниманием к безопасности

Если из соображений безопасности вы еще не используете никаких сервисов для удаленного хранения файлов, стоит обратить внимание на молодой проект Tresorit, запущенный около полугода назад. Сервис создан как альтернатива стандартным решениям для хранения файлов в облаке и готов обеспечить гораздо более высокий уровень конфиденциальности файлов.

Tresorit обеспечивает шифрование файлов на стороне пользователя. Таким образом, все данные хранятся на серверах сервиса уже в зашифрованном виде. Для шифрования используется стойкий алгоритм AES-256. При создании учетной записи пользователя предупреждают о том, что в случае потери пароля получить доступ к данным на удаленном сервере будет невозможно. Никаких способов для восстановления пароля не предусмотрено, поскольку пароль не хранится нигде: ни в установленном приложении, ни на серверах сервиса. А для пользователей, потерявших пароль, разработчики Tresorit предлагают единственное решение — зарегистрироваться заново.

За повышенную безопасность придется заплатить отказом от некоторых привычных функций. Например, вы не сможете получить доступ к своим файлам с чужого компьютера — веб-интерфейса у Tresorit нет. Пока что разработчики даже не обещают такой возможности, объясняя это тем, что в JavaScript множество уязвимостей. Впрочем, с учетом возможности установки приложения Tresorit на мобильных устройствах, этот недостаток не кажется таким уж серьезным — в конце концов, если нет возможности всюду носить за собой ноутбук, то смартфон уж точно почти всегда при пользователе.

Для обмена файлами используются приглашения, рассылаемые по почте. Настраивая общий доступ, можно назначать людям разные роли: одни могут только просматривать файлы, другие — вносить в них изменения и добавлять в папки новые файлы, третьи — плюс к этому еще и приглашать новых пользователей.

⇡ MEGA — безопасные 50 Гбайт в облаке с синхронизацией

До недавнего времени новое детище Кима Доткома вряд ли могло рассматриваться как альтернатива привычным сервисам для удаленного хранения файлов. Дело в том, что единственным способом загрузки файлов в него было перетаскивание их в окно браузера. Соответственно, ни об автоматической загрузке, ни о синхронизации речи не было.

Но с выходом приложения для Android , а также бета-версии клиента для Windows у сервиса появились эти две важнейшие возможности.

О самом сервисе и о принципах безопасности, на основе которых он создан, мы уже подробно писали в материале «Mega-возвращение Кима Доткома: 50 Гбайт в облаке бесплатно» , поэтому остановимся лишь на основных моментах. Итак, MEGA был создан как ответ на закрытие Megaupload американскими властями. Серверы, на которых хранятся пользовательские данные, расположены в Новой Зеландии. Все файлы шифруются на стороне пользователя, то есть перед отправкой на сервис, благодаря чему получить доступ к ним без знания пароля невозможно. В отличие от Tresorit, MEGA работает в браузере и дает возможность пользователям просматривать списки файлов, удалять и перемещать их, но онлайн-просмотр недоступен, так как они зашифрованы. Для просмотра файл нужно предварительно скачать на диск. Для шифрования используется 2048-разрядный ключ RSA, а забытый пароль восстановить невозможно, поскольку он одновременно является и ключом шифрования.

Поначалу у пользователей не было даже возможности поменять пароль, введенный при регистрации, но теперь такая возможность появилась. Более того, если пользователь уже вошел в свою учетную запись MEGA в браузере, но не помнит текущий пароль, он может его сменить, введя новый и затем перейдя по подтверждающей ссылке в письме, которое отправляется на привязанный к аккаунту адрес электронной почты.

Клиент MEGASync дает возможность синхронизировать содержимое любых папок на диске с виртуальными папками, имеющимися в учетной записи Mega. Прямо при первоначальной настройке можно выбрать, какие папки куда нужно бекапить.

Позже в настройках приложения можно добавить дополнительные папки. Настройки клиента также дают возможность просматривать информацию о свободном месте (напомним, Mega предлагает целых 50 Гбайт бесплатно), ограничивать скорость загрузки, использовать прокси.

Клиент MEGA для Android позволяет не только скачивать файлы, хранящиеся на сервере, но и автоматически загружать на сервис все фотографии и видеофайлы, сделанные камерой устройства. Также в клиенте доступны все основные операции по работе с файлами: удаление, перемещение, создание ссылок на файлы для обмена с другими людьми, поиск.

⇡ Заключение

Наличие на компьютере файлов, о содержании которых не стоит знать никому постороннему, — это еще не повод отказываться от использования сервисов для удаленного хранения данных. Просто нужно позаботиться о конфиденциальности, установив ПО для обеспечения дополнительной защиты или же отдав предпочтение одному из сервисов с шифрованием на стороне пользователя. Наиболее привлекательным среди всех рассмотренных решений выглядит Mega. Сервис предлагает очень большой объем дискового пространства бесплатно, обеспечивает шифрование файлов до загрузки на сервер без использования дополнительных утилит, а также дает возможность просматривать список файлов и управлять ими в браузере и с мобильного устройства на Android.

Идея облачных хранилищ гениальна. Вместо того чтобы хранить данные локально на используемых устройствах, внешних дисках и домашних сетевых хранилищах и во­зиться с доступом, синхронизацией и резервными копиями, пользователи по Интернету переносят файлы и папки в дата-центры служб и не знают забот. Доступ обеспечивается из приложения или программы-клиента, где бы пользователь ни находился - нужно только ввести пароль. Проблем с местом для хранения нет: сервисы предлагают до 30 Тбайт, причем за начальный период пользования плата не взимается.

И все же есть в бочке меда ложка дегтя, из-за которой забывается вся прелесть использования облаков. Пользователи передают в чужие руки свои данные: фото из последнего отпуска на море, или видео со свадьбы, или личную переписку. Поэтому в этом сравнении мы сосредоточились на безопасности десяти сервисов облачного хранения данных: IT-гигантов - Apple, Google, Microsoft, Amazon, двух хостингов - Box и Dropbox, - специализирующихся на облачном хранении, а также двух поставщиков услуг из России - «Яндекс» и Mail.ru.

Плюс миллиард пользователей за пять лет

Еще в 2015 году количество пользователей облачных хранилищ составляло около 1,3 млрд. К 2020-му их станет на 1 млрд больше.

Трафик данных - в три раза больше

В 2015 году пользователи облачных хранилищ передавали в среднем всего 513 Мбайт данных в месяц. К 2020-му объем увеличится втрое.

Функциональные возможности: можно ли верить рекламе

Поставщики, разумеется, знают, что пользователи придают безопасности особое значение, и должны идти навстречу их требованиям. Если бегло просмотреть все предложения, складывается впечатление, что облачные сервисы используют высочайшие стандарты безопасности и поставщики приклады­вают все усилия, чтобы защитить данные своих клиентов.

Впрочем, при более внимательном прочтении становится ­ясно, что это не совсем соответствует действительности и стандарты не всегда новые. Поставщики услуг исчерпывают возможности безопасного хранения данных далеко не полностью, а «высокий уровень безопасности», «SSL-защита» или «безопасное шифрование» - не более чем слоганы, позволяющие воспользоваться тем, что у большинства клиентов нет специальных знаний в вопросах безопасности.

Объем памяти в Сети

Сервисы облачного хранения данных завлекают клиентов бесплатными предложениями. За некоторую плату объем можно увеличить.

TLS - далеко не все

«SSL» и «HTTPS» - популярные и всем известные аббревиатуры из области безопасности. Но бдительность терять не следует. Этот вид шифрования - необходимость, но не гарантия исключительной безопасности данных. Криптографический протокол TLS (Transport Layer Security - «протокол защиты транспортного уровня»), в 1999 году официально заменивший SSL 3.0 (Secure Sockets Layer - «уровень защищенных cокетов»), обеспечивает защищенный обмен данными между веб-сайтом облачного хранилища и программой-клиентом на вашем компьютере или приложением на вашем смартфоне.

Шифрование во время передачи данных важно в первую очередь для защиты поступающих метаданных. Без TLS любой злоумышленник может перехватить передачу и изменить данные или украсть пароль.

Мы проверили облачные хранилища с помощью комплексного инструмента для тестирований Qualys (sslabs.com/ssltest). Все поставщики используют актуальную версию стандарта TLS 1.2. Шесть из них предпочитают 128-битное шифрование AES, четыре - более мощное AES 256. И то, и другое нареканий не вызывает. Все сервисы активируют дополнительную защиту Perfect Forward Secrecy (PFS - «совершенная прямая секретность») для того, чтобы переданные зашифрованные данные даже впоследствии нельзя было расшифровать.

HSTS же (HTTP Strict Transport Security - «строгая транспортная безопасность HTTP») - еще один механизм безопасности, который защищает от операций типа downgrade attacks, - большинство поставщиков не использует. Весь список, то есть TLS 1.2 с AES 256, PFS и HSTS, есть только у Dropbox.

Двойная защита доступа

Доступ к личным данным должен быть защищен двухэтапной верификацией. Amazon помимо пароля запрашивает PIN-код, который генерируется прило­жением.

Шифрование на сервере - вопрос доверия

Еще одна стандартная функция, кроме безопасной передачи, - это шифрование данных на сервере поставщика. Amazon и Microsoft, увы, составляют исключение из правил, не шифруя данные. Apple использует AES 128, остальные - более свежий AES 256.

Шифрование в дата-центрах - не диковинка: если злоумышленникам, несмотря на все меры безопасности, все-таки удастся украсть данные пользователя, им еще понадобится ключ - если только они не прибегнут к вымогательству. И часто именно тут возникает проблема: этот вид шифрования - весьма сомнительный выход, если поставщики хранят ключи к вашим данным.

То есть какой-нибудь администратор облачного сервиса легко может в любой момент просмотреть все ваши фотографии. Если верится с трудом, может, вариант доступа следственных органов к данным будет более убедительным. Конечно, поставщики всячески демонстрируют серьезное отношение к делу, но клиентам приходится пересиливать себя и проявить доверие, поскольку таким образом их данные защищены не полностью.

Dropbox обеспечивает безопасность с помощью 256-битного шифрования AES во время хранения и SSL/TLS во время передачи

Без шифрования end-to-end

Итак, большинство сервисов обеспечивает безопасность данных пользователей путем защиты передачи и шифрования на сервере, причем все участники нашего сравнения, которые шифруют данные пользователей, имеют ключи. Ни один из сервисов не использует шифрование end-to-end. Его принципиальное отличие от шифрования во время передачи и на сервере - шифрование с самого начала.

End-to-end подразумевает шифрование локально на устройствах пользователя и передачу уже в этом виде в дата-центры. При обращении к данным они возвращаются обратно к пользователю в том же зашифрованном виде и расшифровываются на его устройствах. Смысл в том, что пользователь, во-первых, отправляет данные исключительно в зашифрованном виде, а во-вторых, не выдает поставщику никаких ключей.

То есть даже если админ сгорает от любопытства, злоумышленник похищает данные или следственным органам нужно их раскрыть, ничего у них не получится.
С постоянным шифрованием тесно связана реализация так называемого «принципа нулевого разглашения» (Zero know­ledge).

В переводе на простой язык суть его в следующем: никто, кроме вас, не знает, как расшифровать ваши данные. Ни один поставщик услуг облачного хранения данных не получает информацию, которую можно использовать для расшифровки зашифрованных данных, - вы ему ничего не сообщали, у него «ноль знаний». Осуществить это на практике затруднительно и довольно неудобно, и участники нашего сравнения по этому критерию ничего представить нам не могут.

Без двухфакторной аутентификации

Очевидно, что поставщики занимаются вопросами безопасности данных своих клиентов, но почему-то не до конца продумывают план действий. Доступ к данным, хранящимся в об­лаке, эффективно защищает двухфакторная аутентификация. Суть его заключается в следующем.

Для успешного завершения процесса входа недостаточно только имени пользователя и пароля - нужен еще PIN-код, причем не постоянный, как, например, для банковской карточки, а генерируемый приложением на смартфоне или отправляемый по SMS на телефон. Обычно такие коды действительны в течение 30 секунд.

Пользователю нужно держать под рукой смартфон, привязанный к учетной записи, и во время выполнения входа после пароля ввести полученный код. Отечественные поставщики этот простой и эффективный метод защиты не предлагают, в отличие от интернет-гигантов, а также «узкопрофильных» Box и Dropbox.

Фактическая скорость облачных хранилищ

Мы измерили скорость облачных хранилищ по кабелю (до 212 Мбит/с), DSL (18 Мбит/с) и LTE (40 Мбит/с). На диаграмме представлена средняя скорость по всем способам соединения.

Сам себе шифровальщик. Boxcryptor шифрует файлы на устройстве и обеспечивает удобное управление аккаунтами в облачных хранилищах в одном окне. Пользователи могут выбрать, нужно ли им самим управлять ключом или нет

Местонахождение - тоже важный аспект

Несмотря на все старания, в домашних условиях невозможно достигнуть того уровня безопасности, который предлагает сервис облачного хранения данных в дата-центре, и это мощный аргумент в пользу облачного хранилища. В этом можно убедиться, взглянув на их оборудование. Все поставщики, кроме Drop­box, даже для бесплатных предложений сертифицированы по международному стандарту ISO 27001.

Немаловажную роль играет также местонахождение дата-центров. Серверы Amazon, Google и других компаний находятся в США и подпадают под действие американских законов. На серверы, которые находятся только в России, например, «Яндекс» и Mail.ru, соответственно, распространяются российские законы.

Чтобы не мешать работе других программ, Dropbox использует автоматическое ограничение в клиенте

Вывод: есть куда расти

Сервисы облачного хранения данных, которые мы рассмотрели, по безопасности предлагают только стандартный набор. Искать шифрование End-to-end или Zero knowledge не имеет смысла. Защиту передачи данных обеспечивают все сервисы, однако шифрованием на серверах Amazon и Microsoft не занимаются.

Зато дата-центры отвечают высоким требованиям информационной безопасности. Вместе с тем, облачного хранилища с идеальной защитой сравнение не выявило.

Преимущества поставщиков России - в местонахождении, однако самые простые методы защиты, например двухфакторную ­аутентификацию, они игнорируют. Вы должны сами позаботиться о постоянной защите данных, даже если это означает большие расходы и сложное управление.

Надежность современных средств хранения данных обусловлена чрезвычайной эффективностью способов передачи и копирования. Это делает распространенную информацию практически неуничтожаемой. На сегодняшний день продолжаются работы по увеличению долговечности и самих носителей данных.

В 2013 году ученые Института проблем регистрации информации НАН Украины разработали технологию хранения данных на оптических сапфировых дисках (рис. 26.1), которые способны хранить данные в течение десятков тысяч лет. На эту работу ученых вдохновили таблички шумеров, изготовленные из близких по свойствам материалов, — они хранят информацию вот уже более 4 тыс. лет.

Безопасное хранение данных в компьютере

Среди различных мер для безопасного хранения и использования информации первое место занимает личная организованность пользователя и ответственное отношение к хранению важных данных в компьютере.

Защита конфиденциальных данных

Если ваш компьютер используется несколькими пользователями, то для защиты конфиденциальной информации нужно создать учетную запись администратора, установить пароль и хранить файлы в папках, недоступных другим пользователям.

Защитить конфиденциальную информацию можно также путем архивирования и установки пароля на архивы. Такой способ защиты целесообразно использовать и при электронной переписке.

Защита данных от повреждения

Для хранения данных и их защиты от повреждения следует разделить жесткий диск на несколько логических разделов.

Жесткий диск обычно делят на несколько дисков (рис. 26.2): С, D и т. д. На диске С устанавливают ОС и программное обеспечение, а на остальных дисках хранят другие данные.

Не храните важные данные на системном диске, рабочем столе, в папках своей Библиотеки (Моя музыка, Мои документы и т. п.), ведь системный диск чаще всего подвергается влиянию вредоносных программ.

Храните важные данные на внешних накопителях (оптические CD-и DVD-диски, отдельные жесткие диски, облачные диски и т. п.).

После сохранения данных на флеш-носителе следует соблюдать правила его безопасного извлечения (значок на панели сообщений), чтобы данные, которые не успели скопироваться из буфера обмена, не были утеряны.

Для резервного копирования файлов и возможности восстановления ОС пользуйтесь утилитами ОС Windows (см. далее).

Резервное копирование и восстановление данных

В составе ОС Windows есть утилита для создания резервных копий данных жесткого диска. Резервное копирование позволяет предотвратить потерю данных на жестком диске в случае его выхода из строя в результате воздействия вредных программ.

Резервное копирование

Для резервного копирования данных нужно выполнить следующие действия.

2. Выполнить команду Настроить резервное копирование (или Изменить). Выбрать место хранения резервных копий.

3. В окне Настройка архивации выбрать тип выбора данных для архивирования: Предоставить выбор Windows или Предоставить выбор мне, щелкнуть кнопку Далее.

4. При ручном способе выбора объектов для архивирования (Предоставить выбор мне) пометить галочкой файлы или папки, которые будут архивироваться, и щелкнуть кнопку Далее.

5. Установить или отменить расписание автоматического создания архивов командой Изменить расписание.

Восстановление данных

Для восстановления файлов из резервных копий нужно выполнить следующие действия.

1. Открыть окно Архивация и восстановление данных, выполнив команды: Пуск ^ Все программы ^ Обслуживание ^ Архивация и восстановление.

2. Щелкнуть последовательно кнопки Восстановить мои файлы и Обзор файлов.

3. Выбрать восстанавливаемые файлы и нажать кнопку Добавить файлы.

4. Выбрать восстанавливаемые файлы и нажать кнопку Далее.

5. Выбрать место восстановления файлов: В исходное место или В следующее место (выбрав место восстановления).

6. Щелкнуть кнопку Восстановить.

Точка восстановления Windows

Отслеживание и запоминание состояния операционной системы и установленных программ может происходить и в автоматическом режиме — благодаря созданию так называемых точек восстановления.

Точка восстановления Windows (контрольная точка восстановления) — это сохраненная информация о состоянии операционной системы и об установленных программах в определенное время.

Точку восстановления Windows целесообразно создавать тогда, когда компьютер и все программы работают нормально. Система автоматически создает точки восстановления системного диска после установки новых программ, изменения настроек и т. п.

Точку восстановления можно создать и в ручном режиме, выполнив: Пуск ^ Панель управления ^ Система и безопасность ^ Система ^ Защита системы ^ Далее ^ Создать (рис. 26.3) ^ предоставить описание точки восстановления ^ Создать.

Для восстановления удаленных файлов можно воспользоваться функцией контекстного меню диска Восстановить предыдущую версию диска, для которого была включена защита системы. Далее следует выполнить команды: Настроить (см. рис. 26.3) ^ Восстановить параметры системы и предыдущие версии файлов (рис. 26.4).

Точку восстановления обычно применяют в случае ухудшения работы компьютера. Для этого нужно выполнить следующие команды: Пуск ^ Все программы ^ Стандартные ^ Служебные ^ Восстановление системы ^ Далее ^ ^ выбрать точку восстановления ^ Далее ^ Готово.

Безопасное удаление данных

Для удаления файлов и папок с возможностью их восстановления используют, как вам известно, папку Корзина.

А что делать, когда конфиденциальную информацию нужно удалить без всякой возможности ее восстановления, например при передаче жесткого диска в пользование другому лицу и т. п.?

В этом случае даже форматирование диска не всегда гарантирует безвозвратное удаление файлов. Для безвозвратного удаления данных целесообразно использовать специальные программы, например, Eraser, CCleaner т. п., которые на место удаленных данных записывают новые.

Вопросы для самопроверки

1. Поясните, в чем заключается надежность современных средств хранения данных.

2. Назовите способы безопасного хранения данных на персональном компьютере.

3. Как осуществить резервное копирование данных системного диска?

4. Как восстановить данные из резервных копий?

5. Что такое точка восстановления Windows?

6. Как удалить данные без возможности их восстановления?

Упражнение 26

Выполнить архивное копирование и восстановление данных.

1) Запустите текстовый процессор и создайте новый документ.

2) Средствами ОС Windows сделайте резервную копию папки, предложенной учителем, и сохраните ее на диске D.

3) Восстановите из созданной резервной копии файл, предложенный учителем, сохраните его в папке Документы.

4) Запишите в документ названия логических дисков, на которые разбит жесткий диск вашего компьютера.

5) Определите, включена ли защита системы для дисков. Сделайте скриншот экрана с информацией об этом и сохраните изображение в документе.

6) Сохраните файл документа с именем Упражнение 26 в своей папке. Завершите работу за компьютером.

Компьютерное тестирование

Выполните тестовое задание 26 с автоматической проверкой на сайте interactive.ranok.com.ua.

Практическая работа 10

Настройка параметров безопасности в среде браузера

Задание: научиться настраивать параметры браузера и почтового ящика для безопасной переписки.

Оборудование: компьютер, соединенный с сетью Интернет, браузер Google Chrome.

Ход работы

Во время работы за компьютером соблюдайте правила безопасности.

1. Запустите браузер Google Chrome.

2. Настройте конфиденциальность пользования браузером:

1) щелкните значок ■ в верхнем правом углу браузера;

2) выберите команду Настройка;

3) разверните внизу страницы список Дополнительные;

4) сделайте в разделе Конфиденциальность и безопасность нужные настройки, например очистите Пароли в окне Удалить данные о просмотренных страницах.

3. Проверьте настройки запрета показа всплывающих окон:

Меню ■ ^ Настройка ^ Дополнительные ^ Конфиденциальность и безопасность ^ Настройка содержания ^ Всплывающие окна (Запретить).

4. Активируйте (если этого не сделано) защиту от опасных сайтов (см. п. 2).

5. Настройте (если этого не сделано) браузер на русский язык интерфейса (см. предыдущие алгоритмы настроек).

6. Самостоятельно исследуйте другие настройки содержимого страницы.

7. Зайдите в свой почтовый ящик. Добавьте новую папку Школьное для хранения писем школьного назначения.

8. Настройте автоматическую подпись ваших писем, например:

С уважением, <Фамилия_Имя>.

9. Отметьте письма, полученные из неизвестных источников, как спам.

10. Выясните в Интернете, что такое файлы cookies и зачем их удаляют. Создайте документ, введите ответ и отправьте учителю. Завершите работу за компьютером.

Сделайте вывод: какие настройки безопасности браузера Google Chrome установлены по умолчанию, а какие нужно настраивать дополнительно.

Это материал из учебника

В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.

Архитектура

За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.

Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.

Гипервизор Proxmox Virtual Environment

Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.

Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.

На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».

Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:

Облачное хранилище данных ownCloud

Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.

От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.

OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).

Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".

Одноразовые пароли OTP

Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.

Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.

На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд

Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.

Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert

Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.

Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Проинициализированный Token Seed выглядит следующим образом:

Для отключения OTP достаточно удалить Token Seed из настроек. Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:

Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";

Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.

IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart

Защита от брутфорса

В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".

Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.

После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart

В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

P.S.
Live версию ownCloud можно посмотреть на официальном сайте