Il servizio cloud MEGA dice TUTTA la verità? [chiuso]

Non sai cosa sta facendo Mega (o qualsiasi altro servizio cloud) sui loro server.

C'è raramente un modo per verificare le affermazioni sulla sicurezza di un servizio cloud a meno che non ti permettano di esaminare i loro sistemi interni.

Di tanto in tanto c'è una tale domanda che appare in questo sito, " Come fidarsi di questa azienda? ", perché è ciò che la tua domanda sta facendo: puoi fidarti di Mega (o inserisci qui qualsiasi altro nome di azienda, anche non correlato all'IT).

Finché solo tu e questa azienda, d'ora in avanti chiameremo il provider , quindi non puoi fidarti di loro. Potrebbero dirti verità o cazzate. Potrebbero dirti cose che sono vere oggi, ma diventeranno cazzate domani a causa di un cambio di gestione interno, ad esempio. Sareste anche in grado di investigare il loro sistema interno, cosa proverebbe che questo sistema è davvero quello che ospita i vostri dati, che dimostrano che la procedura mostrata sui powerpoint lucenti viene effettivamente applicata internamente, ecc.? p>

Quindi, se è solo tra te e la società, devi misurare i rischi. Cosa potrebbe accadere nel caso in cui il servizio non sia pubblicizzato, qual è il rischio e in che modo puoi mitigarlo o gestirlo?

In condizioni in cui la fiducia è davvero un requisito (questo riguarda principalmente le società piuttosto che le persone, il migliore esempio di azienda che dovrà gestire dati medici o finanziari), ecco che viene fornita una terza parte attendibile che certifica che il fornitore è conforme ai requisiti specifici . Questi requisiti corrispondono a standard specifici a seconda del dominio interessato, le società di certificazione sono specializzate e abilitate a ispezionare e certificare altre società.

Quindi, in questo caso in cui è richiesta la fiducia, invece di (o in aggiunta a ...) utilizzando molte parole di marketing, il fornitore dirà che è stato certificato conforme a questo e a questi standard. Ciò ti fornirà una buona misura per quanto riguarda il rapporto di fiducia che puoi avere con il fornitore, purché le certificazioni menzionate siano affidabili e in linea con le tue esigenze.

Nel caso di Mega dovremmo esaminare la cronologia (recente) per vedere quale sia la loro motivazione per la crittografia end-to-end. Il fondatore, Kim Dotcom, gestiva in precedenza Megaupload che era continuamente sotto attacco da parte dei governi per "pirateria digitale". Dopo circa 7 anni di attività, nel 2012 una forza di polizia internazionale ha arrestato Dotcom e sequestrato i suoi beni. Nel 2013 Dotcom ha lanciato Mega come sostituto di Megaupload e implementato la crittografia end-to-end in modo che Mega non potesse conoscere il contenuto dei file archiviati e non potevano essere accusati di distribuire consapevolmente materiale protetto da copyright. Quindi con Mega, la crittografia è lì per proteggerli tanto quanto (o più) è lì per proteggere gli utenti. Questo motivo mi rende più propenso a credere che le loro intenzioni siano solo quelle di ospitare file che non possono "vedere".

Ricorda, questa non è una prova di sicurezza, ma piuttosto uno sfondo nella società. Devi stabilire da te chi di cui ti fidi e se un servizio soddisfa i tuoi requisiti di sicurezza. Le aziende di Kim Dotcom sembrano guadagnare i loro soldi dalla violazione del copyright e sarebbe difficile per me fidarmi di un'azienda basata sulla violazione della legge. Tuttavia, credo che dopo il suo arresto nel 2012 è probabile che vada a misure estreme per proteggersi da una ripetizione di quella situazione.

E ovviamente, se vuoi usare Mega ma non ti fidi di loro, puoi sempre crittografare il file te stesso prima di caricarlo.