Quanto sono sicuri Dropbox, OneDrive, Google Drive e iCloud?

In questi giorni abbiamo tutti enormi quantità di documenti di testo, canzoni, foto, video e altri dati personali che vogliamo proteggere. Archiviare i nostri dati localmente può essere rischioso perché un disco rigido può essere danneggiato e un dispositivo mobile potrebbe essere perso, rubato o rotto.

I rapporti hanno persino fatto emergere persone che perdono la loro intera collezione di foto quando aggiornano il loro sistema operativo Windows, con grande disperazione. L'archiviazione dei dati online è un modo eccellente per proteggersi da questo tipo di perdita, ma l'archiviazione cloud è sicura?

Quando si tratta di eseguire il backup dei dati online, ci sono diversi servizi chiave che le persone tendono ad usare. Questi essere; Google Drive, Dropbox, OneDrive e iCloud. In questo articolo, esamineremo questi popolari servizi di archiviazione e esamineremo quanto sono sicuri questi servizi di archiviazione cloud.

Google Drive è sicuro??

Google Drive è un modo semplice ed efficiente per eseguire il backup dei dati sul cloud e, poiché è disponibile gratuitamente (fino a 5 GB di spazio di archiviazione) con un account Gmail, è estremamente popolare.

Per le persone che eseguono il backup di documenti riservati, tuttavia, potrebbero esserci dubbi sulla sicurezza di Google Drive. Dopotutto, in precedenza sono emerse prove del fatto che Google abbia collaborato con l'NSA nel suo programma di sorveglianza del PRISM. Quindi, che tipo di sicurezza offre davvero Google Drive? Se stai considerando Google Drive come un'opzione, consulta la nostra recensione su Google Drive.

In transito

Il primo possibile rischio per la sicurezza dei dati è durante la trasmissione. Quando carichi i tuoi dati sui server centrali di Google, devono viaggiare lì via Internet, il che significa che potrebbero essere intercettati durante il trasporto.

Per mitigare ciò, Google crittografa i tuoi dati utilizzando TLS prima di caricare i tuoi dati. Questo è lo stesso standard di crittografia utilizzato per proteggere le connessioni del browser ai siti Web HTTPS. Un rapido controllo con lo strumento di controllo della crittografia indipendente Qualys SSL Labs rivela che le connessioni TLS di Google sono classificate A + (il che è buono come viene).

Google crittografa anche i tuoi dati ogni volta che sono in transito all'interno della sua rete interna. Ciò significa che i tuoi dati sono sempre crittografati quando si spostano da un server Google a un altro e durante la sincronizzazione con i tuoi vari dispositivi.

A riposo

Una volta che i tuoi dati arrivano con Google, vengono crittografati per tenerli al sicuro all'interno dei suoi server cloud. Google utilizza la crittografia AES a 128 bit per tutti i dati a riposo. Anche se questo non è forte come la crittografia a 256 bit; per il momento è ancora considerato una prova futura.

Per maggiore sicurezza, Google crittografa le chiavi di crittografia AES utilizzate per crittografare i tuoi dati con un set rotante di chiavi principali. Ciò aggiunge un ulteriore livello di sicurezza ai dati archiviati sui server di Google.

Google crittografa tutti i tuoi file "al volo" per garantire che i dati vengano sempre archiviati in modo sicuro e che venga decrittografato solo il file a cui si desidera effettivamente accedere. Tuttavia, Google detiene la chiave dei tuoi file per tuo conto, il che significa che l'azienda può andare nei tuoi file se lo desidera.

Politica sulla riservatezza

I termini di servizio di Google lo affermano "conservi la proprietà di qualsiasi diritto di proprietà intellettuale che detieni in quel contenuto. In breve, ciò che appartiene a te rimane tuo." Tuttavia, l'azienda afferma di avere il diritto di utilizzare i tuoi contenuti privati ​​per migliorare i suoi servizi.

Ciò significa che l'azienda può scansionare i tuoi documenti alla ricerca di informazioni e parole chiave al fine di offrirti una migliore pubblicità (attraverso i suoi altri servizi) o di migliorare i suoi servizi e svilupparne di nuovi. Poiché Google richiede il consenso per accedere a tutto ciò che carichi, non può rivendicare la conformità HIPAA.

Google si riserva inoltre il diritto di consegnare i tuoi dati alle autorità se ricevono un mandato. Ciò significa che il governo degli Stati Uniti potrebbe entrare in tutti i tuoi file e non lo sapresti mai (a causa di ordini di bavaglio). Niente di tutto questo è l'ideale ed è la ragione principale per cui qualsiasi servizio di cloud storage che non fornisce la crittografia end-to-end non può mai essere considerato veramente sicuro.

OneDrive è sicuro?

OneDrive è un popolare servizio di archiviazione cloud fornito da Microsoft. Come Google Drive, offre agli utenti 5 GB di spazio di archiviazione gratuito non appena si registrano per un account Microsoft. Se sei un utente OneDrive, ti starai chiedendo quanto siano sicuri i tuoi dati. Quindi, diamo un'occhiata ...

In transito

I dati che vengono trasmessi al cloud storage OneDrive di Microsoft vengono crittografati con la crittografia TLS utilizzando chiavi a 2048 bit. Si tratta di una crittografia solida che garantisce che i tuoi dati siano protetti dagli hacker e dal tracciamento durante il trasporto.

Al fine di proteggere i dati mentre passano da un server all'altro (Microsoft archivia i dati in più posizioni per proteggerli dalle catastrofi), l'azienda crittografa anche i dati prima di spostarli internamente. Microsoft afferma che sebbene "i dati siano già trasmessi utilizzando una rete privata, sono ulteriormente protetti con la migliore crittografia".

A riposo

Mentre Microsoft fornisce in modo definitivo informazioni sulla crittografia a riposo per pagare gli utenti di OneDrive di livello "aziendale". Cercare di trovare prove della crittografia a riposo per gli utenti OneDrive gratuiti è più complicato.

Agli utenti aziendali viene comunicato che BitLocker crittografa tutti i dati archiviati sui server di Microsoft. La crittografia per file fornisce una crittografia immediata per ogni singolo file che carichi. Secondo Microsoft, utilizza la crittografia AES 256 conforme a Federal Information Processing Standard (FIPS) 140-2. Questa è una crittografia avanzata.

Nonostante la confusione che circonda la differenza tra account aziendali e personali, possiamo solo presumere che Microsoft fornisca effettivamente la crittografia a riposo per tutti gli utenti di OneDrive. Questo articolo suggerisce certamente che è vero:

“Ogni file è crittografato a riposo con una chiave AES256 unica. Queste chiavi univoche vengono crittografate con un set di chiavi master archiviate in Azure Key Vault. "

Tale affermazione implica che tutti gli utenti di OneDrive ottengono la crittografia a riposo e che tale crittografia è immediata. (Anche se sarebbe bello se Microsoft rendesse assolutamente chiara la differenza tra account aziendali e personali).

Tuttavia, vale la pena ricordare che OneDrive è un servizio di archiviazione cloud completamente proprietario. È una fonte chiusa, il che significa che è impossibile verificare la sicurezza dei dati. Inoltre, poiché l'azienda crittografa i tuoi dati per tuo conto e detiene le chiavi di crittografia sui suoi server, ha la possibilità di accedere ai tuoi dati se lo desidera e può scansionare i tuoi documenti come desidera.

Politica sulla riservatezza

Come nel caso dei servizi di Google, OneDrive di Microsoft è coperto da una politica generale sulla privacy per tutti i prodotti e servizi di Microsoft. Questa politica afferma che Microsoft ha il diritto di accedere ai tuoi dati al fine di fornire meglio i propri servizi. Inoltre, consente all'azienda di accedere ai dati dell'utente al fine di tracciare e pubblicare annunci pubblicitari.

La politica di Microsoft ricorda inoltre agli utenti che sarà conforme ai warrant del governo se gli viene chiesto di:

"Infine, accederemo, divulgheremo e conserveremo i dati personali, inclusi i tuoi contenuti (come il contenuto delle tue e-mail, altre comunicazioni private o file in cartelle private), quando riteniamo in buona fede che ciò sia necessario per: 1 . rispettare la legge applicabile o rispondere a procedimenti legali validi, anche da parte delle forze dell'ordine o di altri enti governativi. "

Ciò significa che le autorità possono accedere ai tuoi dati in qualsiasi momento e poiché gli Stati Uniti applicano gli ordini di bavaglio, non verrai mai informato di questa intrusione nei tuoi dati.

Pertanto, come sempre, se si desidera che i dati vengano archiviati online in modo sicuro, è fondamentale optare per un servizio che fornisce una vera crittografia end-to-end (e che sia open source).

ICloud è sicuro??

iCloud è il servizio di archiviazione cloud di Apple. Poiché è il servizio fatto in casa di Apple che viene inserito nei suoi prodotti, è un servizio estremamente popolare tra gli utenti Apple. Si presume spesso che sia buono per la privacy e più sicuro di alcuni dei suoi concorrenti.

Tuttavia, come gli altri servizi popolari in questo articolo, iCloud è di tipo chiuso. Ciò significa che il suo codice sorgente non è disponibile per essere verificato dai professionisti della sicurezza. Quindi devi solo fidarti di Apple per fornire il livello di sicurezza che afferma.

In precedenza Apple aveva rivelato (da Edward Snowden) di aver lavorato a stretto contatto con la NSA per curare i suoi utenti. Quindi, puoi fidarti? Ed è iCloud di Apple davvero più sicuro dei suoi concorrenti?

In transito

Nel 2014, Apple ha ricevuto molta cattiva stampa dopo una serie di attacchi agli utenti di iCloud. Secondo tali rapporti, le connessioni ai server iCloud erano vulnerabili a un uomo nel mezzo dell'attacco. Apple lo ha negato, sostenendo che le vittime erano state effettivamente phishing. Nonostante ciò, l'azienda ha apportato miglioramenti alla sicurezza del suo servizio iCloud.

Apple afferma che tutte le comunicazioni con i server iCloud sono protette con la crittografia TLS 1.2 con Forward Secrecy. Abbiamo verificato la sicurezza TLS di iCloud utilizzando Qualys SSL Labs e siamo felici di scoprire che il servizio ottiene un A +. Pertanto, la sicurezza dei dati in transito dovrebbe andare bene.

Per maggiore sicurezza, quando accedi ai servizi iCloud utilizzando app Apple native come Mail, Calendar o Contatti, l'autenticazione viene gestita utilizzando un token sicuro. I token sicuri eliminano la necessità di memorizzare la password di iCloud sul dispositivo o sul computer. A differenza di una password (che potrebbe essere utilizzata per accedere da un dispositivo diverso) quel token non può essere rubato perché è crittografato in modo crittografato con il dispositivo (e senza il dispositivo è inutile).

Inoltre, non siamo stati in grado di verificare quale tipo di protezione Apple utilizza per trasmettere i dati attraverso le sue reti private. Si potrebbe presumere che l'azienda utilizzi la crittografia per passare i dati tra i server cloud, ma le informazioni sul livello di sicurezza non sono disponibili gratuitamente.

A riposo

Apple afferma che tutti i dati sono archiviati sui propri server utilizzando la crittografia AES 128. Questo non è sicuro come la crittografia AES 256 fornita da molti servizi di archiviazione cloud, ma per il momento è ancora considerata una prova futura

La crittografia end-to-end è disponibile per alcuni dati che vengono comunicati ai server Apple (Apple utilizza la crittografia end-to-end per iMessages e FaceTime e per i dati domestici, i dati sanitari, il portachiavi iCloud, le informazioni di pagamento, il vocabolario appreso dalla tastiera Quicktype, schermata, informazioni su Siri e informazioni sulla rete Wi-Fi).

Tuttavia, non è disponibile per i singoli file trasmessi su iCloud. Ciò significa che Apple mantiene il controllo sulle chiavi di crittografia per i file che crittografa per tuo conto sul suo archivio cloud. Questo è tutt'altro che ideale perché significa che le chiavi dei tuoi dati potrebbero essere accessibili al personale di Apple, trapelate online o forse addirittura hackerate dai suoi server dai criminali informatici.

Politica sulla riservatezza

La politica sulla privacy di Apple chiarisce che è possibile accedere ai dati degli utenti iCloud in alcune circostanze:

"Utilizziamo anche le informazioni personali per aiutarci a creare, sviluppare, gestire, consegnare e migliorare i nostri prodotti, servizi, contenuti e pubblicità e per scopi di prevenzione delle perdite e antifrode. Potremmo anche utilizzare le tue informazioni personali per scopi contabili e di sicurezza della rete, anche al fine di proteggere i nostri servizi a beneficio di tutti i nostri utenti e pre-screening o scansione di contenuti caricati per contenuti potenzialmente illegali, incluso materiale di sfruttamento sessuale dei minori. "

Come puoi vedere, la politica consente ad Apple di scansionare i tuoi documenti per assicurarsi che non siano illegali. Non è chiaro se Apple utilizzi la sua capacità di scansionare documenti per altri scopi, ma si autorizza anche a utilizzare i dati delle persone per sviluppare nuovi servizi. Quindi, sembra probabile che stia eseguendo un certo livello di spionaggio aziendale. Naturalmente, dato che Apple è a codice chiuso, è impossibile verificare esattamente quale tipo di snooping potrebbe verificarsi.

Come nel caso di Google e Microsoft, la politica di Apple afferma inoltre che sarà conforme alle richieste legali di dati. Ciò significa che è possibile che all'azienda venga offerto un ordine di bavaglio e che i tuoi dati iCloud possano essere accessibili a tua insaputa:

"Potrebbe essere necessario - per legge, procedimento legale, contenzioso e / o richieste da parte di autorità pubbliche e governative all'interno o all'esterno del tuo paese di residenza - che Apple divulga le tue informazioni personali. Potremmo anche divulgare informazioni su di te se stabiliamo che ai fini della sicurezza nazionale, delle forze dell'ordine o di altre questioni di importanza pubblica, la divulgazione è necessaria o appropriata. "

Quindi, con quale frequenza Apple entra effettivamente negli account delle persone? Nella prima metà del 2015, Apple ha ammesso di aver ricevuto 4.472 richieste dalle autorità di polizia di tutto il mondo. Apple afferma di aver divulgato i dati alla polizia per 1.886 di tali richieste (di cui 1.407 sono state fornite alle forze dell'ordine statunitensi).

Infine, vale anche la pena notare che le note memorizzate su iCloud non sono mai crittografate, mai.

Dropbox è sicuro?

Dropbox è un servizio di archiviazione cloud con sede a San Francisco, in California. È l'unico servizio di cloud storage in questo elenco che non appartiene a un gigante della tecnologia, ma è cresciuto in popolarità solo grazie al suo servizio.

Nonostante ciò, è difficile considerare Dropbox più sicuro rispetto agli altri popolari concorrenti in questo articolo. In effetti, il servizio è stato direttamente criticato da Edward Snowden, che è stato molto esplicito sulla mancanza di privacy che gli utenti ottengono sulla piattaforma.

Dropbox è in parte licenza GPLv2 e in parte sorgente chiusa. Ciò significa che è impossibile verificare in modo indipendente tutto il codice sorgente per il servizio. Questo è sufficiente per mettere alcune persone fuori dal servizio perché ci sono servizi di cloud storage completamente open source sul mercato.

In transito

Come nel caso degli altri servizi menzionati in questo elenco, Dropbox utilizza TLS sicuro per proteggere tutti i dati trasmessi dai consumatori ai server aziendali. Dropbox afferma che le sue connessioni TLS creano un tunnel protetto con la crittografia AES 128.

Abbiamo verificato i servizi Dropbox con Qualys SSL Labs per vedere se supera i test del revisore indipendente. Qualys ha valutato la connessione TLS con un A +, il che significa che tali connessioni possono essere attendibili per proteggere i dati dell'utente mentre è in transito.

Tuttavia, Dropbox non fornisce la crittografia end-to-end, il che significa che i dati sono ancora suscettibili alla possibilità di essere intercettati.

A riposo

Dropbox archivia tutti i dati sui suoi server con una potente crittografia AES 256. Tuttavia, è impossibile dire dalle proprie pubblicazioni se tale crittografia è fornita al volo per ogni file a cui si accede.

Come nel caso di altri servizi in questo articolo, Dropbox non fornisce la crittografia end-to-end. Al contrario, contiene le chiavi di crittografia per i dati di tutti e mantiene il controllo completo sulla crittografia e la decrittografia dei dati per conto dell'utente. Questo è un rischio in termini di sicurezza e privacy perché significa che l'azienda può accedere ai dati dell'utente ogni volta che lo desidera.

Inoltre, è possibile che i dati degli utenti possano essere esposti in caso di perdita interna o se gli hacker riescono a rubare le chiavi di crittografia degli utenti dai server dell'azienda.

Vale anche la pena notare che il servizio ha precedentemente avuto problemi con i suoi meccanismi di autenticazione, a seguito del quale chiunque potrebbe accedere ai file Dropbox di tutti per circa quattro ore, senza la necessità di una password dell'account. Inoltre, i ricercatori della sicurezza avevano precedentemente scoperto un errore nell'app Dropbox per iOS che stava memorizzando le informazioni di accesso dell'utente in testo semplice.

Tuttavia, da allora ha risolto tali problemi e ha aggiunto misure di sicurezza per consentire ai consumatori di proteggere i propri account. Questi includono l'autenticazione a doppio fattore, una pagina per controllare gli accessi attivi all'account, sistemi automatizzati che verificano attività insolite e aggiornamenti forzati della password per account che si ritiene agiscano in modo sospetto.

Nonostante questi miglioramenti, chiunque desideri utilizzare Dropbox in modo completamente sicuro dovrà utilizzare software di terze parti per crittografare i propri dati prima di caricarli su Dropbox.

Politica sulla riservatezza

La politica sulla privacy di Dropbox afferma chiaramente che i tuoi dati rimarranno sempre tuoi. Tuttavia, la politica autorizza fermamente a "scansionare" tutti i tuoi dati al fine di fornire meglio i suoi servizi:

"Quando usi i nostri Servizi, ci fornisci cose come i tuoi file, contenuti, messaggi, contatti e così via (" Il tuo materiale "). La tua roba è tua. I presenti Termini non ci conferiscono alcun diritto per le tue cose, ad eccezione dei diritti limitati che ci consentono di offrire i Servizi.

Abbiamo bisogno del tuo permesso per fare cose come l'hosting delle tue cose, il backup e la condivisione quando ci chiedi. I nostri servizi offrono anche funzionalità come miniature di foto, anteprime di documenti, commenti, ordinamento semplice, modifica, condivisione e ricerca. Queste e altre funzionalità potrebbero richiedere ai nostri sistemi di accedere, archiviare e scansionare le tue cose. "

Come se ciò non bastasse, la registrazione a Dropbox significa anche che i tuoi dati potrebbero essere condivisi con terze parti:

"Ci dai il permesso di fare queste cose e questo permesso si estende ai nostri affiliati e terze parti fidate con cui collaboriamo."

Essere un'azienda americana significa anche che a Dropbox potrebbe essere garantito un mandato e un ordine di bavaglio. In tali circostanze, il governo degli Stati Uniti potrebbe avere accesso ai dati di chiunque, a tempo indeterminato. A causa dell'ordine del bavaglio, gli utenti non avrebbero mai saputo che le agenzie di intelligence statunitensi stavano effettuando una sorveglianza sui contenuti degli account delle persone.

Dropbox chiarisce che sarà conforme alle richieste legali e avverte gli utenti che non dovrebbero usare i loro account per condividere contenuti protetti da copyright:

"Sei responsabile della tua condotta. Le tue cose e devi rispettare la nostra politica di utilizzo accettabile. Il contenuto dei Servizi potrebbe essere protetto da diritti di proprietà intellettuale di terzi. Non copiare, caricare, scaricare o condividere contenuti a meno che tu non abbia il diritto di farlo. "

La politica chiarisce che la privacy non è garantita utilizzando il servizio. I tuoi contenuti verranno sottoposti a scansione e potrebbero essere utilizzati per perseguire gli atti giudiziari in caso di violazione di qualsiasi legge, inclusa la pirateria del copyright.

Best practice per l'utilizzo del cloud storage

Come puoi vedere da questo articolo, ci sono molte domande sulla privacy dei dati fornita dai servizi di cloud storage più diffusi. Nessuna crittografia end-to-end significa che devi fidarti del provider per archiviare i tuoi dati e proteggerli. E, a causa della loro base negli Stati Uniti, c'è sempre la possibilità che il governo possa infiltrarsi nei dati in quei conti usando un ordine di bavaglio.

Se i servizi di archiviazione cloud sopra indicati sono una soluzione accettabile per te dipende in gran parte dalle circostanze personali. Se consenti a Google, Apple, Microsoft o Dropbox di archiviare i tuoi documenti crittografati per tuo conto, ti sembra abbastanza sicuro per te, quindi, sicuramente, usa questi servizi. Tuttavia, se apprezzi davvero la privacy, sarà sempre meglio cercare alternative open source con crittografia end-to-end.

Se decidi di utilizzare uno dei servizi sopra indicati, esistono alcune best practice che consigliamo:

  • Scegli una password forte e unica. Ciascuno dei tuoi account richiede una password unica e sicura per mantenerlo veramente sicuro. In caso contrario, i dati potrebbero essere esposti a causa di un attacco di phishing.
  • Utilizzare l'autorizzazione a due fattori. La tua password è la chiave di tutti i tuoi documenti, il che significa che chiunque la crei - o indovina la password - sarà immediatamente in grado di accedere ai tuoi file. 2FA offre un ulteriore livello di protezione che impedisce agli hacker di accedere ai tuoi file.
  • Per impostazione predefinita, i file creati in Google Drive, OneDrive, iCloud e Dropbox sono impostati su privati. Tuttavia, se si decide di condividere l'accesso a un file o una cartella con qualcuno utilizzando un collegamento, è possibile che questa terza parte possa condividere quel file o cartella con qualcun altro. Per questo motivo, è importante considerare sempre con chi si condivide l'accesso ai propri dati, come e perché.
  • Utilizzare software di terze parti per crittografare i dati prima di caricarli su un servizio cloud online. Crittografare i dati prima che vengano caricati su un servizio significa che solo tu hai la chiave dei dati. Tuttavia, si tratta di un approccio lungimirante considerando che sul mercato sono disponibili provider open source con crittografia end-to-end.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me