Обеспечение конфиденциальности в современных облачных веб-сервисах для работы с заметками

Размещено на http://www.allbest.ru/

Обеспечение конфиденциальности в современных облачных веб-сервисах для работы с заметками

Данилов М.С., руководитель Пескова О.Ю.

ИТА ЮФУ, ИКТИБ, кафедра БИТ г. Таганрог

700ghz@gmail.com

В работе рассмотрены особенности функционирования наиболее популярных веб-сервисов для работы с заметками. Основное внимание уделено Проанализированы механизмы обеспечения конфиденциальности, целостности, доступности обрабатываемой личной информации пользователей. Рассмотрены юридические особенности предоставления услуг подобных веб-сервисов.

Ключевые слова: Конфиденциальность, целостность, доступность, сервисы работы с заметками

В наше время все более популярными становятся различные сервисы работы с заметками, которые, с одной стороны, имеют богатый функционал для работы с информацией различных типов, а с другой стороны дают возможности для синхронизации данных и их использования на различных источниках. Для того, чтобы понимать, какие данные стоит хранить в подобных системах, а какие нет, необходимо разобраться в особенностях их организации

Прежде всего, рассмотрим продукт одного из наиболее именитых разработчиков Microsoft OneNote -- сервис для создания быстрых заметок и организации личной информации, блокнот с иерархической организацией записей, который может служить аналогом обычного канцелярского блокнота. Сервис является одним из самых популярных для работы с заметками. Данный сервис включает в себя:

клиентское ПО, которое поддерживается для Microsoft Windows и Mac OS X, а так же Windows Phone (7; 8; 8.1), Apple iOS, Symbian Belle (Nokia Belle) и Android;

тонкий клиент, работающий в большинстве браузеров, разработанный с использованием Active Server Pages для .NET;

серверная часть приложения.

Поскольку эта работа, в наибольшей степени, касается вопросов рассмотрения безопасности веб-сервисов, мы не будем останавливаться на удобстве интерфейса и методах работы с программой.

Первое, на что необходимо обратить внимание, так это используемая лицензия на программное обеспечение сервиса: проприетарное программное обеспечение. Это означает, что исходные коды сервиса недоступны для пользователей и нельзя подробно рассмотреть внутренние механизмы работы сервиса. Это приводит к тому, что единственным способом удостовериться, что сервис не нарушает прав неприкосновенности частной жизни, а так же тайны связи - довериться юридическим документам, предоставленным корпорации Microsoft.

На первых страницах заявлении о конфиденциальности Microsoft, располагающихся на официальном сайте, можно узнать, что корпорация собирает информацию о пользователях с целью повешения качества предоставляемых услуг. Такой информацией может являться:

имя и контактная информация;

учётные данные;

интересы и любимые занятия;

платёжные данные;

данные об использовании;

данные о местоположении;

контакты и отношения;

содержимое (содержимое ваших документов, фотографии, музыка или видео, загружаемые в службу Майкрософт).

Также Microsoft оповещает, что личные данные могут быть раскрыты по следующим причинам:

требование закона, судебного процесса;

защита жизни людей;

в целях защиты собственности Microsoft.

другое;

Можно даже не прилагать большого количества усилий, дизассемблируя исходный код клиентского приложения или изучения алгоритмов работы тонкого клиента, чтобы прийти к выводу, что сервис предоставляет низкий уровень конфиденциальности. Например, если не обладающий достаточной информацией в этой области работник Министерства обороны ВС РФ разместит свои размышления о приказе переразмещения атомных подводных лодок в сервисе OneNote от MS, то корпорация (или государство USA, которому оно принадлежит), может интерпретировать такую заметку, как угрожающую жизни людей и данные могут быть раскрыты. Нельзя также оставить без внимания, тот факт, что в продуктах от MS часто находят критические уязвимости. И даже, несмотря на то, что разработчики корпорации максимально быстро, буквально в течении суток, выпускают исправления (для получения которых, необходима сеть интернет), злоумышленники успевают эксплуатировать уязвимости на большом количестве ЭВМ.

При этом сервис все-таки поддерживает технологии, повышающие уровень безопасности:

использование защищённого HTTPS соединения, предотвращающее атаку посредника и прослушивание сетевого соединения;

двухэтапная аутентификация, требующая при авторизации не только пароль аккаунта, но и фрагмент данных, присылаемых на телефон пользователя;

Также реализован функционал для защиты выбранных заметок паролем, однако данный метод нельзя применить в браузерном приложении и некоторых версия десктопных клиентов. Нельзя установить пароль на запуск клиентского приложения.

Следующий сервис Evernote -- веб-сервис и набор программного обеспечения для создания и хранения заметок. Evernote поддерживает несколько компьютерных и мобильных платформ, включая OS X, iOS, Chrome OS, Android, Microsoft Windows, Windows Phone, BlackBerry и webOS, а также предлагает онлайн-синхронизацию и резервное копирование. Первый выпуск сервиса состоялся в 2008 году, а в 2014 набрал свыше 100 млн. пользователей.

Сервис включает в себя:

серверную часть;

тонкий клиент, работающий в большинстве браузеров, разработанный с использованием JS, без каких либо общественных фреймворков;

клиенты для персональных компьютеров и для портативных устройств.

Распространяется по лицензии freemium, модель которая заключается в бесплатном использовании ПО, которое может быть расширено, улучшено за оплату.

Разработчики реализовали достаточно много технологий, повышающих защищенность сервиса: данные между клиентом и сервером передаётся по защищённому протоколу HTTPS, который предотвращает перехват данных, а также атаку человек-по-середине. Также возможно использование двухэтапной аутентификации, используя которую, для входа в учётную запись, необходимо предъявить пароль и часть данных, передающихся по другому каналу пользователю. В качестве дополнительного канала передачи данных используются SMSсообщения. Кроме того, возможно шифровать отдельные заметки. Клиенты для Android и iOS позволяют установить пароль на запуск приложения.

Однако, исходный код сервиса недоступен для пользователя и является коммерческой тайной. Поэтому нам приходится довериться разработчикам и органам, сертифицирующим продукт, рассмотреть безопасность сервиса с юридической стороны.

Раздел сервиса Evernote, описывающий конфиденциальность данных пользователя, перечисляет следующие ситуации, при которых личная информацию пользователя может быть передана третьим лицам:

для расследования возможных нарушений наших Условий обслуживания, обеспечения соблюдения Условий обслуживания или для расследования, предотвращения или пресечения незаконной деятельности, мошенничества или возможной угрозы в отношении каких-либо лиц, собственности или систем, обеспечивающих работу Сервиса;

Мы делаем это в связи с продажей или реорганизацией всего нашего бизнеса или его части (в этом случае передача осуществляется лишь в той мере, в какой это разрешено применимым правом);

Evernote также может просматривать ваши заметки, если это будет необходимо для защиты прав, имущества или личной безопасности Evernote и ее пользователей;

просмотр возможен в том случае, если мы сочтем, что были нарушены наши Условия обслуживания.

Одно из описанных выше условий раскрытия личной информации пользователя: «защита имущества или личной безопасности Evernote и ее пользователей». В каких случаях заметка будет угрожать личной безопасности Evernote в соглашении не указано, а значит, компания, владеющая сервисом, может использовать это правило, так, как будет удобно. Так же нельзя обойти стороной ещё один интересный пункт соглашения: «Однако при передаче данных по Интернету, проводному или беспроводному, невозможно обеспечить 100процентную защиту. В связи с этим мы не можем гарантировать безопасность передаваемой между нами информации, и вы осведомлены, что передаете ее на свой страх и риск».

Ещё один интересный факт безопасности Evernote является возможность подключения сторонних расширений к сервису, используя которые, пользователь предоставляет доступ к своим заметкам. Злоумышленник может создать такого рода расширение или использовать его уязвимости.

Продукт еще одного технологического гиганта Google

Keep -- бесплатный сервис, созданный компанией Google Inc. в 2013 году, который предназначен для создания и хранения заметок. Google Keep доступен в виде интернет-приложения с доступом через любой совместимый браузер, подключаемого модуля (plug-in) для браузера Google Chrome и приложений для устройств на iOS и Android.

Лицензия: проприетарное программное обеспечение.

Исходный код недоступен. Сервис включает в себя:

серверную часть;

тонкий клиент, работающий в большинстве браузеров, разработанный с использование JS, без каких либо общественных фреймворков;

PC клиенты и для портативных устройств.

Как и большинство аналогичных сервисов, Google предоставляет возможности двухэтапной аутентификации, поддерживается защищённое соединение по HTTPS. Google Keep не позволяет защищать паролем отдельные заметки.

Google передаст заметки третьим лицам в следующих случаях:

Требование закона;

Нарушение условий сервиса;

выявить, пресечь или иным образом воспрепятствовать мошенничеству, а также устранить технические неполадки или проблемы с безопасностью;

защитить права, собственность или безопасность компании Google.

Google утверждает, что постоянно совершенствует способы сбора, хранения и обработки данных, включая физические меры безопасности, для противодействия несанкционированному доступу к системам.

Результаты сравнения сервисов приведены в следующей таблице.

конфиденциальность соединение сетевой аутентификация

Таблица сравнения веб-сервисов

Таким образом, можно сделать вывод, что наиболее популярные веб-сервисы для организации заметок ограничиваются стандартизированными решениями для обеспечения безопасности, такие, как защищённое соединение, двухфакторная авторизация. Однако стоит заметить, что исходные алгоритмы таких сервисов закрыты, а личная информация пользователей, в некоторых случаях, может быть передана компанией-владельцем третьим лицам.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Microsoft. Заявление о конфиденциальности корпорации Майкрософт [Электронный ресурс]: Электрон. дан. - [Б. м.], 2015. - URL: https://www.microsoft.com/ruru/privacystatement/default.aspx (дата обращения: 10.12.2015).

2. Google. Политика конфиденциальности и Условия использования [Электронный ресурс]: Электрон. дан. - [Б. м.], 2015. - URL: https://www.google.com/policies/privacy/ (дата обращения: 11.12.2015).

3. Evernote. Конфиденциальность [Электронный ресурс] - Электрон. дан. - [Б. м.], 2015. - URL: https://evernote.com/intl/ru/legal/privacy.php (дата обращения: 12.12.2015).

Размещено на Allbest.ru