Hur säkra är Dropbox, OneDrive, Google Drive och iCloud?

Idag har vi alla enorma mängder textdokument, låtar, foton, videor och annan personlig information som vi vill skydda. Att lagra våra data lokalt kan vara riskabelt eftersom en hårddisk kan bli skadad och en mobil enhet kan gå förlorad, stulen eller trasig.

Rapporter har till och med dykt upp på människor som tappat hela sin fotosamling när de uppdaterar sitt Windows-operativsystem, mycket till deras förtvivlan. Att lagra data online är ett utmärkt sätt att skydda mot denna typ av förlust, men är molnlagringssäker?

När det gäller säkerhetskopiering av data online finns det flera viktiga tjänster som människor brukar använda. Dessa varelser; Google Drive, Dropbox, OneDrive och iCloud. I den här artikeln kommer vi att titta på dessa populära lagringstjänster och granska hur säkra dessa molnlagringstjänster faktiskt är.

Är Google Drive säkert?

Google Drive är ett enkelt och effektivt sätt att säkerhetskopiera data till molnet, och eftersom det är tillgängligt gratis (upp till 5 GB lagringsutrymme) med ett Gmail-konto är det extremt populärt.

För personer som säkerhetskopierar känsliga dokument kan det emellertid inträffa oro över hur säker Google Drive verkligen är. När allt kommer omkring har bevis tidigare dykt upp på att Google arbetar hand i hand med NSA om sitt PRISM-övervakningsprogram. Så vilken typ av säkerhet ger Google Drive egentligen? Om du funderar på Google Drive som ett alternativ, se vår Google Drive-granskning.

I transit

Den första möjliga säkerhetsrisken för dina data är under överföring. När du laddar upp dina data till Googles centrala servrar måste de resa dit via internet vilket innebär att de kan fångas upp under transporten.

För att mildra detta krypterar Google dina data med TLS innan du laddar upp dina data. Detta är samma krypteringsstandard som används för att säkra webbläsaranslutningar till HTTPS-webbplatser. En snabbkontroll med det oberoende krypteringsrevisionsverktyget Qualys SSL Labs avslöjar att Googles TLS-anslutningar är klassade A + (vilket är lika bra som det blir).

Google krypterar också dina uppgifter när de transporteras i sitt interna nätverk. Detta betyder att dina data alltid är krypterade när de flyttas från en Google-server till en annan och under synkronisering med dina olika enheter.

I vila

När dina data anländer till Google krypteras de för att hålla dem säkra inom sina molnservrar. Google använder 128-bitars AES-kryptering för all data som är i vila. Även om detta inte är lika starkt som 256-bitars kryptering; det anses fortfarande framtida bevis för tiden.

För ökad säkerhet krypterar Google AES-krypteringsnycklarna som används för att kryptera dina data med en roterande uppsättning huvudnycklar. Detta lägger till ett extra lager av säkerhet till data som lagras på Googles servrar.

Google krypterar alla dina filer "i farten" för att säkerställa att dina data alltid lagras säkert och att bara den fil du faktiskt vill ha åtkomst är dekrypterad. Google har dock nyckeln till dina filer för dina räkning, vilket innebär att företaget kan gå in i dina filer om det vill.

Integritetspolicy

Googles servicevillkor anger det "du behåller äganderätten till alla immateriella rättigheter som du innehar i det innehållet. Kort sagt, det som tillhör dig förblir ditt." Företaget säger dock att det har rätt att använda ditt privata innehåll för att förbättra sina tjänster.

Detta innebär att företaget kan skanna dina dokument för information och nyckelord för att bättre kunna visa dig annonser (över dess andra tjänster) - eller på annat sätt förbättra sina tjänster och utveckla nya. Eftersom Google ber om godkännande för att få åtkomst till allt du laddar upp kan det inte kräva HIPAA-efterlevnad.

Google förbehåller sig också rätten att överlämna dina uppgifter till myndigheterna om det ges en garanti. Detta innebär att den amerikanska regeringen kan komma in i alla dina filer och att du aldrig skulle veta det (på grund av gag-order). Inget av detta är idealiskt och är det främsta skälet till att någon molnlagringstjänst som inte tillhandahåller kryptering från en till ände kan aldrig betraktas som riktigt säker.

Är OneDrive säkert?

OneDrive är en populär molnlagringstjänst som tillhandahålls av Microsoft. Liksom Google Drive ger det användare 5 GB gratis lagring så snart de registrerar sig för ett Microsoft-konto. Om du är OneDrive-användare undrar du kanske hur säker din data är. Så låt oss ta en titt ...

Under transitering

Data som överförs till Microsofts molnlagring i OneDrive krypteras med TLS-kryptering med 2048-bitars nycklar. Detta är robust kryptering som säkerställer att dina data skyddas från hackare och spårning under transport.

För att hålla dina data säkra när de går från en server till en annan (Microsoft lagrar dina data på flera platser för att skydda dem mot katastrofer) krypterar företaget också dina uppgifter innan de flyttar internt. Microsoft säger att även om "data redan har överförts genom att använda ett privat nätverk, är de ytterligare skyddade med den bästa klassen kryptering."

I vila

Medan Microsoft definitivt tillhandahåller information om kryptering i vila för att betala "affärs" -användare av OneDrive. Att försöka hitta bevis på kryptering i vila för gratis OneDrive-användare är svårare.

Företagsanvändare får höra att BitLocker krypterar all data de lagrar på Microsofts servrar. Per-filkryptering ger kryptering on-the-fly för varje enskild fil som du laddar upp. Enligt Microsoft använder den AES 256-kryptering som är Federal Information Processing Standard (FIPS) 140-2-kompatibel. Detta är stark kryptering.

Trots förvirringen kring skillnaden mellan affärs- och personliga konton kan vi bara anta att Microsoft verkligen tillhandahåller kryptering i vila för alla OneDrive-användare. Den här artikeln antyder verkligen att det är sant:

”Varje fil är krypterad i vila med en unik AES256-nyckel. Dessa unika nycklar är krypterade med en uppsättning huvudnycklar som lagras i Azure Key Vault. ”

Detta uttalande innebär att alla OneDrive-användare får kryptering av vila och att denna kryptering är on-the-fly. (Trots att det vore trevligt om Microsoft gjorde skillnaden mellan affärs- och personliga konton helt tydlig).

Det är dock värt att komma ihåg att OneDrive är en helt egen skyddstjänst för molnlagring. Det är en sluten källa, vilket innebär att det är omöjligt att verifiera hur säker dina uppgifter är. Eftersom företaget dessutom krypterar dina uppgifter för dina räkning - och det har krypteringsnycklarna på sina servrar - har det möjlighet att få åtkomst till dina uppgifter om det vill och kan skanna dina dokument som det vill.

Integritetspolicy

Liksom med Googles tjänster omfattas Microsofts OneDrive av en allmän sekretesspolicy för alla Microsofts produkter och tjänster. I denna policy anges att Microsoft har rätt att få tillgång till dina data för att bättre kunna tillhandahålla sina tjänster. Det tillåter också företaget att få åtkomst till dina uppgifter i syfte att spåra och visa annonser.

Microsofts policy påminner också användare om att de kommer att följa statliga teckningsoptioner om de uppmanas att:

"Slutligen kommer vi att komma åt, avslöja och bevara personuppgifter, inklusive ditt innehåll (som innehållet i dina e-postmeddelanden, annan privat kommunikation eller filer i privata mappar), när vi har en god tro på att det är nödvändigt för att: 1 .se med tillämplig lag eller svara på giltig juridisk process, inklusive från brottsbekämpning eller andra myndigheter. ”

Vilket innebär att dina data kan komma åt av myndigheterna när som helst, och eftersom USA verkställer gag-order - du skulle aldrig bli meddelad om detta intrång i dina data.

Såsom alltid är fallet är det viktigt att välja en tjänst som tillhandahåller verklig end-to-end-kryptering (och det är öppen källkod), som alltid är fallet..

Är iCloud säkert?

iCloud är Apples molnlagringstjänst. Eftersom det är Apples hemlagade tjänst som bakas i sina produkter, är det en extremt populär tjänst bland Apple-användare. Det antas ofta vara bra för integritet och säkrare än några av dess konkurrenter.

Men liksom de andra populära tjänsterna i denna artikel är iCloud sluten källa. Detta innebär att dess källkod inte är tillgänglig för att granskas av säkerhetspersonal. Så du måste bara lita på Apple för att ge den säkerhetsnivå som den hävdar.

Apple avslöjades tidigare (av Edward Snowden) för att ha arbetat hand i hand med NSA för att snopa på sina användare. Så kan du lita på det? Och är Apples iCloud verkligen säkrare än konkurrenterna?

I transit

2014 fick Apple mycket dålig press efter en rad attacker på iCloud-användare. Enligt dessa rapporter var anslutningar till iCloud-servrar känsliga för en man i mittenattacken. Apple förnekade detta och hävdade att offren faktiskt hade fått phishing. Trots detta har företaget gjort förbättringar av säkerheten i sin iCloud-tjänst.

Apple säger att all kommunikation med iCloud-servrar är skyddad med TLS 1.2-kryptering med Forward Secrecy. Vi kontrollerade iClouds TLS-säkerhet med Qualys SSL Labs och var glada över att upptäcka att tjänsten får en A +. Säkerheten för data under transport bör alltså vara bra.

För ytterligare säkerhet, när du öppnar iCloud-tjänster med ursprungliga Apple-appar som Mail, Kalender eller Kontakter, hanteras autentisering med ett säkert token. Säkra tokens eliminerar behovet av att lagra ditt iCloud-lösenord på din enhet eller dator. Till skillnad från ett lösenord (som kan användas för att logga in från en annan enhet) det token kan inte stulas eftersom det är kryptografiskt bundet till din enhet (och utan enheten är det värdelöst).

Vi kunde inte heller kontrollera vilken typ av skydd Apple använder för att skicka data runt sina privata nätverk. Man kan anta att företaget använder kryptering för att skicka data mellan molnservrar, men information om säkerhetsnivå är inte fritt tillgängligt.

I vila

Apple uppger att all data lagras på sina servrar med hjälp av AES 128-kryptering. Detta är inte lika säkert som AES 256-krypteringen som tillhandahålls av många molnlagringstjänster men anses fortfarande vara framtida bevis för närvarande

End-to-end-kryptering är tillgänglig för vissa data som kommuniceras till Apples servrar (Apple använder en-till-än-kryptering för iMessages och FaceTime, och för hemdata, hälsodata, iCloud-nyckelring, betalningsinformation, Quicktype-tangentbordets inlärda ordförråd, skärmtid, Siri-information och Wi-Fi-nätverksinformation).

Det är dock inte tillgängligt för enskilda filer som överförs till iCloud. Detta innebär att Apple behåller kontrollen över krypteringsnycklarna för de filer den krypterar för dina räkning på sin molnlagring. Detta är långt ifrån idealiskt eftersom det betyder att nycklarna till dina data kan nås av Apple-personal, läckt online eller kanske till och med hackas från sina servrar av cyberbrottslingar.

Integritetspolicy

Apples sekretesspolicy gör det klart att användardata för iCloud kan komma åt under vissa omständigheter:

”Vi använder också personlig information för att hjälpa oss skapa, utveckla, driva, leverera och förbättra våra produkter, tjänster, innehåll och reklam, och för att förhindra förluster och bedrägeribekämpning. Vi kan också använda din personliga information för bokföring och nätverkssäkerhetsändamål, inklusive för att skydda våra tjänster till förmån för alla våra användare, och förhandsgranska eller skanna uppladdat innehåll för potentiellt olagligt innehåll, inklusive sexuellt utnyttjande av barn.

Som du ser tillåter policyn Apple att skanna dina dokument för att se till att de inte är olagliga. Det är oklart om Apple använder sin förmåga att skanna dokument för andra syften, men det ger sig också tillåtelse att använda människors data för att utveckla nya tjänster. Så det verkar troligt att det utför en viss nivå av företagsspionage. Eftersom Apple är en stängd källa är det naturligtvis omöjligt att kontrollera exakt vilken typ av snooping som kan inträffa.

Såsom är fallet med Google och Microsoft, säger Apples policy också att den kommer att följa lagliga begäranden om data. Detta betyder att det är möjligt att företaget kan få en gagorder och din iCloud-data kan nås utan din vetskap:

”Det kan vara nödvändigt - enligt lag, juridisk process, rättstvister och / eller begäranden från offentliga och statliga myndigheter i eller utanför ditt hemland - för att Apple ska avslöja din personliga information. Vi kan också lämna ut information om dig om vi fastställer att med hänsyn till nationell säkerhet, brottsbekämpning eller andra frågor av allmän betydelse är information nödvändig eller lämplig. "

Så, hur ofta går Apple faktiskt in på människors konton? Under första halvåret 2015 medgav Apple att de fick 4 472 förfrågningar från polismyndigheter runt om i världen. Apple uppger att de avslöjade information till polisen för 1 886 av dessa begäranden (varav 1 407 tillhandahölls till USA: s brottsbekämpning).

Slutligen är det också värt att notera att Notes lagrade på iCloud aldrig är krypterade, någonsin.

Är Dropbox säkert?

Dropbox är en molnlagringstjänst baserad i San Francisco, Kalifornien. Det är den enda molnlagringstjänsten på den här listan som inte tillhör en teknisk jätte, istället har den ökat till popularitet på grund av sin tjänst ensam.

Trots detta är det svårt att anse Dropbox säkrare än de andra populära konkurrenterna i denna artikel. Faktum är att tjänsten har direkt kritiserats av Edward Snowden, som har varit väldigt stämd om bristen på integritet som användare får på plattformen.

Dropbox är delvis GPLv2-licens och delvis stängd källa. Detta innebär att det är omöjligt att självständigt verifiera all källkod för tjänsten. Detta är tillräckligt för att avskaffa vissa människor från tjänsten eftersom det finns fullt öppna källagringstjänster på marknaden.

I transit

Som är fallet med de andra tjänster som nämns i denna lista använder Dropbox säkra TLS för att skydda all information som skickas från konsumenter till företagsservrar. Dropbox anger att dess TLS-anslutningar skapar en tunnel som är skyddad med AES 128-kryptering.

Vi kontrollerade Dropbox-tjänster med Qualys SSL Labs för att se om de klarar den oberoende revisorns tester. Qualys betygsatte TLS-anslutningen med en A + vilket innebär att dessa anslutningar kan lita på för att skydda användardata medan den är i transit.

Dropbox tillhandahåller emellertid inte en-till-än-kryptering, vilket innebär att data fortfarande är mottagliga för möjligheten att avlyssnas.

I vila

Dropbox lagrar all data på sina servrar med stark AES 256-kryptering. Det är emellertid omöjligt att berätta från sina egna publikationer om den krypteringen tillhandahålls on-the-fly för varje fil som nås.

Som är fallet med de andra tjänsterna i den här artikeln, tillhandahåller Dropbox inte en-till-än-kryptering. I stället har den krypteringsnycklarna för allas data och behåller full kontroll över kryptering och dekryptering av data på användarens vägnar. Detta är en risk när det gäller säkerhet och integritet eftersom det innebär att företaget kan komma åt användardata närhelst det vill.

Dessutom är det möjligt att användardata kan exponeras om det finns en intern läcka eller om hackare lyckas stjäla användarens krypteringsnycklar från företagets servrar.

Det är också värt att notera att tjänsten tidigare har haft problem med sina autentiseringsmekanismer, vilket resulterade i att vem som helst kunde komma åt allas Dropbox-filer i ungefär fyra timmar - utan behov av ett kontos lösenord. Dessutom upptäckte säkerhetsforskare tidigare ett fel i Dropbox iOS-appen som lagrade användarinloggningsinformation i ren text.

Men det har sedan fixat dessa problem och har lagt till säkerhetsåtgärder för att låta konsumenterna skydda sina konton. Dessa inkluderar dubbelfaktorautentisering, en sida för att kontrollera aktiva inloggningar på kontot, automatiserade system som kontrollerar för ovanlig aktivitet och tvingade lösenordsuppdateringar för konton som tros fungera misstänkt.

Trots dessa förbättringar kommer alla som vill använda Dropbox på ett helt säkert sätt att behöva använda tredjepartsprogramvara för att kryptera sina data innan de laddas upp till Dropbox.

Integritetspolicy

Dropbox-sekretesspolicyn anger tydligt att dina data alltid kommer att vara din. Policyn ger emellertid företaget tillstånd att "skanna" all din data för att bättre tillhandahålla sina tjänster:

"När du använder våra tjänster tillhandahåller du oss saker som dina filer, innehåll, meddelanden, kontakter och så vidare (" Your Stuff "). Dina saker är ditt. Dessa villkor ger oss inga rättigheter till dina saker utom för de begränsade rättigheterna som gör att vi kan erbjuda tjänsterna.

Vi behöver din tillåtelse att göra saker som att vara värd för dina saker, säkerhetskopiera det och dela det när du ber oss om det. Våra tjänster ger dig också funktioner som miniatyrbilder, förhandsvisning av dokument, kommentering, enkel sortering, redigering, delning och sökning. Dessa och andra funktioner kan kräva att våra system ska få åtkomst till, lagra och skanna dina saker. ”

Som om det inte räckte betyder det att registrera dig till Dropbox också att dina data kan delas med tredje parter:

"Du ger oss tillåtelse att göra dessa saker, och detta tillstånd sträcker sig till våra dotterbolag och betrodda tredje parter vi arbetar med."

Att vara ett amerikanskt företag innebär också att Dropbox skulle kunna betjänas som en order och gag order. Under sådana omständigheter kan den amerikanska regeringen få tillgång till någons uppgifter på obestämd tid. På grund av gagorder skulle användarna aldrig veta att amerikanska underrättelsebyråer övervakade innehållet i människors konton.

Dropbox gör det klart att det kommer att uppfylla lagliga förfrågningar och varnar användare att de inte ska använda sina konton för att dela upphovsrättsskyddat innehåll:

"Du är ansvarig för ditt uppförande. Dina saker och du måste följa vår policy för acceptabel användning. Innehåll i tjänsterna kan skyddas av andras immateriella rättigheter. Vänligen kopiera, ladda upp, ladda ner eller dela innehåll såvida du inte har rätt att göra det. "

Policyn gör det tydligt att integriteten inte garanteras genom att använda tjänsten. Ditt innehåll kommer att skannas och kan användas för att åtala dig om du befinns skyldig i brott mot lagar inklusive piratkopiering av upphovsrätt.

Bästa praxis för användning av molnlagring

Som du kan se från den här artikeln finns det många frågor kring datapersonalen från populära molnlagringstjänster. Ingen ände-till-än-kryptering innebär att du måste lita på leverantören att lagra dina data och skydda dem. Och på grund av deras bas i USA finns det alltid möjligheten att regeringen kan infiltrera uppgifterna i dessa konton med hjälp av en gagorder.

Huruvida molnlagringstjänsterna ovan är en acceptabel lösning för dig beror till stor del på dina personliga omständigheter. Om du låter Google, Apple, Microsoft eller Dropbox lagra dina dokument som är krypterade på dina vägnar verkar tillräckligt säkra för dig, använder du på alla sätt dessa tjänster. Men om du verkligen värdesätter integritet kommer det alltid att bli bättre att söka efter öppna källkodsalternativ med en-till-än-kryptering.

Om du väljer att använda en av tjänsterna ovan finns det vissa bästa metoder som vi rekommenderar:

  • Välj ett starkt, unikt lösenord. Varje av dina konton kräver ett starkt unikt lösenord för att hålla det säkert. Underlåtenhet att göra det kan innebära att dina data exponeras på grund av en phishing-attack.
  • Använd godkännande med två faktorer. Ditt lösenord är nyckeln till alla dina dokument, vilket innebär att alla som spricker det - eller gissar lösenordet - omedelbart kan få tillgång till dina filer. 2FA ger dig ett extra lager skydd som hindrar hackare att få tillgång till dina filer.
  • Som standard är filerna du skapar i Google Drive, OneDrive, iCloud och Dropbox inställda på privata. Men om du bestämmer dig för att dela åtkomst till en fil eller mapp med någon med en länk, är det möjligt att denna tredje part kan dela den filen eller mappen med någon annan. Av detta skäl är det viktigt att alltid överväga vem du delar tillgång till dina data med, hur och varför.
  • Använd tredjepartsprogramvara för att kryptera dina data innan du laddar upp dem till en online molntjänst. Kryptering av data innan den laddas upp till en tjänst innebär att bara du har nyckeln till informationen. Detta är emellertid ett långvarigt tillvägagångssätt med tanke på att det finns öppna källkodsleverantörer med end-to-end-kryptering tillgängliga på marknaden.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me