[HVA News] – Phát hiện lỗ hổng bảo mật trong các dịch vụ lưu trữ trên nền Cloud


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42301.hva

Mới đây tổ chức Fraunhofer Institute for Secure Information Technologoy (SIT) [1] đã thực hiện kiểm tra và đánh giá độ an toàn của 7 nhà cung cấp dịch vụ lưu trữ trên nền Cloud. Bản báo cáo kết quả của nghiên cứu này được công bố rộng rãi tại địa chỉ
http://www.sit.fraunhofer.de/content/dam/sit/en/studies/Cloud-Storage-Security_a4.pdf

Các tác giả của bản báo cáo trên đã tìm thấy các lỗ hổng trong các chức năng như đăng ký và đăng nhập tài khoản, mã hóa và truy cập tới dữ liệu được chia sẻ của một số dịch vụ.

7 nhà cung cấp dịch vụ lưu trữ trên nền cloud được kiểm tra là CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One và Wuala, các dịch vụ đều có thể được truy cập trực tiếp thông qua các phần mềm được cài đặt trên máy của người dùng. Các nhà nghiên cứu đã không xem xét các dịch vụ như Amazon S3 vì nó chỉ có thể truy cập được thông qua API, và cũng khẳng định rằng trong tương lai, họ sẽ có kế hoạch nghiên cứu thêm các nhà cung cấp lớn khác.

Các chức năng được khảo sát bởi Fraunhofer là sao chép, sao lưu, đồng bộ và chia sẻ. Chỉ có TeamDrive và Wuala là cung cấp đầy đủ cả 4 chức năng này. CrashPlan và Mozy chỉ cung cấp dịch vụ sao lưu, nhưng dịch vụ này lại không được cung cấp bởi CloudMe, Dropbox và Ubuntu One.

Về các khía cạnh bảo mật thì qua kiểm tra, CloudMe được đánh giá là kém nhất so với các nhà cung cấp còn lại, nó không thực hiện mã hóa trước và trong suốt quá trình truyền tải dữ liệu. Các nhà nghiên cứu cũng phê bình CrashPlan, TeamDrive và Wuala vì họ sử dụng giao thức mã hóa không được công bố của riêng họ thay vì sử dụng chuẩn SSL/TLS.

CloudMe, Dropbox và Ubuntu One cũng bị mất điểm khi không áp dụng mã hóa ở phía người dùng, điều này khiến cho các nhà cung cấp dịch vụ lưu trữ có thể đọc được dữ liệu. Wuala thì cung cấp tính năng này, nhưng họ sử dụng cơ chế mã hóa xác định (deterministic encryption) [2] để có thể nhận dạng được các tập tin bị trùng lắp.

Nghiên cứu cũng dành ra một chương để nói về các vấn đề liên quan tới tính hợp pháp. Các tác giả lưu ý rằng đạo luật Patriot được Quốc hội Mỹ thông qua đồng nghĩa với việc dữ liệu được lưu trữ bởi các công ty Mỹ không được hưởng cùng một mức độ bảo vệ như dữ liệu được lưu trữ bởi các công ty ở các nước thuộc Liên minh châu Âu (EU). Trong số các công ty được kiểm tra, chỉ có OnlyMe (Thụy Điển), TeamDrive (Đức) và Wuala (Thụy Sĩ) là không bị chi phối bởi đạo luật này.

(Theo H-Online) [3]

Tham khảo:
[1] http://www.sit.fraunhofer.de/en.html 
[2] http://en.wikipedia.org/wiki/Deterministic_encryption
[3] http://www.h-online.com/security/news/item/Fraunhofer-Institute-finds-security-vulnerabilites-in-cloud-storage-services-1575935.html

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s