Чему вы склонны доверять?

Question

[philipto]

Вопрос — по мотивам дискуссии в этом посте. Оформлен не в виде опроса потому, что формат опроса на Хабре не позволяет задавать вопрос развернуто.

Представьте, что вы — руководитель компании, основной профиль которой — не IT. Вам предлагают делать резервное копирование важных данных вашей компании в дата-центр некоей компании. Изначально вы опасаетесь, что эта услуга небезопасна, так как данные могут попасть в чужие руки, а вы этого не хотите. К какому предложению вы скорее прислушаетесь? Согласитесь ли на него?

Важное замечание: этот вопрос — в вашей компетенции, делегировать его некому (мелкая компания — вы сами все решаете, крупная — считайте, что вы — руководитель не всей компании, а только IT-отдела).

1) хранение данных в дата-центре совершенно безопасно, потому что мы предоставляем программу, которая на стороне клиента шифрует все данные паролем, который знает только клиент

2) хранение данных в дата-центре совершенно безопасно, потому что данные еще до передачи в дата-центр шифруются алгоритмом AES-256

3) хранение данных в дата-центре совершенно безопасно, потому что данные многократно шифруются, пароль знает только клиент

4) хранение данных в дата-центре совершенно безопасно, потому что в нашем дата-центре инцидентов не бывает, все надежно, как в швейцарском банке

5) хранение данных в дата-центре совершенно безопасно, потому что ваши данные шифруются тем же способом, что правительство США шифрует документы с грифом „особо секретно“

6) хранение данных в дата-центре совершенно безопасно! Среди наших клиентов — Газпром, Сбербанк и РЖД.

7) хранение данных в дата-центре совершенно безопасно, к тому же у нас самые низкие цены на рынке.

8) хранение данных в дата-центре совершенно безопасно, просто верьте нам. Мы — честные!

Answer 1

[fossdev]

Еще такой момент. Многие будут хранить у вас незаконную информацию. А гарантировать защиту от правоохранительных органов ни одна компания не может, т.к. обязана оказать сотрудничество органам в любом нужном объеме. Если данные шифруются, это будет ВАША проблема как их расшифровать и отдать органам на устраивающем их виде.

Comments

[philipto]

Если правоохранительные органы пришли в дата-центр изымать некую информацию, обязанность дата-центра — эту информацию им отдать. Что именно клиент хранит — шифрованные резервные копии, картинки в .jpg или музыку — дата-центру все равно. Никакой оперативник не может обязать дата-центр расшифровать те файлы, которые там лежат. Попросить помочь — да. А требовать расшифровать? И данные отдавать приходится не в «устраивающем виде» а просто «данные». Иногда даже в виде HDD.

Кроме того, почему вы решили, что речь идет о дата-центре в России? Допустим, он в Ирландии.

[fossdev]

Изъятие серверов тоже возможно, но скорее вы «добровольно» выдадите данные одного клиента чтобы спасти свой бизнес. Пример — hushmail, там утверждали что все клиентские данные зашифрованы и им самим недоступны, а как дошло до наезда органов — нашли способ сдать им конкретного клиента на блюдечке.
Пруфлинк.

[fossdev]

К слову, иностранное расположение сервиса вовсе не выводит вас из под действия законов России, к ним еще добавляются законы страны расположения сервера и стран с органами которых эта страна сотрудничает.
Поинтересуйтесь как работают VPN сервисы заточенные на защиту в первую очередь от правоохранительных органов. Там и речи не идет ни о какой компании и договорах, владельцы сервиса как правило анонимны, аккаунты в платежных системах регают на дропов, сервера расходный метериал, т.к. регулярно закрываются по абузам и время от времени арестовываются ментами. Защищать данные требуется прежде всего от закона, а защищать от закона можно лишь самому становясь вне закона.

[philipto]

Согласен. И еще полностью согласен с выводом автора статьи по Вашей ссылке: «Храните свои секретные ключи у себя и никогда не доверяйте их расшифровку никому и ничему, кроме ПО с открытыми исходниками». Допустим, дата-центр хочет отдать расшифровку данных органам. Но как дата-центр это сделает, если ключ хранится только у клиента? Брутфорсить будет?

Факт хранения ключа только у клиента можно проверить, взяв открытые исходники того ПО, которое копирует. Оно — не собственность дата-центра, его можно скачать с sourceforge.

[philipto]

fossdev: я как раз полностью согласен с тем, что закон соблюдать надо. И более того, услуга пресловутого резервного копирования во всем мире (и в России) предлагается обычному бизнесу, а не криминальному (что не мешает ей пользоваться всем, разумеется).

Но как по закону можно требовать у дата-центра расшифровать данные? Возьмем гипотетическую ситуацию: дата-центр в Ирландии, и есть юр. лицо в России, которое перепродает услуги дата-центра. Берет себе комиссию. Переводит деньги в дата-центр. Дата-центр — иностранная компания, вообще никак не связанная с Россией. Никак, серьезно. Не офшор, а обычный честный иностранный дата-центр. Amazon, например.

Клиент запускает программу, и посылает данные в дата-центр. По протоколу TCP/IP. Непосредственно на сервер дата-центра. Они никак не проходят через посредника в России. Какие могут быть претензии к посреднику? У него нет ни лицензии, чтобы пригрозить ее отзывом, ни доступа к данным. Посредник — он просто агент. Ни доступ, ни лицензия ему не положены.

Теперь гипотетические оперативники пишут запрос в Интерпол или напрямую в Ирландию. Там (допустим) местные полицейские приходят в дата-центр и им выдают флэшку со всеми данными из определенного каталога/bucket'a с сервера. Данные шифрованные. Ключ у компании в России, которую (компанию) преследуют по закону. Объясните, пожалуйста, как ирландские полицейские (или российские) будут без этого ключа что-то расшифровывать. Теоретически, они могут закрыть и дата-центр, и посредника в России. Но зачем? Им же ключ нужен. Значит, будут вынимать ключ из тех, за кем охотятся — а тут им и закон в помощь.

Как и в случае с hushmail, дата-центр может взяться им помочь и выполнить некие технические мероприятия по изъятию ключа. Но для этого ему придется хакнуть компьютер. где установлено открытое ПО без всяких закладок. Не уверен, что в Ирландии есть закон, по которому в содействие полиции должно входить написание вирусного ПО. Но — возможно.

Я где-то нелогичен?

[fossdev]

Требовать будут не у ДЦ, требовать будут у вас. Гипотетические оперативники идут не в интерпол, а к вам, потому что вы ближе. И вы им все объясняете и доказываете что не верблюд. Если на сайте упоминались услуги шифрования то должна быть лицензия. Формально ваше юр. лицо будет ресселером иностранной компании, а как фактически? В органах не одни дураки работают, там секут фишку что да как, и если будет указка закрыть вашего клиента, вас могут пустить за соучастие. Не как юр. лицо, а конкретных людей которые могли но не помогли органам.

[fossdev]

Лучший вариант для вас: не писать ни про какую защиту и дружить со всеми органами. Защита пусть будет на усмотрение клиента, тогда это его проблемы. Ваше дело малое — предоставлять место для бекапа и доступ по стандартным протоколам.

[philipto]

на сайте надо тоже правду говорить. Не «мы шифруем», а «программа шифрует». Программа скачивается с sourceforge, стоит у клиента. Лицензия на шифрование тут вроде ни при чем, так? Т.е. у клиента ее могут попросить (теоретически, но они же для себя шифруют, а не на продажу), также, как и ключ.

Фактически будет ровно так, как и формально. Считать людей из управления К дураками было безрассудно и пять лет назад, а сейчас и подавно. Пустить за соучастие в такой ситуации могут все равно — если будет такое указание. Но от указания не спрячешься — если будет, так все равно посадят.

Протоколы там, ясное дело, стандартные. А вообще за советы и критику спасибо. Держит в тонусе. Жаль, горячих откликов мало. Интересно, за что минусуют. Мне же просто тема доверия интересна. Впрочем, им тоже спасибо — стимулируют осторожность в формулировках и темах будущих вопросов.

Answer 2

[atreen]

3 и 6 как руководитель «менеджер»;
2 как руководитель «сисадмин».
Просто руководители тоже по разному получаются :)

Answer 3

[kaladhara]

К какому предложению вы скорее прислушаетесь?

Если отталкиваться только от заверений сервис-провайдера — то ни к одному.

Если же есть возможность достоверно определить правдивость п.п. 2 и 3 — то еще подумаю, хотя я лично выбрал бы провайдера который даст исходники клиентской части с тем чтобы можно было встроить своё шифрование.

Comments

[kaladhara]

опечаточка: 2->1

[philipto]

особое спасибо за комментарий. Исходники — открыты под LGPL.

[fossdev]

Правильное решение — доступ через стандартные протоколы и шифрование стандартными опенсорсными средствами на стороне клиента. И никакого вашего софта (который может сливать ключи или сами данные, а если не может — может в один прекрасный момент научиться).
Общая мысль такова: безопасность отдельно, хранение данных отдельно, совместные решения рассматриваются как заведомо небезопасные, будь они даже с открытыми исходниками.

Answer 4

[Павел Зайцев]

2 и 3. Обычно, шифрование на стороне клиента гарантирует хоть какой-то контроль за данными, и дает ему ощущение большей надежности что ли.

Comments

[fossdev]

Тогда нужно доказать что:
1 — шифрование на стороне клиента действительно есть (софт должен быть опенсорс)
2 — что оно правильно реализовано и не содержит уязвимостей (доказывается длительным независимым code review опенсорс сообществом)
3 — что владелец сервиса не может в один прекрасный день его отключить или сломать (значит никакого автообновления, каждая новая версия софта должна заново проходить code review)

Answer 5

[fossdev]

1 — не доверяю, т.к. вся безопасность зависит от доброй воли одной компании.
2, 3 — не доверяю, недостаточно информации чтобы сделать выводы.
4 — детский лепет. швейцарским банкам тоже не доверяю, сдулись они и давно уже не надежны.
5 — детский лепет, похоже на разводку.
6 — серьезный аргумент если есть пруфлинк, дает +5
7 — низкие цены это +1 в вашу пользу, если дешево то шифрование я на стороне закажу на сэкономленные средства
8 — действительно честные? согласны на договор с полным покрытием убытков и штрафами в миллион за каждый инцидент?

Comments

[philipto]

вариант 5 проверял совет одного из комментаторов в оригинальном посте.
вариант 8 — это прикол. Мы — действительно честные, и поэтому я никогда бы не стал всерьез предлагать такой аргумент незнакомому человеку. А согласие на упомянутый договор — признак не честных, а безрассудных, беспечных или беспредельщиков.

[Doktor_Gradus]

Вариант 5 это вариант 2, только рассказанный «на пальцах».

Answer 6

[make_luv]

Вот тоже предлагал некоей конторе такое решение. В итоге выбрали внешний винт. Как, мол, свою чорную одинэсовщину кому-то на сторону передадим. Припугнул пожаром и забил, их проблемы, наше дело предупредить.

Comments

[fossdev]

В целом они правы. Если в конторе нет человека который разбирается в шифровании — самое лучшее купить внешний винт, а не надеяться на честность сторонней компании.

[make_luv]

Cobian backup сам жмет. сам шифрует и сам заливает по фтп.

[fossdev]

Cobian backup это в новых версиях closed source и корректность реализации шифрования никем не проверена. Я в свое время искал устраивающее меня решение для бекапа под win, так и не нашел, остановился на 7zip + gpg в сочетании с самописным батником. Неудобно, но не вызывает сомнений в безопасности.

Answer 7

[S_A]

На что бы я купился, так это на крупные финансовые гарантии в случае утери или раскрытия моих данных, возможно даже что-то по типу страховки. Ну и на доказательство того, что всё шифруется у клиента — то есть какую-то независимую авторитетную экспертизу. И пункт про отсутствие инцидентов мне нравится — собственно это ли не причина использования внешних хранилищ. Да, ГазПром, РЖД — это здорово, тоже способствует.

Когда я писал когда-то коммерческие предложения, я начинал вообще-то с выгод для клиента, потом с описания продукта, только потом переходил к затратам, которые уже могли выглядеть ничтожно по сравнению с пунктами 1 и 2 :) Я к тому, что думаю что дело не только в одном доверии.

Answer 8

[Михаил]

Вы забыли об очень важных пунктах:
10) хранение данных в дата-центре совершенно безопасно, к тому же мы Вам каждый месяц отстегнем n процентов
11) хранение данных в дата-центре совершенно безопасно я уже переговорил с владельцем бизнеса, а Вам только надо подписать контракт.