Se upp med molntjänster

Nu har andra också fått upp ögonen för riskerna med molntjänster.

http://svenska.yle.fi/nyheter/artikel.php?id=24105 3


Här ett inlägg i en av våra trådar
http://bredband.selfip.net/forum/index.php?action= search&loc=1&forum=4&topic=256&page=299919


Men, inte är vi ju dom enda som haft insikten. Skall sanningen fram så har fackfolk alltid varit småskeptsika till molnen. Främst är det IT-branchens marknadsförare som vurmat för saken men personligen räknar jag inte in dem i uttrycket "IT-fackfolk".

Det är en urgammal sak. Då det annars också är farligt att ha en maskin uppkopplad till nätet så är det väl solklart att det är MYCKET farligare att börja köra program över nätet ... Vet vet om man alls kör det program man TROR man kör ?

Ren idioti från början till slut. Men visst kan det fungera med totalt ofarliga uppgifter som annars också är helt öppna på nätet - för man bör utgå ifrån att allting i en molntjänst är ungefär som om man skrikit ut det från en bergstopp.

Kryptering i all ära men den kan alltid knäckas och så kan skurkarna försöka lura till sej nycklarna av de otroligt blåögda töntar som många gånger använder molntjänsterna. Då hjälper inte ens den värsta kryptering.

Jag bör bara tillägga att vi skall komma ihåg att det finns två olika moln "tjänster". 1. De som profit bolag vill sälja. (de ni nämner i denna tråd) 2. de samhällsnyttiga funktioner och konsumentprodusent kostnadseffektiva alternativen (Peer to peer (P2P) funktioner).

Kan man resonera såhär?


Båda typerna av tjänster har sina säkerhets "brister".

De sålda tjänsterna kan man alltid ställa krav på.
Men hur ställa krav på en tjänst som inte köpts. Vad jag känner till finns det inga standarder på säkerhet angående P2P "tjänsterna".

Vad jag kan se, så är det P2P "tjänsterna" som vi kommer att utnyttjas allt mera i framtiden. För att de är "leverans säkra" och förmånliga distributions sätt.

Ett exempel en fildelning, virtuell droppbox eller virtuellt kabel-tv nät eller liknande. Hur kunna avskilja "riktigt" material från det som någon satt dit för att göra "skada". OK, det är ju inte materialet i sej som är skadligt utan risken att öppna bakdörren när man "använder" tjänsten.

Så vi står nog bara i halktossorna ännu med det här med tjänstesäkerhet.

Ett alternativ är att inte använd sej av brandmurar längre utan endast kryptera eller "undangömma" den mjukvaran (material) som man inte vill att andra skall ha tillgång till. Sedan går det bara att spekulera i hur det går för dem som har brandmurar i bruk när det finns i princip oändligt med bandbredd och hårdvarukapacitet till förfogande för de virtuella skadegörarna som har vilja att göra illa. Ni börjar säkert förstå vart scenariot börjar leda och jag vill påstå att här är vi idag, utan att någon insett det.

Jag skulle villa vända på kakan och säga att nätsäkerheten inte är viktig inte häller säkerheten gällande molntjänsterna. Utan fokusera på att det skall finns "säker" teknik i ändorna av nätet som inte kan "stjälpa" p.g.a. "attacker" eller någon sorts överbelastning som det i själva verket är fråga om.

Så kommer vi till att: Hur skall vi kunna skapa sådan teknik som inte kan överbelastas men ändå fungera?

Mjoo, jag vet inte om man kan klassificera P2P som "moln" precis. Jag ser det närmast som ett effektivt distributionssätt. Det är helt riktigt att det finns en mängd faror i det men snarast är det fråga om att hålla P2P i en skild virtuell maskin - det är väldigt dumt att låta det komma in i den egna huvudmaskinen. Varför inte en helt skild fysisk maskin förresten - det är inte så dyrt och det ligger snart en massa gamla maskiner överallt. P2P behöver inte mycket kapacitet.

Det jag avser med "moln" är att man skickar sin egen (dyrbara och känsliga) data över nätet "nånstans" och får nånting tillbaka. Och det är just precis "nånstans" för nätet är en farlig plats där man aldrig kan vara helt säker på vart datan far. Så jag förderar nog att hålla den kvar i min egen maskin och i stället ladda ned programmen jag behöver..

Förr var det just så att programmen fanns i en central maskin och så hade man en mer eller mindre dum terminal som man använde tillsammans med centraldatorn. Det gav vissa fördelar med underhåll och uppdatering av program men så fort det var möjligt så skaffade folk egna maskiner. Nu försöker lata typer slippa underhållet i den egna maskinen och använder i stället "moln", dvs. centrala maskiner. Och då är säkerheten besvärlig. Helt säker dataöverföring på nätet bara inte existerar. Kryptering och certifikat blir lätt lika besvärliga som att använda egna program så det är inte mycket man vinner.

Molnbegreppet används till allt tusan nuförtiden.

http://lurifax.se/vad-ar-molnet/

Den gemensamma nämnaren verkar vara att molnleverantören vill ha betalt för sina tjänster på nätet så inget nytt på den fronten.
Det nya är att tjänsteleverantören också tar hand om all data, tex. Kundregister och bokföringsmaterial och gömmer det nånstans bakom ett lösenord - som kan hamna i fel händer.

Antagligen är också den finska datalagstiftningen bortkopplad som begränsar användningen av våra personuppgifter. Lex Nokia är ett skämt i det här sammanhanget.

Är inte användningen av kartprogrammet Keypro en molntjänst? Och nätbanken, skatteverket, gmail, webbportaler mm?

Ja, och vårt forum... Visst är det en molntjänst det också... Väl...?

Som du märker så kan det vara lite knepigt att definiera molnet. Är det hela Internet rentav?

Hur som helst, Keypro är definitivt en molntjänst, och gmail ... Men då är väl Surfnets webmail också en molntjänst, eller ?

---------

Det handlar om att utlokalisera sina datafunktioner i stället för att själv ställa igång servrar och databaser. Och så betalar man för tjänsten i stället för att köpa och underhålla sina egna system. Behöver man mer resurser eller bättre funktioner så betalar man lite till. Det är så enkelt så, och egentligen inte så dyrt.

Men man skall ha förståndet med sig då man utlokaliserar sina funtioner. Speciellt skall man utvärdera risken med att en vacker dag kommer man inte åt sina data, eller så finns informationen tillgänglig för vem som helst. Jag har tex. Svårt att tro att ett sjukhus skulle kunns använda sig av Googles molntjänster.

Det är väl skillnad mellan sådant som KAN skötas lokalt och epost och surf där själva huvudinnehållet är att kommunicera över nätet.

Men läs DN:s artikel "Nätjättarna vill veta allt om dig"

http://www.dn.se/kultur-noje/natjattarna-vill-veta -allt-om-dig

och begrunda om du vill använda "molntjänster".

Jag använder NoScript som hindrar alla skript att köras då man surfar - om man inte uttryckligen ger tillstånd. Och tillståndet kan vara tillfälligt så att det tas bort genast då man stänger sidan.



(Nu har jag inte haft tid med moln för jag har varit i skogen och sysslat med att såga ved till nästa vinter - det går inte att "utlokalisera" till molnet. Att köpa olja och el då man har skogen full av ved är också enligt min mening idiotiskt)

Det är helt klart att Google&Co samkör data som dom tjuvlyssnat sig till. Det har dom alltid gjort!
Men numera har dom blivit lite mer öppna med den saken och kräver i sina avtal att man måste ge ut informationen - annars kan man inte logga in.

http://www.svd.se/naringsliv/it/google-i-nytt-blas vader_6859273.svd

Ni som använder Android telefoner - visste ni att Google har rätt att läsa era sms och kolla vem ni ringer till?

https://www.flashback.org/t1569015


Märkligt hur tysta EFFI och Piratpartierna är. Har dom också undertecknat avtal med de sociala medierna?

Effi&co är googles och facebooks bästa intresseorganisationer eftersom dom vill att alla skall få veta allt

Ursprungligen var Internet faktiskt så öppet att man kunde gå in i andra maskiner och titta på deras filer ...

Men det var då enbart de ursprungliga idealisterna var med. Sedan bredde nätet ut sej och det kom förstås också skurkar med i nätet. Och här sitter vi nu med skägget i brevluckan ...

Så kom Facebook och samlade 800 miljoner användare ... blåögda användare ... som skurkarna nu tar hand om ...

Kolla in videon på YLE där dom berättar hur det går till!

http://svenska.yle.fi/nyheter/artikel.php?id=24264 7

Tack för länken. Programmet om Facebook, virusprogram och nätbrottslighet var intressant. Jag plockade följande diskussionstemata som presenterades av Jussi Peura från Mannerheims barnskyddsförbund och Ville Ahtiainen från Symantec:

Nätbrottslighetens former

Man läser bank- och andra lösenord med key logger program
Man samlar register med personinfo (t.ex. lösenord, personsignum och bilder)
Man presenterar sig på falska grunder som en vän
Man följer med användarens befintlighet
Man läser eller putsar hårdskivan
Med mera: Allt annat fuffens som kan åstadkommas med skriptprogram,

Försvarsåtgärder

Den egna datorns säkerhet måste vara i tidsenligt skick
Man skall undvika alla feed back aktiviteter av typen 'Tycker om'
Undvik fildelningsanbuden
Följ 13 års åldersgränsen

Det var ju bara en liten introduktion i ämnet, men ändå en tankeställare för överhettade myndigheter och organisationer som gör propaganda för sociala medier. Jag fick också vinkar om eventuella risker i VoIP-applikationer. Tänk t.ex. närvarofunktionerna som alltför lätt blottar vad vi håller på med.

Månne det finns samma problem i LinkedIn?

Samma problem finns överallt där man får folk att öppna filer som innehåller skadlig kod. Antingen som bifogad fil via e-post, från nån web-sida, från Facebook eller som för 20 år sedan, via diskett. Det är samma skit - men i olika förpackning.

Så vitt jag vet så ber inte LinkedIn folk att ladda ner filer i nån större utsträckning. Därför är LinkedIn inte heller lika intressant för skurkarna som tex. Facebook.

I pdonners lista över försvarsåtgärder skulle jag lägga till uppdateringar. Har man inte sin PC/smarttelefon/läsplatta/you-name-it uppdaterad finns där antagligen ett säkerhetshål där maskarna börjar kräla in efter en tid. Man skall uppdatera ALLA program i maskinen. Det räcker inte enbart med att hålla sin Windows/Mac/Linux uppdaterad. Program som läser PDF-filar, visar bilder, behandlar texter måste också uppdateras. Får man tex. in skadlig kod via en bild så kan koden gå helt förbi både antivirus-progam och brandmurar.

Därför: Regel 1: Uppdatera! Försök inte samtidigt vara fiffig genom att klura ut vilka säkerhetsuppdateringar du behöver och vilka du inte behöver. Det finns alltid de som är fiffigare så strategin brukar ta en "skiti ända". Det räcker med att du gör EN felbedömning.

Här en engelskpråkig snutt från Watchguard på samma tema.
Den är pinfärsk, gjord för två dagar sedan. Nästa vecka och därpå följande veckor och år får vi se mer kring samma tema.
Dethär är en process som startade redan på 80-talet och kommer alltid att fortsätta, aldrig sluta. Detta är min övertygelse intill tids ände.

http://www.youtube.com/watch?v=4AXyWowjmeg