I provider cloud possono leggere i nostri dati? Domanda retorica
Come facciamo a sapere se il nostro provider cloud può leggere i nostri dati? Se non criptate i vostri dati e non gestite voi le vostre chiavi, sicuramente qualcuno dall'altro lato può leggere i vostri dati. Esistono tre semplici indicatori che confermano che il vostro provider cloud (specialmente se si tratta di SaaS) può leggere i vostri dati:
- Se potete vedere i vostri dati in un browser web dopo essere entrati solo con la password del vostro account, le probabilità che il vostro provider possa leggere questi dati sono molto alte. Poter vedere dei dati in un browser web e poterli nascondere contemporaneamente al vostro provider richiede un codice JavaScript complesso, o un controllo Flash/Java/ActiveX per decriptare e visualizzare i dati localmente.
- Se il servizio offre sia accesso web che un'applicazione desktop e potete accedere ai vostri dati con entrambi usando sempre la stessa password account, è molto probabile che il vostro provider possa leggere i vostri dati. L'accesso comune indica che la vostra password di account è probabilmente usata per proteggere i vostri dati ed è di solito anche usata per sbloccare la vostra chiave di crittografia. Nonostante il vostro provider possa pianificare le cose in modo che la stessa password non sia usata sia per criptare i dati che per l'accesso web, questo generalmente non succede.
- Se potete accedere ad un servizio cloud da un nuovo dispositivo o applicazione fornendo semplicemente il vostro nome utente e password, il vostro provider può quasi certamente leggere i vostri dati.
Basta il fatto di poter vedere i dati con un log in da un qualsiasi dispositivo per sapere che anche in un servizio come Dropbox (o iCloud) i dati sono crittati con una chiave gestita dal fornitore del servizio. Lo stesso accade per un servizio di livello enterprise come Box. Ovviamente poiché Dropbox archivia solo dei file potete applicare a questo la vostra crittografia prima che Dropbox li veda.
Questo non vuol dire che servizi come Dropbox o iCloud siano per forza insicuri, generalmente hanno controlli estensivi per evitare che i loro dipendenti spiino le cartelle degli utenti. Il problema è che questi servizi non sono adatti per tutti gli utenti in tutti i casi, soprattutto per organizzazioni o attività di utenti collegate a quelle aziendali. Anche la maggior parte dei servizi cloud consumer ed enterprise che citano la crittografia o offrono servizi di crittografia gestisconole vostre chiavi al posto vostro, e possono avere accesso totale ai vostri dati.
