Edward Snowden radzi: nie korzystaj z Dropboksa, korzystaj ze SpiderOak
To już rok minął odkąd Edward Snowden ujawnił tajne dokumenty amerykańskiej Narodowej Agencji Bezpieczeństwa. Nie sposób przecenić jego wpływu na nasze myślenie o bezpieczeństwie danych i od tamtego czasu stał się swoistym autorytetem w tych kwestiach.
Nic więc dziwnego, że często wypowiada się w mediach na tematy związane z szeroko rozumianą prywatnością, bezpieczeństwem danych osobistych oraz kwestiami podsłuchu przez agencje rządowe. Dziennik The Guardian wybrał go w 2013 roku Osobą Roku (Person Of The Year) i to właśnie tej gazecie w tym tygodniu Snowden udzielił wywiadu, w którym dość ostro wypowiedział się o niezmiernie popularnym serwisie służącym do przechowywania danych online - Dropbox.
W wypowiedzi, która została opublikowana w czwartek wieczorem, Snowden zwrócił uwagę że Dropbox może zaglądać do naszych plików - co prawda są one zaszyfrowane, ale klucz jest firmie znany i mogą być rozszyfrowane oraz przekazane np. służbom specjalnym.
Snowden dodatkowo bardzo negatywnie wypowiedział się na temat zatrudnienia w kwietniu 2014 przez Dropbox byłej Sekretarz Stanu Condoleezzy Rice jako członkini zarządu.
Czy negatywne wypowiedzi Snowdena na temat Dropboxa są uzasadnione? Moim zdaniem tak
Wystarczy przypomnieć historię opisaną w zeszłym roku przez użytkownika strony WCN InfoSec. Pracował on nad usługą, która wzbogacały dokumenty Microsoft Office o możliwość uruchomienia skryptu, który wywoływał specjalny serwer przy otwarciu, informując kto i jakim programem do otworzył. Tym sposobem dawał możliwość dowiedzenia się że np. pracownik, któremu wysłałeś dokument, w rzeczywistości go otworzył.
Okazało się, że po umieszczeniu tak przygotowanego dokumentu na dysku Dropboxa, po około dziesięciu minutach zasygnalizował on, że został otwarty! Serwerem, który go otworzył, był serwer Amazona (tego właśnie używa Dropbox), a aplikacją LibreOffice. Później okazało się, że Dropbox robi to w celu stworzenia podglądu dokumentu na stronie usługi. Jest to jednak naruszenie bezpieczeństwa, i uświadamia nam, że firma może zrobić z naszymi danymi, co tylko chce.
Czy Snowden zaoferował nam jakąś alternatywę? Polecił inny serwis - konkurenta dla Dropboxa - o nazwie SpiderOak.
Ten startup, oferuje bardzo podobną usługę do Dropboxa, jednak zasada szyfrowania danych jest w niej nieco inna. Klucz do szyfrowania danych użytkownika tworzony jest na jego komputerze, na podstawie jego hasła. Do serwerów SpiderOak docierają już dane zaszyfrowane, a firma nie ma żadnej możliwości ich odszyfrować.
Taka zasada działania nazwana została Zero Knowledge Policy - zasada zerowej wiedzy. Przechowująca pliki firma nie ma pojęcia co w nich jest, ani jakie mają wielkości lub nazwy - cały katalog SpiderOak (zwany hive) jest zaszyfrowany przed wysłaniem. Niejako skutkiem ubocznym zasady zerowej wiedzy jest to, że tracimy dane, gdy zapomnimy hasła - SpiderOak nie jest w stanie nam go zresetować, bo na jego podstawie stworzony został klucz, którym zaszyfrowaliśmy nasze pliki. Jest to jednak cena, którą wielu jest w stanie zapłacić za prywatność swoich danych.
Usługę SpiderOak można używać, podobnie jak Dropbox, za darmo. Otrzymuje się wtedy co najmniej 2 GB miejsce - z możliwością otrzymania więcej na podobnych zasadach jak dzieje się to w Dropbox - np. za polecenie usługi znajomym. 100 GB kosztuje już 10 dolarów miesięcznie.
Nie wiadomo w tej chwili, czy Edward Snowden w jakiś sposób współpracuje ze SpiderOak, czy po prostu polecił tą usługę na podstawie własnych doświadczeń i analizy. Wiadomo na pewno, że usługi typu OneDrive od Microsoftu, Dropbox, czy SpiderOak stały się ostatnimi czasy wielce popularne. Powinniśmy jednak uważniej patrzeć na to, gdzie przechowujemy nasze informacje i kto ma do nich dostęp.
---
Grafika główna pochodzi z serwisu Shutterstock