Kako bi šifriranje moglo zaustaviti izlaganje osobnih podataka u oblaku
Oblak curi vaše podatke poput ludih. Što zajedničko imaju peruanski lanac kino-usluga i usluga plaćanja američkih ambulantnih kanabisa? Nezaštićene baze podataka. U odvojenim incidentima ovog mjeseca, osjetljivi podaci o klijentima iz Cineplaneta u Peruu i THSuitea u SAD-u pronađeni su izloženi na oblačnim poslužiteljima bez zaštite lozinke. Stručnjaci za krađu identiteta kažu da je globalni trend izlaganja jednako važan kao i hakeri koji kradu podatke.
Da bi olakšali problem, proizvođači softvera baze podataka pokušavali su olakšati sigurnost upraviteljima baza podataka u oblaku. U ponedjeljak će Kenn White, glavni sigurnosni direktor proizvođača softvera za baze podataka MongoDB, opisati novu tehniku, koja se naziva šifriranje na razini polja, kako bi podaci bili sigurniji u oblaku. Istraživanje će biti predstavljeno na Enigma konferenciji u San Franciscu.
Šifriranje na razini polja funkcionira tako da šifrira podatke prije slanja u oblačnu bazu podataka i uklanjajući ih kod uklanjanja podataka. Obećanje proizvoda je zaštititi sadržaj baze podataka u oblaku, čak i ako mu negativci pristupe. Značajka je dostupna na MongoDB-ovom otvorenom proizvodu od prosinca, kao i klijentima korporativnih proizvoda tvrtke.
Nova značajka MongoDB-a dolazi s obzirom na to da sve više tvrtki prebacuje korisničke podatke na cloud servere umjesto da pokreću svoje skupe podatkovne centre. U travnju je Gartner projicirao da će računalstvo u oblaku biti industrija od 214 milijardi dolara do kraja 2019. To je više od 17% u odnosu na 2018. godinu, kada je iznosila 182 milijarde dolara.
Tvrtke su pojurile u oblak ne razumjevši sve sigurnosne implikacije. Mnoge tvrtke ostavile su bezbroj baza podataka otkrivajući osobne podatke koji su uključivali zapise iz centara za rehabilitaciju droga. Baza podataka koja sadrži detalje o tome tko živi u 80 milijuna američkih kućanstava ostala je nezaštićena 2019. godine, kao i podaci o korisnicima Facebooka i predviđenim plaćama tražitelja posla.
Naizgled beskrajna izlaganja – rezultat neuspjeha u zaštiti lozinke baze podataka – nadahnula su vojsku istraživača sigurnosti koji traže lov na bezbroj izloženih baza podataka koje sadrže brojeve socijalnog osiguranja, lozinke, osobnu povijest i druge detalje koji ne bi trebali biti dostupni samo svima s internetskom vezom.
Podaci u oblaku trebali bi prema zadanim postavkama biti zaštićeni lozinkom, kaže Chris Vickery, sigurnosni istraživač koji traži izloženost baze podataka na UpGuardu. Međutim, često nije.
“Danas ima toliko različitih platformi”, rekao je Vickery. “Od jednog do drugog imat ćete različite razine zadane sigurnosti.”
Ponekad će osoba koja postavlja bazu podataka u oblaku nenamjerno isključiti zaštitu lozinkom, rekao je White, izvršni direktor MongoDB-a.
Maksimalna sigurnosna pohrana
MongoDBova enkripcija na razini polja mogla bi potaknuti neke tvrtke koje ne koriste oblak da to razmotre. Velike tvrtke oprezno su stavljanje financijskih ili zdravstvenih informacija u oblak jer izloženost tih informacija u Americi nosi visoke kazne. U nekim slučajevima tvrtkama uopće nije zakonski dopušteno dijeljenje podataka s pružateljima usluga oblaka.
Šifriranje na razini polja to bi moglo promijeniti jer tvrtke ne bi dijelile podatke. Umjesto toga, oni bi dijelili niz nerazumljivih znakova koji se mogu rašifrirati samo pomoću ključa za enkripciju pohranjenog na strojevima tvrtki. MongoDB je već registrirao Apervita, procesor medicinskih podataka i podataka na recept za korištenje ove značajke.
MongoDB je projektu posvetio 24 inženjera, koji su trajali dvije godine. Softver s otvorenim kodom popularan je – preuzet je više od 80 milijuna puta – jer se može koristiti za izgradnju virtualnih baza podataka koje rade na mnogim platformama, uključujući Windows i Linux strojeve. Kompatibilan je s procesorima na prijenosnim računalima i mobilnim telefonima, a interoperabilan je s više desetaka programskih jezika.
Široka upotreba MongoDB stvorila je izazov inženjerima koji su morali izgraditi značajku koja korisnicima omogućuje pohranjivanje i pretraživanje šifriranih podataka koje neometano rade sa svim hardverom, operativnim sustavima i programskim jezicima koje podržava MongoDB. White je to nazvao “ludom količinom kombinacija”.
Što ga čini upotrebljivim
Šifriranje razine polja rješava paradoks. Menadžeri baza podataka žele pohraniti svoje podatke u nečitljiv format, ali također žele biti u stanju pronaći određene podatke u bazi podataka jednostavnim upitom za pretraživanje. Na primjer, netko bi mogao potražiti pacijente u zdravstvu prema njihovim brojevima socijalnog osiguranja, čak i ako su ti brojevi pohranjeni kao slučajni znakovi.
Da bi se to omogućilo, enkripcija na razini polja omogućuje upraviteljima baza podataka da kriptiraju pojam za pretraživanje na svom računalu i pošalju ga u bazu podataka kao upit. Baza podataka odgovara šifriranoj verziji pojma za pretraživanje s zapisom koji pohranjuje, a zatim ga vraća natrag.
Ovaj pristup djeluje samo s određenim vrstama podataka. Napadači bi mogli razbiti šifriranje kada baza podataka informacije koje imaju samo relativno mali broj potencijalnih vrijednosti, poput spolnih ili državnih kodova, primjećujući ponavljajuće obrasce u cijelom skupu podataka. Šifriranje na razini polja također nije korisno za unos dugog teksta, poput bilješki u medicinskoj karti pacijenta, jer ne možete pretraživati pojedinačne riječi.
Ipak, za podatke poput brojeva računa, lozinki i vladinih ID brojeva, enkripcija na razini polja štiti podatke i održava upotrebljivu bazu podataka.
Ono što je najvažnije, rekao je White, jednostavno je postaviti. Upravitelji baza podataka uključe je jednokratnom promjenom konfiguracije kad postave bazu podataka.
“To je zaista moćno”