lunedì 26 maggio 2008

Vulnerabili alcuni servizi di online backup



Alcuni servizi di "online backup" soffrirebbero di problemi di sicurezza tali da mettere a repentaglio la riservatezza dei dati degli utenti. Sono queste le conclusioni di un'indagine condotta da alcuni esperti tedeschi che avrebbero messo a nudo alcune pericolose vulnerabilità in ben 4 servizi per il backup dei dati online sul totale dei 6 messi alla prova.

Sebbene tutti i sistemi per la creazione e la gestione di copie di sicurezza dei propri dati e documenti personali online utilizzino il protocollo SSL, gli aggressori potrebbero comunque riuscire a sottrarre nome utente e password degli utenti mettendo in atto il cosiddetto attacco "man-in-the-middle". Ciò diviene possibile se il software di backup installato localmente sul sistema dell'utente non effettua un controllo adeguato circa la validità dei certificati impiegati lato server.

I ricercatori tedeschi sono stati in grado di "intercettare" la connessione tra client e server ed esaminare i dati in transito. "Sebbene tutti i servizi testati facciano uso di algoritmi crittografici estremamente difficili da violare, il sistema di autenticazione assai debole permette di forzare comunque il sistema allestendo, ad esempio, un server maligno con un certificato fasullo e mettendo in pratica alcune tecniche per reindirizzare le connessioni dal server legittimo a quello creato per scopi illeciti", hanno dichiarato gli esperti.
Solo i servizi di "online backup" Mozy e Carbonite avrebbero avvisato l'utente dell'attacco "man-in-the-middle" in corso rifiutando la connessione al server "maligno".

Solo Mozy, inoltre, avrebbe fornito informazioni utili mettendo in allerta l'utente sul pericolo.

Backup deve essere sinonimo di sicurezza, non importa se le copie di sicurezza vengano effettuate offline o tramite servizi online.

http://www.ilsoftware.it/news.asp?ID=4455

1 commento:

Matteo Duranti ha detto...

Ciao!
E' vero, tutelare i propri dati in modo sicuro ed affidabile è fondamentale.
I fornitori di servizi di Backup Online sono attenti alle
norme vigenti in materia di privacy.
In genere le comunicazioni con i server avvengono su un canale criptato SSL, lo stesso utilizzato
dagli istituti bancari, mentre l'archiviazione dei file sui server avviene crittografando con i
massimi standard internazionali.
Alcuni servizi di Backup Online garantiscono l'anonimato dell’utente perché non
richiedono alcun dato personale per la registrazione al servizio. In altri casi, invece, ogni file è diviso in molte parti che vengono distribuiti su più server e ricostruiti solo quando il file è
richiesto. In questo modo anche se qualcuno trafugasse uno o più server dell’azienda fornitrice e riuscisse a decifrare il potente codice di protezione, non potrebbe aggregare i dati in suo possesso e quindi non potrebbe leggere
alcuna informazione. Una startup italiana, Memopal, scoperta da me con piacevole sorpresa da poco e da non sottovalutare, per esempio, utilizza anche questo ultimo metodo. Per maggior informazioni consiglio di visitare il sito(www.memopal.com).