A Yahoo! bejelentette, hogy a jövőben, 2014 márciusától minden felhasználói információt titkosítva továbbítanak adatközpontjaik között, miután kiderült, hogy az amerikai nemzetbiztonsági ügynökség (National Security Agency – NSA) hozzáfért az adatfolyamhoz. Az elektronikus levelezésnél még hamarabb lépnek, a jövő év januárjától a tervek szerint ez is titkosított formában zajlik. A bejelentésben a Google-tól a Yahoo!-hoz igazolt vezető, Marissa Mayer nyomatékosította, hogy a vállalat maga sohasem adott hozzáférést semmilyen kormányzati szervnek adatközpontjaiban. (A Google még júniusban megkezdte saját szisztémájában az adatközpontok közötti csatorna titkosításának implementálását.)

Rés a felhőn

Az Edward Snowden által eddig kiszivárogtatott dokumentumok közül a legnagyobb port talán az verte fel eddig, amelyből kiderült, hogy legalább két nagy szolgáltató, a Google és a Yahoo! esetében az NSA a vállalatok tudta nélkül rácsatlakozott a cégek adatközpontjai közti kommunikációt biztosító kábelekre, és mivel itt nem volt titkosított az adatáramlás, gyakorlatilag bármihez hozzáférhettek. Mint a legutóbbi EU-s meghallgatáson kiderült, az egész iparágban ez a gyakorlat, mivel a Microsoft képviselője is elismerte a parlamenti képviselők előtt, hogy ők sem titkosítják a server-to-server kommunikációt – ugyanakkor Dorothee Belz utalt arra, hogy már dolgoznak a változtatáson.

Sok a sebezhető pont

A netes kommunikációban három fázisban lehet védeni az adatokat a külső megfigyelőktől: a felhasználó a gépén óvja az információkat (megpróbálja kizárni a behatolókat, illetve az adatokat titkosítva tárolja), a felhasználó a szolgáltatója és a gépe közötti csatornán is védi az adatokat titkosítással, illetve a szolgáltatónak is hasonlóképp kell tennie a saját rendszerén belül. Szolgáltatói oldalról nézve a Yahoo! és a többi hasonló cég eddig is azt állította, hogy mindent megtesznek a védelem érdekében, de kiderült, hogy volt egy gyenge pont, az adatközpontok közti kommunikáció, hiszen hiába védték a rendszeren belül az adatokat, ha két, fizikailag máshol fekvő adatközpont közti információcserénél a csatornán védtelenül haladták át az adatok.

A mostani bejelentés szerint ez utóbbit orvosolni fogják, emellett felkínálnak egy lehetőséget a felhasználóknak, hogy a Yahoo! és a saját számítógépük között is titkosított információcserét folytathassanak.

Ez még nem elég

Az bizonyos, hogy a korábbi állapotokhoz képest ezt előrelépés, de – jegyezte meg egy szakértő a BBC kérdésére – első ránézésre nem lehet megmondani, hogy mennyire lesz sikeres a védekezés. Az valószínű, hogy egy mezei hacker ellen hatásos, ám hogy egy kormányzati hackercsapatot vagy egy hasonló felkészültségű bűnözői csoportot megállítsanak, ahhoz minőségi, nagy biztonságot nyújtó titkosításra lesz szükség.

Ez persze még nem minden, a biztonság még messze. Egyrészt a felhasználókra önmagában nem alapozhatunk. Abban biztosak lehetünk, hogy a felhasználók döntő többsége érdeklődés és hozzáértés hiányában nem fogja titkosítani sem a gépen tárolt adatait, sem a netes kommunikációját. Ez legfeljebb akkor lenne járható út, ha ez automatikusan történne meg.

A másik oldal pedig? Nos, ahogy Buherator írta a botrány kapcsán, „a felhőbe nem látunk bele”. Vagyis még akkor is létezhetnek súlyos rések, ha egyébként a felhőszolgáltatók valóban elkötelezettek és minden megtesznek a biztonság érdekében (elvileg igen, hiszen a bizalom elvesztése csődbe viheti az adott vállalkozást). De ők magáncégek, ahol egyéb szempontok is dominálnak, hiszen csak most derült ki, hogy a legnagyobbak sem használtak az adatközpontok közötti kommunikációban titkosítást – egyrészt valószínűleg azért, mert el sem tudták képzelni a fizikai behatolást (az adatközpontokat egyébként magas szinten védik fizikailag is, de az NSA-rácsatlakozás a bérelt vonalon történt valahol), másrészt pedig költséghatékonysági szempontból.

Szinte biztos, hogy a Snowden.botrány után újabb szabályozásbeli szigorítások következnek, ám az persze kérdés, milyen hatásfokkal járnak majd ezek.