Quali sono le implicazioni per la sicurezza di Digital Lifeboat (o altre soluzioni di storage p2p)

3

Da su di noi sezione

di Digital Lifeboat

Our solution is a distributed storage cloud service. Digital Lifeboat will compress and encrypt each file selected for backup. We then process your encrypted file with an Erasure Coding algorithm that creates many fragments of your file. Once these fragments are prepared for transfer into the Digital Lifeboat Cloud, we then securely send and store each of them outside of your home on different computers. These encrypted, erasure coded, fragments are invisible on their storage hosts.

Using advanced steganographic techniques we safely store encrypted, erasure coded, fragments on your PC from other members of the Digital Lifeboat cloud. These fragments are invisible to your computer and it operates as if they are not there. When you add more data to your hard drive, they will automatically be erased if they are in the way.

Quali sono le implicazioni per la sicurezza di questa configurazione? Mio padre ci sta guardando (e se confrontato con il costo di Carbonite, sembra interessante) come soluzione di archiviazione personale.

Quali rischi potrebbe avere questa configurazione?

    
posta Wayne Werner 03.01.2013 - 14:29
fonte

3 risposte

2

Il loro modello sembra essere abbastanza sicuro. I file sono crittografati (con AES-256 ) e segmentati sul tuo computer prima inviati ad altri le persone, l'unico modo † per assemblare i file e decrittografarli utilizza le informazioni relative al tuo account:

  1. un indice che contiene le posizioni dei segmenti e il loro ordine per assemblare il tuo file.
  2. La chiave di decrittografia.

Se il fornitore di servizi (Digital Lifeboat) mantiene la propria applicazione client e i propri server sufficientemente al sicuro da impedire ad altri di ottenere le due informazioni di cui sopra, allora teoricamente i tuoi file sono al sicuro. Inoltre, sostengono di essere esaminati da una società di sicurezza chiamata Security Innovation

Non è una risposta molto tecnica, ma nel caso tu stia cercando una risposta non tecnica e rapida:

Il mio verdetto personale che sembra essere abbastanza sicuro in quanto non sembra esserci alcun incidente precedente e il loro modello divulgato sembra avere un senso.

Nota: assicurati di seguire standard di sicurezza comuni. Username / password diversi da altri account, password complessa, password sicura per l'account email associato al tuo account Digital Lifeboat ..

† A parte le vulnerabilità specifiche che potrebbero avere l'applicazione o il servizio stesso.

    
risposta data 03.01.2013 - 15:07
fonte
2

Ricordo che qualcuno è rimasto con una brutta impressione su Digital Lifeboat nel novembre 2012. Il suo commento qui sotto è apparso nel podcast di Security Now.

I recently started getting unsolicited and unexpected email from Digital Lifeboat, an online PC backup service. It appears that somebody set up an account using my email address by mistake, so Digital Lifeboat have been sending me updates about the PC being backed up on the account, with links to their website. If I wanted to access this person's account, with all of their personal information and all of the data in their backup files, I simply have to go to the Digital Lifeboat website and request a password reset using my email address. It is just the customer's dumb luck that I am too scrupulous to do so. Even if I don't do anything, though, they are still not getting any notification emails - I am - and they will never be able to reset their own password because everything goes to my email address.

I tried unsuccessfully to contact Digital Lifeboat by email and their webpage so I could warn them about the risks they are taking by not verifying customers' email addresses during account creation, and possibly to find a way to contact the customer without invading their privacy. But none of that worked. So today I finally posted on their Facebook page and did receive a response from a man who initially did not understand the issue and then proceeded to tell me about an even bigger problem.

He wrote, quote, "I forgot that our two-factor cell phone authentication is currently disabled. When we disabled it, we left this gaping hole in our security. Wow, that's our screw-up. Thanks for bringing it to our attention. I'd like to delete this thread so as not to advertise this issue, and we'll address it internally." That thread was deleted, but not before I took a screenshot of it.

It worries me to think of all the people trusting this company with their personal information and backup data because they're not being told the truth. Digital Lifeboat touts "256-bit AES encryption to insure complete privacy and security of your data," but what good is that encryption when they don't bother to protect the customer's account? It's the same thing we were talking about earlier. They clearly have awful security practices, and I'm still not sure they even understand the initial problem I brought to their attention.

    
risposta data 03.01.2013 - 15:03
fonte
2

I principali rischi a cui posso pensare sono in realtà il lato legale delle cose. Non sono un avvocato, ma la mia comprensione di questo schema è che stanno mettendo i file di altre persone sul tuo computer. Questo ti rende il server. Se il client 123 fa una brutta cosa e memorizza un file e un segmento di esso viene memorizzato sul tuo computer, questo potrebbe diventare una prova e finire con un uomo alla tua porta con un badge che vuole prendere il tuo disco rigido come prova. p>

Inoltre, sembra che sarebbe un sistema piuttosto dispendioso e potenzialmente insicuro poiché dipende da altri client per memorizzare le informazioni e in base a come lo descrivono, sembra che probabilmente stanno utilizzando l'I / O diretto per scrivere qualcosa al di fuori delle tabelle dei file sui dischi rigidi (la parte su di esso è invisibile e sovrascrive automaticamente). Se questo è corretto, qualsiasi cosa come una deframmentazione distruggerebbe tutti i dati su una macchina. L'unico modo per provare a superare questo è duplicare il file in modo MASSIVALMENTE, ma ciò significa che per ogni megabyte inserito, dovrebbero essere necessari 10 MB di spazio di archiviazione sul sistema affinché il sistema possa funzionare in modo affidabile.

Di certo non mi fiderei dei miei dati perché sarei preoccupato della possibilità di perdere i dati (che è ancora tecnicamente insicuro dal momento che parte della sicurezza in senso lato è la memorizzazione sicura dei dati).

Per quanto le parti non autorizzate ottengano i tuoi dati, in definitiva, le loro pratiche interne potrebbero avere molto da fare in proposito, ma se sono sicure, lo schema suona bene. Sarebbe difficile se non impossibile per qualcuno ottenere i pezzi senza il tuo account e anche in quel caso, i file sarebbero crittografati. Se sei l'unico con la chiave di crittografia, è sicuro anche se non riescono a nascondere l'indice ai pezzi o a proteggere il tuo account, ma non so come lo fanno esattamente.

    
risposta data 03.01.2013 - 15:17
fonte

Leggi altre domande sui tag