Обеспечение конфиденциальности в современных облачных веб-сервисах для работы с заметками
Данилов М.С., руководитель Пескова О.Ю.
ИТА ЮФУ, ИКТИБ, кафедра БИТ г. Таганрог
700ghz@gmail.com
В работе рассмотрены особенности функционирования наиболее популярных веб-сервисов для работы с заметками. Основное внимание уделено Проанализированы механизмы обеспечения конфиденциальности, целостности, доступности обрабатываемой личной информации пользователей. Рассмотрены юридические особенности предоставления услуг подобных веб-сервисов.
Ключевые слова: Конфиденциальность, целостность, доступность, сервисы работы с заметками
В наше время все более популярными становятся различные сервисы работы с заметками, которые, с одной стороны, имеют богатый функционал для работы с информацией различных типов, а с другой стороны дают возможности для синхронизации данных и их использования на различных источниках. Для того, чтобы понимать, какие данные стоит хранить в подобных системах, а какие нет, необходимо разобраться в особенностях их организации
Прежде всего, рассмотрим продукт одного из наиболее именитых разработчиков Microsoft OneNote -- сервис для создания быстрых заметок и организации личной информации, блокнот с иерархической организацией записей, который может служить аналогом обычного канцелярского блокнота. Сервис является одним из самых популярных для работы с заметками. Данный сервис включает в себя:
клиентское ПО, которое поддерживается для Microsoft Windows и Mac OS X, а так же Windows Phone (7; 8; 8.1), Apple iOS, Symbian Belle (Nokia Belle) и Android;
тонкий клиент, работающий в большинстве браузеров, разработанный с использованием Active Server Pages для .NET;
серверная часть приложения.
Поскольку эта работа, в наибольшей степени, касается вопросов рассмотрения безопасности веб-сервисов, мы не будем останавливаться на удобстве интерфейса и методах работы с программой.
Первое, на что необходимо обратить внимание, так это используемая лицензия на программное обеспечение сервиса: проприетарное программное обеспечение. Это означает, что исходные коды сервиса недоступны для пользователей и нельзя подробно рассмотреть внутренние механизмы работы сервиса. Это приводит к тому, что единственным способом удостовериться, что сервис не нарушает прав неприкосновенности частной жизни, а так же тайны связи - довериться юридическим документам, предоставленным корпорации Microsoft.
На первых страницах заявлении о конфиденциальности Microsoft, располагающихся на официальном сайте, можно узнать, что корпорация собирает информацию о пользователях с целью повешения качества предоставляемых услуг. Такой информацией может являться:
имя и контактная информация;
учётные данные;
интересы и любимые занятия;
платёжные данные;
данные об использовании;
данные о местоположении;
контакты и отношения;
содержимое (содержимое ваших документов, фотографии, музыка или видео, загружаемые в службу Майкрософт).
Также Microsoft оповещает, что личные данные могут быть раскрыты по следующим причинам:
требование закона, судебного процесса;
защита жизни людей;
в целях защиты собственности Microsoft.
другое;
Можно даже не прилагать большого количества усилий, дизассемблируя исходный код клиентского приложения или изучения алгоритмов работы тонкого клиента, чтобы прийти к выводу, что сервис предоставляет низкий уровень конфиденциальности. Например, если не обладающий достаточной информацией в этой области работник Министерства обороны ВС РФ разместит свои размышления о приказе переразмещения атомных подводных лодок в сервисе OneNote от MS, то корпорация (или государство USA, которому оно принадлежит), может интерпретировать такую заметку, как угрожающую жизни людей и данные могут быть раскрыты. Нельзя также оставить без внимания, тот факт, что в продуктах от MS часто находят критические уязвимости. И даже, несмотря на то, что разработчики корпорации максимально быстро, буквально в течении суток, выпускают исправления (для получения которых, необходима сеть интернет), злоумышленники успевают эксплуатировать уязвимости на большом количестве ЭВМ.
При этом сервис все-таки поддерживает технологии, повышающие уровень безопасности:
использование защищённого HTTPS соединения, предотвращающее атаку посредника и прослушивание сетевого соединения;
двухэтапная аутентификация, требующая при авторизации не только пароль аккаунта, но и фрагмент данных, присылаемых на телефон пользователя;
Также реализован функционал для защиты выбранных заметок паролем, однако данный метод нельзя применить в браузерном приложении и некоторых версия десктопных клиентов. Нельзя установить пароль на запуск клиентского приложения.
Следующий сервис Evernote -- веб-сервис и набор программного обеспечения для создания и хранения заметок. Evernote поддерживает несколько компьютерных и мобильных платформ, включая OS X, iOS, Chrome OS, Android, Microsoft Windows, Windows Phone, BlackBerry и webOS, а также предлагает онлайн-синхронизацию и резервное копирование. Первый выпуск сервиса состоялся в 2008 году, а в 2014 набрал свыше 100 млн. пользователей.
Сервис включает в себя:
серверную часть;
тонкий клиент, работающий в большинстве браузеров, разработанный с использованием JS, без каких либо общественных фреймворков;
клиенты для персональных компьютеров и для портативных устройств.
Распространяется по лицензии freemium, модель которая заключается в бесплатном использовании ПО, которое может быть расширено, улучшено за оплату.
Разработчики реализовали достаточно много технологий, повышающих защищенность сервиса: данные между клиентом и сервером передаётся по защищённому протоколу HTTPS, который предотвращает перехват данных, а также атаку человек-по-середине. Также возможно использование двухэтапной аутентификации, используя которую, для входа в учётную запись, необходимо предъявить пароль и часть данных, передающихся по другому каналу пользователю. В качестве дополнительного канала передачи данных используются SMSсообщения. Кроме того, возможно шифровать отдельные заметки. Клиенты для Android и iOS позволяют установить пароль на запуск приложения.
Однако, исходный код сервиса недоступен для пользователя и является коммерческой тайной. Поэтому нам приходится довериться разработчикам и органам, сертифицирующим продукт, рассмотреть безопасность сервиса с юридической стороны.
Раздел сервиса Evernote, описывающий конфиденциальность данных пользователя, перечисляет следующие ситуации, при которых личная информацию пользователя может быть передана третьим лицам:
для расследования возможных нарушений наших Условий обслуживания, обеспечения соблюдения Условий обслуживания или для расследования, предотвращения или пресечения незаконной деятельности, мошенничества или возможной угрозы в отношении каких-либо лиц, собственности или систем, обеспечивающих работу Сервиса;
Мы делаем это в связи с продажей или реорганизацией всего нашего бизнеса или его части (в этом случае передача осуществляется лишь в той мере, в какой это разрешено применимым правом);
Evernote также может просматривать ваши заметки, если это будет необходимо для защиты прав, имущества или личной безопасности Evernote и ее пользователей;
просмотр возможен в том случае, если мы сочтем, что были нарушены наши Условия обслуживания.
Одно из описанных выше условий раскрытия личной информации пользователя: «защита имущества или личной безопасности Evernote и ее пользователей». В каких случаях заметка будет угрожать личной безопасности Evernote в соглашении не указано, а значит, компания, владеющая сервисом, может использовать это правило, так, как будет удобно. Так же нельзя обойти стороной ещё один интересный пункт соглашения: «Однако при передаче данных по Интернету, проводному или беспроводному, невозможно обеспечить 100процентную защиту. В связи с этим мы не можем гарантировать безопасность передаваемой между нами информации, и вы осведомлены, что передаете ее на свой страх и риск».
Ещё один интересный факт безопасности Evernote является возможность подключения сторонних расширений к сервису, используя которые, пользователь предоставляет доступ к своим заметкам. Злоумышленник может создать такого рода расширение или использовать его уязвимости.
Продукт еще одного технологического гиганта Google
Keep -- бесплатный сервис, созданный компанией Google Inc. в 2013 году, который предназначен для создания и хранения заметок. Google Keep доступен в виде интернет-приложения с доступом через любой совместимый браузер, подключаемого модуля (plug-in) для браузера Google Chrome и приложений для устройств на iOS и Android.
Лицензия: проприетарное программное обеспечение.
Исходный код недоступен. Сервис включает в себя:
серверную часть;
тонкий клиент, работающий в большинстве браузеров, разработанный с использование JS, без каких либо общественных фреймворков;
PC клиенты и для портативных устройств.
Как и большинство аналогичных сервисов, Google предоставляет возможности двухэтапной аутентификации, поддерживается защищённое соединение по HTTPS. Google Keep не позволяет защищать паролем отдельные заметки.
Google передаст заметки третьим лицам в следующих случаях:
Требование закона;
Нарушение условий сервиса;
выявить, пресечь или иным образом воспрепятствовать мошенничеству, а также устранить технические неполадки или проблемы с безопасностью;
защитить права, собственность или безопасность компании Google.
Google утверждает, что постоянно совершенствует способы сбора, хранения и обработки данных, включая физические меры безопасности, для противодействия несанкционированному доступу к системам.
Результаты сравнения сервисов приведены в следующей таблице.
конфиденциальность соединение сетевой аутентификация
Таблица сравнения веб-сервисов
|
Microsoft OneNote |
Evernote |
Google Keep |
||
|
Защищённое соединение |
+ |
+ |
+ |
|
|
Шифрование заметок на сервере |
- |
- |
- |
|
|
Двухэтапная аутентификация |
+ |
+ |
+ |
|
|
Защита заметки паролем |
± |
- |
- |
|
|
Передача заметки третьим лицам при некоторых условиях |
+ |
+ |
+ |
|
|
Организация общего доступа к заметкам |
+ |
+ |
+ |
|
|
Синхронизация |
+ |
+ |
+ |
|
|
Клиент браузер |
+ |
+ |
+ |
|
|
Клиент desktop |
Windows, OS X |
Windows, OS X |
- |
|
|
Клиент мобильный |
Android, iOS |
Android, iOS |
Android, Chrome OS |
Таким образом, можно сделать вывод, что наиболее популярные веб-сервисы для организации заметок ограничиваются стандартизированными решениями для обеспечения безопасности, такие, как защищённое соединение, двухфакторная авторизация. Однако стоит заметить, что исходные алгоритмы таких сервисов закрыты, а личная информация пользователей, в некоторых случаях, может быть передана компанией-владельцем третьим лицам.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Microsoft. Заявление о конфиденциальности корпорации Майкрософт [Электронный ресурс]: Электрон. дан. - [Б. м.], 2015. - URL: https://www.microsoft.com/ruru/privacystatement/default.aspx (дата обращения: 10.12.2015).
2. Google. Политика конфиденциальности и Условия использования [Электронный ресурс]: Электрон. дан. - [Б. м.], 2015. - URL: https://www.google.com/policies/privacy/ (дата обращения: 11.12.2015).
3. Evernote. Конфиденциальность [Электронный ресурс] - Электрон. дан. - [Б. м.], 2015. - URL: https://evernote.com/intl/ru/legal/privacy.php (дата обращения: 12.12.2015).