¿Cuáles son las implicaciones de seguridad de Digital Lifeboat (u otras soluciones de almacenamiento p2p)?

Navega tus respuestas
3

De la sección acerca de nosotros de Digital Lifeboat

  

Nuestra solución es un servicio de almacenamiento en la nube distribuido. Digital Lifeboat comprimirá y cifrará cada archivo seleccionado para la copia de seguridad. Luego procesamos su archivo encriptado con un algoritmo de codificación de borrado que crea muchos fragmentos de su archivo. Una vez que estos fragmentos están preparados para su transferencia a la nube de Digital Lifeboat, los enviamos y almacenamos de forma segura cada uno de ellos fuera de su hogar en diferentes computadoras. Estos fragmentos codificados, borrados codificados, son invisibles en sus hosts de almacenamiento.

     

Usando técnicas esteganográficas avanzadas, almacenamos de manera segura fragmentos cifrados, borrados codificados, en su PC de otros miembros de la nube de Digital Lifeboat. Estos fragmentos son invisibles para su computadora y funcionan como si no estuvieran allí. Cuando agregue más datos a su disco duro, se borrarán automáticamente si están en el camino.

¿Cuáles son las implicaciones de seguridad de esta configuración? Mi padre lo está investigando (y en comparación con el costo de Carbonite, y parece bastante atractivo) como una solución de almacenamiento personal.

¿Qué riesgos podría tener esta configuración?

    
pregunta Wayne Werner 03.01.2013 - 14:29
fuente

3 respuestas

2

Su propio modelo parece ser lo suficientemente seguro. Los archivos están encriptados (con AES-256 ) y segmentados en su computadora antes se envían a otros personas, la única manera † de ensamblar sus archivos y descifrarlos es mediante la información relacionada con su cuenta:

  1. un índice que contiene las ubicaciones de los segmentos y su orden para ensamblar su archivo.
  2. La clave de descifrado.

Si el proveedor de servicios (Digital Lifeboat) mantiene su aplicación cliente y sus servidores lo suficientemente seguros para evitar que otros obtengan la información mencionada anteriormente, teóricamente sus archivos están seguros. También afirman ser revisados por una empresa de seguridad llamada Security Innovation

No es que la respuesta anterior sea muy técnica, pero en caso de que busque una respuesta rápida y no técnica:

Mi veredicto personal es que parecen ser lo suficientemente seguros, ya que no parece haber ningún incidente anterior y su modelo divulgado parece tener sentido.

Nota: Asegúrate de seguir los estándares de seguridad comunes. Nombre de usuario / contraseña diferente de otras cuentas, contraseña segura, contraseña segura para la cuenta de correo electrónico asociada con su cuenta de Digital Lifeboat.

† Además de las vulnerabilidades específicas que puede tener la aplicación o el servicio en sí.

    
respondido por el Adi 03.01.2013 - 15:07
fuente
2

Recuerdo a alguien que se quedó con una mala impresión sobre Digital Lifeboat en noviembre de 2012. Su comentario a continuación se presentó en el podcast de Security Now.

  

Recientemente comencé a recibir correos electrónicos no solicitados e inesperados de   Digital Lifeboat, un servicio de copia de seguridad de PC en línea. Parece que   alguien configuró una cuenta usando mi dirección de correo electrónico por error, por lo que   Digital Lifeboat me ha estado enviando actualizaciones sobre la PC que está siendo   Copia de seguridad en la cuenta, con enlaces a su sitio web. Si yo quisiera   acceder a la cuenta de esta persona, con toda su información personal   y todos los datos en sus archivos de copia de seguridad, simplemente tengo que ir a la   Página web de Digital Lifeboat y solicitar un restablecimiento de contraseña usando mi correo electrónico   dirección. Es sólo la mala suerte del cliente que soy demasiado escrupuloso   para hacerlo Incluso si no hago nada, sin embargo, todavía no están   recibir cualquier correo electrónico de notificación, yo soy, y ellos nunca podrán   para restablecer su propia contraseña porque todo va a mi correo electrónico   dirección.

     

Intenté sin éxito ponerme en contacto con Digital Lifeboat por correo electrónico y sus   página web para que pueda advertirles sobre los riesgos que están asumiendo, no   verificar las direcciones de correo electrónico de los clientes durante la creación de la cuenta, y   posiblemente para encontrar una manera de contactar al cliente sin invadir su   intimidad. Pero nada de eso funcionó. Así que hoy finalmente publiqué en su   Página de Facebook y recibió una respuesta de un hombre que inicialmente lo hizo   No entendí el problema y luego procedí a hablarme de un par   problema más grande.

     

Él escribió, cita: "Olvidé que nuestro teléfono celular de dos factores   la autenticación está actualmente deshabilitada. Cuando lo desactivamos, nos fuimos.   Este enorme agujero en nuestra seguridad. Wow, ese es nuestro error. Gracias   para traerlo a nuestra atención. Me gustaría borrar este hilo para   como para no publicitar este problema, y lo abordaremos internamente ".   Ese hilo se eliminó, pero no antes de que tomara una captura de pantalla de él.

     

Me preocupa pensar en todas las personas que confían en esta compañía   Su información personal y datos de copia de seguridad porque no están siendo   dijo la verdad Digital Lifeboat promociona el cifrado AES de 256 bits para   Asegure la privacidad y seguridad completas de sus datos, "pero ¿qué es bueno?   ese cifrado cuando no se molestan en proteger al cliente   ¿cuenta? Es lo mismo de lo que estábamos hablando antes. Ellos   claramente tienen prácticas de seguridad terribles, y todavía no estoy seguro de que   Incluso entiendo el problema inicial que les señalé.

    
respondido por el Cristian Dobre 03.01.2013 - 15:03
fuente
2

Los principales riesgos en los que puedo pensar es en realidad el aspecto legal de las cosas. No soy abogado, pero mi comprensión de este esquema es que están colocando los archivos de otras personas en su computadora. Eso te hace el servidor. Si el cliente 123 hace algo malo y almacena un archivo y un segmento de él se almacena en su computadora, eso podría convertirse en evidencia y terminar con un hombre en su puerta con una insignia que quiere tomar su disco duro como evidencia.

Además, parece que sería un sistema bastante inútil y potencialmente inseguro, ya que depende de otros clientes para almacenar la información y de cómo la describen, parece que probablemente estén utilizando la E / S directa para escribir algo fuera de las tablas de archivos en los discos duros (la parte de que es invisible y se sobrescribe automáticamente). Si esto es correcto, entonces algo como una desfragmentación destruiría todos los datos en una máquina. La única forma de intentarlo y superar esto es duplicar el archivo de forma MASIVA, pero eso significa que por cada megabyte que ingrese, necesitarán hacer algo como 10 MB de almacenamiento en su máquina para que el sistema tenga la oportunidad de trabajar de manera confiable.

Ciertamente, no le confiaría mis datos porque me preocuparía la posibilidad de perderlos (lo cual todavía es técnicamente inseguro, ya que parte de la seguridad en el sentido amplio es almacenar los datos de manera segura).

En lo que respecta a las partes no autorizadas que obtienen sus datos, en última instancia, sus prácticas internas pueden tener mucho que hacer al respecto, pero si son seguras, el esquema suena bien. Sería difícil, si no imposible, que alguien obtenga las piezas sin su cuenta, e incluso así, los archivos se cifrarían. Si usted es el único con la clave de cifrado, es seguro, incluso si no pueden ocultar el índice de las partes o proteger su cuenta, pero no sé cómo lo hacen exactamente.

    
respondido por el AJ Henderson 03.01.2013 - 15:17
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar un carácter de expresión regular de espacio en blanco para realizar una inyección de javascript? Registradores de teclas y puntos de referencia de rendimiento