L’articolo è stato pubblicato in inglese su The Conversation. Traduzione a cura della redazione di Galileo.
Con il diffondersi dell’archiviazione via cloud il tema della sicurezza dei dati si fa sempre più attuale. Da tempo ormai servizi come Google Drive sono usatissimi nel mondo delle aziende e dell’educazione, e anche moltissimi utenti oggi depositano i propri file su piattaforme come Dropbox, Box, Amazon Drive, Microsoft OneDrive. Per tutti loro, mantenere private le proprie informazioni è certamente una priorità. E probabilmente esistono milioni di altri utenti che archivierebbero i propri dati online se solo avessero maggiori certezze sulla sicurezza di questi servizi.
I dati depositati nel cloud in effetti sono sempre archiviati in forma criptata, e per poter accedere alle informazioni che contengono un intruso dovrebbe quindi prima riuscire a craccarli. Ma come esperto di cloud computing e sicurezza del cloud ho notato che le chiavi con cui si decriptano questi file sono custodite in luoghi differenti a seconda del provider scelto. E che, in aggiunta, esistono dei sistemi relativamente semplici con cui un utente può potenziare la sicurezza dei proprio dati ben oltre i livelli garantiti dalla piattaforma cloud che utilizza.
Chi ha le chiavi?
I sistemi commerciali di cloud storage codificano i dati depositati da ogni utente utilizzando una specifica chiave crittografica. Se non la si possiede, il file non apparirà sotto forma di dati utili ma come un insieme incomprensibile di simboli.
Chi custodisce la chiave? Può essere conservata sia dal servizio di archiviazione cloud, sia dall’utente. Molti provider di servizi cloud tengono per sé la chiave, lasciando che i propri sistemi visualizzino e processino i dati del cliente, indicizzandoli ad esempio per future ricerche. Questo tipo di servizi inoltre accedono alla chiave anche quando un utente esegue il login con una password, sbloccando i dati per renderli utilizzabili.
Una strategia più pratica rispetto a quella di lasciare la chiave al cliente stesso. Ma anche meno sicura: proprio come nel caso di una chiave in carne e ossa, se a custodirla è qualcun altro può sempre essere rubata o utilizzata senza che il proprietario dei dati ne venga a conoscenza. Alcuni provider inoltre possono avere dei difetti nei propri sistemi di sicurezza che rendono vulnerabili i dati dei propri clienti.
Lasciare il controllo all’utente
Alcuni servizi meno diffusi, come Mega o SpiderOak, richiedono agli utenti di caricare e scaricare i file utilizzando client che includono una funzione di criptaggio dei dati. Questo passaggio aggiuntivo permette agli utenti di mantenere la custodia della chiave di decrittazione. Ma per avere questo ulteriore livello di sicurezza bisogna rinunciare ad alcune funzionalità, come ad esempio la possibilità di eseguire ricerche all’interno dei file archiviati nel cloud.
Anche questi servizi però non sono perfetti. Esiste sempre la possibilità che le app con cui si caricano e scaricano i file siano compromesse o vengano hackerate, dando la possibilità ad un intruso di leggere i nostri file ancora prima che vengano criptati per l’upload, o una volta decriptati in seguito al download. Il provider di un cloud service criptato potrebbe inoltre aver inserito nel proprio programma alcune funzioni che rendono vulnerabili i dati degli utenti. E in più, ovviamente, se l’utente smarrisce la propria password i file diventano irrecuperabili.
Oggi una nuova app per smartphone promette di mantenere criptate le foto fatte con il telefono dal momento in cui vengono scattate, trasmettendole e archiviandole nel cloud. In futuro potrebbero emergere servizi che offrono un livello di protezione simile anche per altri tipi di dati. Gli utenti però dovranno comunque rimanere in guardia, perché è sempre possibile che le informazioni vengano dirottate nei pochi momenti in cui, dopo essere stata scattata, la foto deve ancora essere criptata e immagazzinata.
Proteggiti da solo
Per massimizzare la sicurezza del cloud storage la cosa migliore che si possa fare è combinare tutti gli approcci appena citati. Prima di caricare i dati nel cloud, criptateli con un software di vostra scelta. Poi caricate i file cifrati nel cloud. E a questo punto per avere accesso ai file basta loggare nel servizio di archiviazione cloud scelto, scaricarli e poi decriptarli di persona.
In questo modo però è impossibile approfittare di molti dei servizi offerti dal cloud, come la possibilità di editare in tempo reale i documenti o di effettuare ricerche all’interno dei file archiviati. E le società che forniscono i servizi di cloud possono comunque modificare i nostri dati, alterando i file criptati prima di farli scaricare.
La cosa migliore per proteggersi da quest’ultimo problema è utilizzare la crittografia autenticata. Un sistema con cui non si archiviano solamente file criptati, ma anche dei metadati aggiuntivi che rivelano all’utente se il file è stato modificato dal momento della sua creazione.
In definitiva, per chi non ha voglia di imparare a programmarsi da solo i propri strumenti di crittografia esistono due scelte: trovare un servizio di cloud storage con un software affidabile per upload e download, possibilmente open source e validato da specialisti di sicurezza informatica indipendenti; oppure utilizzare software affidabili e open source per criptare i propri dati prima di caricarli nel cloud. Per gli interessati, ne esistono per tutti i sistemi operativi e solitamente sono gratuiti o comunque estremamente economici.