Il recente scandalo delle foto osé delle star e starlette statunitensi trafugate dai loro account iCloud ha fatto emergere, in tutta la sua dirompenza, il problema della sicurezza dei dati conservati nel proprio spazio “personale” di nuvola. Detto altrimenti, i dati conservati sugli account di cloud storage non sono così al sicuro come si poteva pensare. Anzi, sembra che basti davvero poco per violare gli account ed entrare in possesso di tutti i file – non solo foto e video, naturalmente – contenuti all'interno.
Con alcuni semplici accorgimenti, però, è possibile rendere più sicuro il proprio account ed evitare che gli hacker possano entrare in possesso dei file sia accedendo direttamente al profilo o mettendo in atto tattiche del tipo man in the middle.
Mettere in sicurezza l'account
La prima cosa da fare è assicurarsi – nei limiti del possibile, in casi come questi non si può mai essere certi al 100% - che per gli hacker sia difficile se non impossibile accedere al proprio account.
-
Password inattaccabili. Secondo alcune indiscrezioni in arrivo da Cupertino il misterioso ladro non avrebbe sfruttato alcun bug per riuscire a penetrare negli account e rubare le immagini: semplicemente, ha tentato ad indovinare la password, azzeccandola in molti casi. Insomma, l'hacker è stato piuttosto fortunato, ma i vip forse farebbero meglio a scegliere password più sicure. Solitamente viene chiesto di utilizzare una parola d'accesso lunga almeno otto caratteri, che contenga almeno un numero, un carattere speciale e una lettera maiuscola. Affinché il proprio account di cloud storage sia sicuro – si tratta, però, di una raccomandazione valida per qualunque password si utilizzi online – è consigliabile utilizzare una password di almeno 14 caratteri e, se possibile, composta da una sequenza casuale di lettere e numeri. Nel caso si vogliano utilizzare parole di senso compiuto, è consigliabile utilizzare alcuni trucchetti: sostituire alcune lettere con dei numeri, evitare di utilizzare parole troppo semplici da indovinare (il nome dell'animale domestico, la data di nascita o di matrimonio, nomi di persone care) e utilizzare parole che nulla abbiano a che fare l'una con l'altra (una possibile password, ad esempio, potrebbe essere Cultur4p3nt0laDisco). Inutile dire, inoltre, che ogni account dovrebbe avere una sua password, così da ridurre i rischi di vedersi bucare tutti gli account in una sola volta. Nel caso in cui si voglia verificare l'efficacia della password, si può ricorrere ad alcuni portali specializzati come il password checker di Microsoft, Password Meter, How secure is my password e Kaspersky Secure password checker
-
Doppio cieco. Quando possibile, attivare l'opzione di accesso a due fattori per l'account di cloud storage. In questo modo, l'accesso al profilo sarà subordinato all'inserimento della password e di un codice numerico da ricevere via SMS sul proprio numero di cellulare o da generare con apposite applicazioni
La crittografia
Tutto ciò, però, potrebbe essere superfluo: se qualcuno riuscisse a inserirsi nel canale di comunicazione utilizzato per trasferire i file dal proprio computer verso il cloud potrebbe ugualmente entrare in possesso di informazioni personali. In questo caso è la crittografia a correre in soccorso degli utenti: applicando chiavi crittografiche a tutti i file presenti nell'account si avrà la certezza che, anche in caso di “intrusione forzata”, nessuno potrà mai e poi mai leggerli o utilizzarli.
La crittografia può essere applicata al cloud sotrage seguendo diverse strade, anche se le più battute restano due: utilizzare un servizio che implementi algoritmi crittografici o sfruttare applicazioni e programmi che applichino chiavi crittografiche su account cloud già esistenti.
Il cloud sotto chiave (crittografica)
-
SpiderOak. Si parte con un account gratuito da 2 gigabyte ma, volendo, è possibile aumentare lo spazio pagando un abbonamento mensile (100 gigabyte costa 10 dollari al mese). SpiderOak è tra i pochi servizi di cloud storage ad offrire funzionalità crittografiche ai propri utenti: basterà iscriversi, installare il client (o l'applicazione sullo smartphone) e il gioco è fatto. I file sono crittografati (con chiave AES da 256 bit) direttamente sul computer e solo successivamente caricati sul cloud: è il cosiddetto sistema “Zero Knowledge” che impedisce al gestore del servizio di conoscere che tipo di file sono caricati e quale il loro contenuto
-
Wuala. Come accade con SpiderOak, anche Wuala applica le chiavi crittografiche in locale per poi trasferire i file sui propri server. A differenza del servizio appena descritto, però, Wuala fa in modo di spezzettare i file crittografati e suddividerli tra vari server, in modo da rendere inutilizzabili eventuali “frammenti” di file intercettati con tattiche man in the middle. La password scelta nel corso della procedura di iscrizione è il fulcro del processo crittografico: nel caso si dovesse dimenticare, sarebbe impossibile decrittare i file presenti nell'account Wuala e andrebbero persi per sempre. Wuala, che mette a disposizione degli utenti un account gratuito da 5 gigabyte, utilizza chiavi crittografiche AES da 256 bit
-
Tresorit. A grandi linee, il funzionamento di Tresorit è lo stesso di SpiderOak e Wuala: la crittografia avviene localmente e solo in seguito i file sono caricati sui 5 gigabyte che la società mette a disposizione gratuitamente. La chiave crittografica AES da 256 si basa sulla password scelta nel corso della procedura di iscrizione e, una volta dimenticata, si potrà dire addio ai propri file. Tresorit, però, eccelle nella condivisione dei file con altri utenti: si potranno creare dei permessi speciali per alcune tipologie di utenza, ma i file resteranno comunque crittografati
I Tech-Quiz di Mister Plus0/ 00' 0" -
Mega.co.nz. Il servizio di cloud storage di Kim Dotcom punta a trovare il giusto equilibrio tra leggerezza, spazio a disposizione degli utenti e sicurezza. A differenza degli altri servizi sinora descritti, Mega.co.nz non ha client da installare, né app per smartphone: l'unico modo per accedere al proprio account è tramite un web browser (Chrome quello consigliato dalla stessa società neozelandese). Anche in questo caso è la password la chiave di volta del processo crittografico: servirà a creare le chiavi AES da 256 bit per crittografare e decrittare i file; una volta persa, sarà impossibile accedere all'account e al suo contenuto. L'account gratuito offre agli utenti 50 gigabyte di spazio di archiviazione gratuito, ma il servizio di Dotcom pecca un po' sul versante della sicurezza: i file sono crittografati, ma non la struttura delle cartelle
La crittografia “in casa”
I vari Dropbox, Google Drive, OneDrive, SugarSync, iCloud non hanno servizi crittografici che possano offrire un ulteriore livello di sicurezza ai propri utenti. Un ostacolo, comunque, che è possibile aggirare utilizzando specifici programmi di crittografia da installare sul proprio computer. Boxcrypotr, ad esempio, è un software crittografico realizzato appositamente per proteggere i file presenti sui vari account di cloud storage che non offrono servizi del genere.
In seguito all'installazione, Boxcryptor creerà un drive virtuale sul proprio computer: tutti i file o le cartelle inserite all'interno del drive saranno crittografati con chiave AES da 256 bit. Sarà quindi sufficiente spostare la cartella locale di Dropbox, Google Drive, iCloud e gli altri all'interno del drive di Boxcryptor per crittograre i file in locale e successivamente caricarli sul proprio account cloud, senza la necessità di doverne creare uno ex novo.