Nessuno pu\u00f2 negare la praticit\u00e0 dei servizi di archiviazione file nel cloud, come Dropbox o OneDrive. L\u2019unico inconveniente \u00e8 che cybercriminali, agenzie di intelligence o lo stesso provider del servizio di hosting possono visualizzare i file basati sul cloud senza autorizzazione. Ma esiste un\u2019alternativa pi\u00f9 sicura: l\u2019archiviazione di file criptati nel cloud. Talvolta, come nel caso di Signal e di WhatsApp, questa tecnologia viene definita criptaggio end-to-end (E2EE). Stando a quanto dichiarano questi servizi, i file vengono criptati nel dispositivo e inviati al cloud gi\u00e0 in formato protetto: la chiave di criptaggio rimane in possesso del proprietario dei file e nessun altro pu\u00f2 accedervi. Nemmeno il provider del servizio \u00e8 in grado di ottenere queste informazioni. Ma \u00e8 davvero cos\u00ec?<\/p>\n
L\u2019Applied Cryptography Group dell\u2019ETH di Zurigo ha smontato<\/a> gli algoritmi di cinque popolari servizi di archiviazione criptati: Sync.com, pCloud, Icedrive, Seafile e Tresorit. In ognuno di essi, i ricercatori hanno riscontrato errori nell\u2019implementazione del criptaggio che consente, a vari livelli, la manipolazione dei file e persino l\u2019accesso a frammenti di dati non criptati. In precedenza avevano scoperto difetti in altri due noti servizi di hosting: MEGA<\/a> e Nextcloud<\/a>.<\/p>\n In tutti i casi, gli attacchi vengono eseguiti da un server dannoso. Lo scenario \u00e8 il seguente: gli autori dell\u2019attacco manomettono i server di hosting criptati oppure, manipolando i router lungo il percorso dal client al server, forzano il computer della vittima a connettersi a un altro server che imita il server di hosting criptato autentico. Se questa difficile manovra ha successo, gli autori degli attacchi possono teoricamente:<\/p>\n Il server dannoso in ogni caso \u00e8 un componente dell\u2019attacco difficile da implementare ma non creativo. Alla luce dei cyberattacchi contro Microsoft<\/a> e Twilio<\/a>, la possibilit\u00e0 che venga compromessa un\u2019azienda importante \u00e8 reale. Inoltre, naturalmente, E2EE per definizione deve essere resistente ad azioni dannose sul lato server.<\/p>\n Senza entrare nei dettagli tecnici, va osservato che gli sviluppatori di tutti i servizi sembrano aver implementato E2EE in piena regola e utilizzato algoritmi affidabili e riconosciuti come AES e RSA. Il criptaggio dei file, tuttavia, crea molte difficolt\u00e0 tecniche nei casi di collaborazione e creazione condivisa di documenti. Le attivit\u00e0 richieste per superare queste difficolt\u00e0 e tenere conto di tutti i possibili attacchi che coinvolgono chiavi di criptaggio modificate rimangono irrisolte, ma Tresorit ha svolto un lavoro di gran lunga migliore di chiunque altro.<\/p>\n I ricercatori sottolineano che gli sviluppatori dei vari servizi hanno commesso errori molto simili in modo indipendente. Questo significa che l\u2019implementazione dell\u2019archiviazione criptata nel cloud comporta sfumature non banali in termini di crittografia. \u00c8 necessario un protocollo ben sviluppato e testato a fondo dalla comunit\u00e0 crittografica, come TLS per i siti Web o Signal Protocol per la messaggistica istantanea.<\/p>\n Il problema principale con la correzione dei bug identificati \u00e8 che non solo le applicazioni e il software del server devono essere aggiornati, ma anche, in molti casi, i file salvati dall\u2019utente devono essere nuovamente criptati. Non tutti i provider di hosting possono permettersi queste enormi spese di elaborazione. Inoltre, eseguire nuovamente il criptaggio \u00e8 possibile solo in collaborazione con ciascun utente, non unilateralmente. Questo \u00e8 forse il motivo per cui le correzioni tardano ad arrivare:<\/a><\/p>\n Sebbene le problematiche individuate dall\u2019Applied Cryptography Group non possano essere definite puramente teoriche, non rappresentano una minaccia di massa prontamente sfruttabile dai cybercriminali. Pertanto, non \u00e8 necessario agire in modo affrettato. \u00c8 piuttosto necessaria una valutazione approfondita della situazione:<\/p>\n Se la collaborazione non \u00e8 importante, mentre i dati archiviati sono critici, l\u2019opzione migliore consiste nel passare al criptaggio dei file in locale. \u00c8 possibile eseguire questa operazione in vari modi, ad esempio archiviando i dati in un file contenitore criptato o in un archivio con una password complessa. Se \u00e8 necessario trasferire i dati a un altro dispositivo, \u00e8 possibile caricare un archivio gi\u00e0 criptato nel servizio di hosting cloud.<\/p>\n Se si desidera combinare collaborazione e praticit\u00e0 con adeguate garanzie di sicurezza e la quantit\u00e0 di dati archiviati non \u00e8 eccezionale, vale la pena spostare i dati in uno dei servizi che ha resistito meglio ai test di ETH Zurich. Questo significa innanzitutto Tresorit, anche MEGA e Nextcloud.<\/p>\n Se nessuna di queste soluzioni soddisfa le aspettative, \u00e8 possibile optare per altri servizi di hosting criptato, ma con ulteriori precauzioni: evitare di memorizzare dati altamente sensibili, aggiornare tempestivamente le applicazioni client, controllare periodicamente le unit\u00e0 cloud ed eliminare le informazioni obsolete o estranee.<\/p>\n\n
Correzioni costose<\/h2>\n
\n
Cosa devono fare gli utenti<\/h2>\n
\n