Tag almacenamiento y sincronización

Amenazas a los datos almacenados en Sync, pCloud y otras alternativas cifradas a Dropbox.

Resulta innegable la comodidad de los servicios de almacenamiento de archivos en la nube como Dropbox o OneDrive. El único inconveniente es que los ciberdelincuentes, los organismos de inteligencia o el propio proveedor de alojamiento pueden ver tus archivos guardados en la nube sin necesidad de autorización. Pero hay una alternativa más segura: el almacenamiento de archivos cifrados en la nube. Hay quien lo denomina cifrado de extremo a extremo (E2EE), y es similar al funcionamiento de Signal o WhatsApp. Según la propaganda de marketing, los archivos se cifran en tu dispositivo y se envían a la nube ya de forma segura: la clave de cifrado permanece en tu poder y en el de nadie más. Ni siquiera el proveedor puede acceder a esa información. ¿Pero es así realmente?

Cifrado como un queso suizo

El Grupo de Criptografía Aplicada de ETH Zurich analizó los algoritmos de cinco populares servicios de almacenamiento cifrado: Sync.com, pCloud, Icedrive, Seafile y Tresorit. En cada uno de ellos, los investigadores encontraron errores en la implementación del cifrado que permitían, en diversos grados, la manipulación de los archivos e, incluso, el acceso a fragmentos de datos no cifrados. Anteriormente ya habían descubierto fallos en otros dos conocidos servicios de alojamiento: MEGA y Nextcloud.

En todos los casos, los ataques se llevan a cabo desde un servidor malicioso. El escenario es el siguiente: los intrusos piratean los servidores de alojamiento cifrado o, al manipular los enrutadores a lo largo de la ruta del cliente al servidor, obligan al ordenador de la víctima a conectarse a otro servidor que imita al servidor de alojamiento cifrado auténtico. Si esta complicada maniobra tiene éxito, los atacantes en teoría podrían hacer lo siguiente:

• En el caso de com, añadir carpetas y archivos con información incriminatoria y cambiar los nombres de los archivos y los metadatos de la información almacenada. Además, el servidor pirateado puede enviar nuevas claves de cifrado al cliente y, posteriormente, descifrar cualquier archivo descargado. Igualmente, la función integrada para compartir permite al servidor malicioso descifrar cualquier archivo compartido por la víctima, ya que la clave de descifrado está incluida en el enlace que se envía al acceder al servidor.
• En el caso de pCloud, añadir archivos y carpetas, mover archivos arbitrariamente y cambiar el nombres de los archivos, eliminar fragmentos de archivos y descifrar los archivos descargados después del pirateo.
• En el caso de Seafile, obligar al cliente a utilizar una versión anterior del protocolo, lo que facilita los ataques de fuerza bruta para descifrar las contraseñas, intercambiar o eliminar fragmentos de archivos, añadir archivos y carpetas, y editar los metadatos de los archivos.
• En el caso de Icedrive, añadir archivos que sean fragmentos de otros archivos ya cargados a la nube, cambiar el nombre y la ubicación de los archivos almacenados, y reordenar los fragmentos de los archivos.
• En el caso de Tresorit, manipular los metadatos de los archivos almacenados, incluida su autoría.
• En el caso de Nextcloud, manipular las claves de cifrado, lo que permite descifrar los archivos descargados.
• En el caso de MEGA, restaurar las claves de cifrado y descifrar así cualquier archivo. También es posible añadir archivos incriminatorios.

En cada caso, el servidor malicioso es un componente del ataque difícil de implementar, pero no puede afirmarse que sea imposible. A la luz de los ciberataques contra Microsoft y Twilio, la posibilidad de que un servicio importante se vea comprometido es real. Y, por supuesto, el E2EE debe ser por definición resistente a las acciones maliciosas del lado del servidor.

Sin entrar en detalles técnicos, observamos que los desarrolladores de todos los servicios parecen haber implementado el E2EE de buena fe y emplean algoritmos robustos y reconocidos como AES y RSA. Pero el cifrado de archivos crea muchas dificultades técnicas en lo que respecta a la colaboración y la coautoría de los documentos. Las tareas necesarias para superar estas dificultades y tener en cuenta todos los posibles ataques relacionados con claves de cifrado modificadas siguen sin resolverse, pero Tresorit es quien mejor trabajo ha hecho.

Los investigadores señalan que los desarrolladores de los distintos servicios cometieron errores muy similares de forma independiente unos de otros. Esto significa que la implementación del almacenamiento en la nube cifrado está plagada de matices criptográficos no triviales. Lo que se necesita es un protocolo bien desarrollado sometido a pruebas exhaustivas por la comunidad criptográfica, como TLS para sitios web o el Protocolo de señal para los servicios de mensajería instantánea.

Arreglos costosos

El mayor problema de la reparación de los errores identificados es que no solo es necesario actualizar las aplicaciones y el software del servidor, sino que también, en muchos casos, es necesario volver a cifrar los archivos guardados por los usuarios. No todos los proveedores de alojamiento pueden permitirse este enorme gasto computacional. Además, el nuevo cifrado solo es posible en cooperación con cada usuario, por lo que no puede hacerse de forma unilateral. Esa es la razón por la que probablemente las correcciones tardan en llegar:

• com respondió a los investigadores después de seis meses, y solo una vez que habían aparecido los informes en la prensa. Tras haber reaccionado finalmente, anunciaron una solución para el problema de la pérdida de claves al compartir enlaces, y dijeron que también corregirían el resto de fallos, pero sin mencionar el plazo en que lo harían.
• Tresorit prometió solucionar el problema en 2025 (pero el problema es menos grave para ellos).
• Seafile solucionó el problema de la degradación de la versión del protocolo sin comentar nada sobre el resto de fallos.
• Icedrive decidió no abordar los problemas identificados.
• pCloud no respondió a los investigadores hasta que no aparecieron los informes en la prensa. Fue entonces cuando afirmó que los ataques son teóricos y que no requieren una acción inmediata.
• Nextcloud solucionó el problema y modificó en gran medida el enfoque general del E2EE en la versión 3.12. El esquema de cifrado actualizado aún no se ha analizado.
• MEGA redujo significativamente la probabilidad de un ataque al introducir comprobaciones del lado del cliente.

Qué deben hacer los usuarios

Si bien los problemas identificados por el Grupo de Criptografía Aplicada no pueden considerarse puramente teóricos, no representan una amenaza masiva que los ciberdelincuentes puedan explotar fácilmente. Por lo tanto, no es necesario adoptar medidas de manera apresurada; más bien, el usuario debería hacer una evaluación detenida de su situación:

• ¿Cómo de sensibles son los datos que tiene en el almacenamiento y cómo de tentadores son para terceras personas?
• ¿Cuántos datos almacena en el servicio cifrado? ¿Resultaría sencillo moverlos a otro?
• ¿Qué importancia tienen las funciones de colaboración y para compartir archivos?

Si la colaboración no es importante y los datos almacenados son críticos, la mejor opción es pasarse al cifrado local de los archivos. Puedes hacerlo de varias maneras, por ejemplo, almacenando los datos en un archivo contenedor cifrado o en un archivo comprimido con una contraseña segura. Si necesitas transferir datos a otro dispositivo, puedes cargar un archivo ya cifrado al servicio de alojamiento en la nube.

Si quieres combinar la colaboración y la comodidad con unas garantías de seguridad adecuadas, y la cantidad de datos almacenados no es tan grande, merece la pena mover los datos a uno de los servicios que resistió mejor las pruebas de ETH Zurich. Tresorit sería entonces la primera opción, pero tampoco hay que descartar MEGA o Nextcloud.

Si ninguna de estas soluciones se ajusta a tus necesidades, puedes optar por otros servicios de alojamiento cifrado, pero tomando precauciones adicionales, como por ejemplo: no almacenar datos muy confidenciales, actualizar siempre las aplicaciones cliente, comprobar periódicamente tus unidades en la nube y eliminar la información obsoleta o superflua.

En cualquier caso, recuerda que el ataque más probable contra tus datos será a través de un ladrón de información que simplemente comprometerá tu ordenador o tu teléfono. Por eso, el alojamiento cifrado debe ir de la mano de una protección antimalware integral para todos los teléfonos y ordenadores.

Fuente: latam.kaspersky.com

Llega la versión estable de Insync 3, la renovada aplicación de sincronización de archivos gracias a la cual usar Google Drive en Linux es coser y cantar. Pero no solo de la nube de Google vive el linuxero y con este lanzamiento se estrena una anunciada y esperada característica: soporte para Microsoft OneDrive.

Lo primero y más importante es que los usuarios de Insync 1.5, la hasta ahora versión estable del cliente, deben fijarse en un par de detalles antes de actualizar a Insync 3, para lo cual se ha publicado una sencilla guía de migración que conviene repasar para evitar problemas.

El porqué del salto de versión lo explican con que Insync 2 fue la versión en desarrollo y para esta nueva han rehecho el motor de sincronización, llamado Core 3 y escrito en Python 3. Sus ventajas, facilidad para añadir nuevas características más fácilmente, lanzar nueva versiones y cazar errores más rápidamente, además de ofrecer una sincronización más fiable y rápida.

Pero sin duda la gran novedad de Insync 3 es el soporte de OneDrive, incluyendo OneDrive for Business y SharePoint. La razón es que si bien existen alternativas para usar el servicio de Microsoft en Linux, no son especialmente accesibles para el usuario que no quiere liarse con configuraciones intrincadas. Es lo mismo que sucede con Google Drive, y en ambos casos Insync ha sabido proponer una solución que no implica quebraderos de cabeza.

Por lo demás, Insync 3 trae diferentes mejoras de usabilidad y personalización con la sincronización selectiva, las carpetas predeterminadas, así como optimizaciones a nivel visual. Más información en el anuncio oficial.

Por último, os recordamos que Insync es software de pago único por cuenta (29,99 dólares euros), pero si dependéis de los servicios mencionados, vale la pena porque va muy bien y tiene muchas opciones interesantes, según podéis ver en la página de descarga. Otro dato a tener en consideración es que Insync es software privativo, pero lleva mucho tiempo de actividad, está aceptado por Google y utiliza autenticación segura.

Servicios de almacenamiento y sincronización de archivos en la nube con soporte para Linux hay unos cuantos, pero siguen faltando dos de los más populares del mercado: Google Drive y Microsoft OneDrive, cuyos respectivos propietarios ignoran por norma al sistema por el que tanto amor profesan para otras cosas. Es por ello que Insync es tan apreciado por estos lares.

Fuente: www.muylinux.com

Nextcloud anuncia una novedad largamente esperada: cifrado de extremo a extremo, de manera que los archivos alojados solo pueden ser descifrados por el propietario de los mismos.

Según cuentan en el blog de Nextcloud el cifrado de extremo a extremo es la característica más demandada de su historia, contando desde el lanzamiento de ownCloud. Pues bien, por fin está aquí y no es necesario reinstalar la nube debido a la forma en la que lo han implementado. En esencia, el cifrado llega vía aplicaciones para Nextcloud, Android, iOS y clientes de sincronización de escritorio.

Para quien precise de la explicación, tanto si se instala Nextcloud en un servidor propio como si se contrata como servicio a un proveedor, el tráfico entre los clientes del usuario y el servidor están siempre cifrados mediante HTTPS/TLS/SSL, pero solo durante el tránsito. Una vez almacenados, los archivos pueden ser leídos, por ejemplo, por los administradores del servidor.

Tanto Nextcloud como ownCloud ofrecen además una segunda capa de cifrado opcional, por lo que si alguien accediera al servidor sin las claves encontrarías archivos cifrados. Sin embargo, los administradores podrían seguir accediendo a los archivos ya que las claves se almacenan en el servidor. Para aportar una mayor privacidad existe el cifrado de extremo a extremo, de punto a punto o, más en llano, el cifrado en el lado del cliente.

El método es sencillo: la aplicación que se está utilizando para subir los archivos, en local y sin transmitir los datos hacia afuera, los cifra con una contraseña que solo el usuario conoce, y lo único que se envía al servidor es un archivo cifrado. Si el usuario pierde la contraseña, pierde el acceso al contenido original del archivo. ¿Y cómo de fiable es este método? Todo lo posible, a tenor de que todo el software de Netxcloud es libre.

No obstante, Nextcloud no solo es una nube para almacenar archivos, sino una completa suite de aplicaciones al estilo Google o Microsoft que dispone de multitud de extensiones para multimedia, ofimática, organización, etc. Y este nuevo cifrado no llega a tanto. La implementación es interesante: permite crear directorios cifrados y todo lo que se meta en ellos, cifrado quedará, pero sin acceso por web.

Cabe mencionar que este es el primer paso en el cifrado de extremo a extremo, que está en modo de pruebas y que el cambio entraña otras implicaciones a nivel técnico. Se echa en falta algo más completo, es verdad. A ser posible, que el cifrado incluyese todos los contenidos de la nube, como los documentos, las imágenes, los datos de las aplicaciones de productividad, etc. Quizás sea demasiado pedir, pese a que existen alternativas que lo ofrecen.

Sin embargo, los desarrolladores de Nextcloud han puesto por delante de cualquier otra consideración la seguridad, prescindiendo de integrar acceso desde el navegador. Así lo explican:

Ahora mismo el cifrado de extremo a extremo con sincronización y compartición de archivos es comprometido. Las interfaces web o aún no están disponibles o están comprometidas con un descifrado en el navegador que se realiza con código no confiable proveniente del servidor […] Otras soluciones requieren que los usuarios compartan una contraseña para permitir el uso compartido (sin ninguna forma de administrar y sobre todo revocar los derechos de acceso) o confiar en herramientas de terceros que requieren volver a cifrar y volver a cargar archivos todo el tiempo.

Nextcloud es el primer proveedor en introducir una solución de grado empresarial perfectamente integrada para cifrar de extremo a extremo en un producto de sincronización y compartición de archivos.

Sin duda se trata de una novedad destacada y según la pretenden implementar suma interés a la opción de contratar una nube con Nextcloud, en lugar de montársela y mantenerla uno mismo. Porque esto no está al alcance de la mayoría de la gente. Por el contrario, cada vez hay más proveedores especializados que ofrecen planes asequibles para utilizar Nextcloud como servicio, y el cifrado de extremo a extremo añade un plus a valorar para el usuario que se preocupa por su privacidad, pero que prefiere que se lo den todo hecho.

Fuente: www.muylinux.com

Voy a suponer que no hace falta que os diga qué es MEGA, el servicio de almacenamiento en la nube cifrado a cal y canto que lanzó Kim Dotcom a principios de 2013 y del que se desligó apenas unos meses después. De hecho, este agosto hablamos de él a razón de la privacidad por unos dimes y diretes que como suele suceder, no han llegado a ningún sitio.

Como voy a suponer que conocéis MEGAsync, el cliente de sincronización de archivos para PC, disponible para Linux desde el año pasado. Un excelente reemplazo a soluciones tipo Dropbox o Google Drive, y es que más allá de los 50 GB de espacio gratuitos, el cifrado en el lado del cliente y tal, MEGAsync es la aplicación de su categoría más ligera que podáis encontrar, y eso es un plus.

Pero dejo de suponer, porque estoy seguro de que lo que os voy a contar ahora muchos lo sabéis, pero a lo mejor no lo recordáis: MEGAsync da un soporte muy digno a GNU/Linux. A día de hoy ofrece instaladores para Arch Linux, CentOS 6 y 7, Debian 7 y 8, Fedora 19, 20, 21, 22 y 23, RHEL 7, openSUSE 12.2, 12.3, 13.1, 13.2, Leap 42.1 y Tumbleweed, y por descontado para Ubuntu de la 12.04 en adelante. Además, el instalador de MEGAsync agrega un repositorio con el que mantener actualizada fácilmente la aplicación.

En la página de descargas tenéis todas las opciones disponibles, aunque no siempre es así. No está de más mirar directamente en el respositorio para Linux, porque en ocasiones se puede escapar algo (desde una sesión de incógnito u otro navegador, si tenéis instalado el complemento para navegadores).

¿Por qué os cuento algo tan obvio? Por un comentario que leí ayer en la guía de openSUSE Leap y me temo que no será el único. Veréis: hasta la semana pasada no había forma humana de instalar MEGAsync en openSUSE Tumbleweed… o más bien la había, porque los instaladores de versiones anteriores -incluso los de Fedora- se instalaban sin problemas, pero con un terrible error de ejecución. La situación duró al menos un par de meses.

Yo mismo les mandé una queja a los desarrolladores e imagino que no fui el único. Total, con el lanzamiento de openSUSE Leap despertaron del letargo y habemus soporte. Lo cierto es que han sido muy rápidos con las últimas versiones de Ubuntu, Fedora y openSUSE, y por la cantidad de versiones que mantienen podemos decir que se están portando con Linux. Les falta liberar ciertas cosillas por ahí y estaremos conformes del todo.

Fuente: www.muylinux.com

Ayer os contamos una parte y hoy, siguiendo el aviso de un lector, os contamos la otra. Tras las palabras de Kim Dotcom acerca de Mega, la compañía se defiende y contraataca (lee primero la noticia enlazada si te quieres enterar bien).

La historia está al completo en TorrentFreak, donde repasan la postura de Dotcom con detalle más allá de las declaraciones que recogimos ayer. Cabe recordar, entre otros hechos, que la salida pública de Mega en Nueva Zelanda no fue posible precisamente por intervención del Gobierno del país, al que Dotcom alinea en todo momento con los intereses de Hollywood, y a juzgar por las presiones que ha recibido desde que llegó allí y emprendió su nueva aventura en la nube, algo de eso hay. Aunque más que alinearse con el lobbycinematográfico, el Gobierno neozelandés toma partido por Estados Unidos, donde Dotcom aún tiene causa pendiente por Megaupload, a la que se sumó la congelación de un fideicomiso que éste reservaba para sus hijos de un total del 6% de participación en la empresa, previa solicitud de cinco estudios de cine de Hollywood.

En resumen, desde que Mega viese la luz se ha visto sometida a toda clase de presiones. Un ejemplo relevante es la retirada del soporte para cobrar pagos por ampliación de almacenamiento mediante tarjeta de crédito, incluso con sistemas como PayPal. Así, a pesar de que las intenciones de salir a Bolsa las traían desde sus inicios, con el paso del tiempo se había hecho más importante de cara a asentarse y expandirse. El frustrado intento del año pasado, que ni siquiera fue directo, pues tuvieron que realizar una rocambolesca operación de, como se diría en España, compra “en diferido” de una empresa que ya cotizaba, fue bloqueado en última instancia. Volverán a intentarlo en el próximo año.

Mientras tanto la compañía necesita liquidez, la cual ha llegado a través de varias rondas de financiación. De esta forma se dio la “OPA hostil de un inversor chino” que Dotcom denunciaba, sin contarlo todo. Y es que ese inversor chino, William Yan, era accionista de Mega desde el principio y Kim Dotcom lo sabía. Lo que afirmó no sabercuando se destapó el escándalo sobre este tipo, es que era un fugitivo buscado por la Interpol que se ocultaba en Nueva Zelanda por un fraude de 129 millones de dólares. Así, las acciones de Mega pertenecientes a William Yan pasaron a manos del Gobierno, que bloqueó cualquier movimiento.

Toda esta película llevó a la compañía prácticamente a la bancarrota, obligándola a conseguir capital a una muy baja valoración. Los cambios dejan en entredicho la fiabilidad del proyecto, en opinión de Kim Dotcom. La postura de Mega es otra.

Graham Gaylard, actual CEO de Mega, sostiene que como cualquier compañía de nueva creación han pasado por varias rondas de inversión, las últimas apoyadas por más del 75% de los accionistas. Por lo tanto descarta que haya habido ninguna adquisición hostil, en contra de lo que dice Dotcom. “Mega es una empresa de Nueva Zelanda de propiedad privada por 17 inversionistas locales e internacionales” indica, y advierte que no son parte en ninguno de los procedimientos judiciales en los que andan envueltos algunos accionistas, y que “las autoridades no se han opuesto o interferido en cualquiera de las operaciones de Mega”.

Con respecto a la fiabilidad del servicio Gaylard asegura que su compromiso con la privacidad y libertad en Internet es el mismo de siempre y recuerda que aunque Kim Dotcom fue cofundador, nunca estuvo involucrado en el diseño e implementación de la tecnología, y desde su renuncia como director hace ahora dos años “no ha tenido ningún papel directivo desde entonces“. “Mega no está de acuerdo con ciertos comentarios públicos del Sr. Dotcom”, agrega el portavoz de la compañía, que también entra en otras críticas.

Mega se defiende poniendo por delante el software, cuyo kit de desarrollo está disponible como Open Source; y no se les olvida tampoco mencionar que “el código de cifrado de Mega ha sido examinado por varios expertos internacionales, entre ellos el Instituto Nacional de Ciberseguridad español (INCIBE), sin haber encontrado defectos“; como tampoco pasan por alto las quejas por las promesas incumplidas, sin matizar cuándo las cumplirán: “el código fuente de las aplicaciones móviles y MEGAsync se publicará en el momento oportuno“, dicen.

Y concluyen: “Mega ve los comentarios difamatorios del Sr. Dotcom como egoístas y diseñado simplemente para [promover] su supuesto nuevo negocio“.

Así está el panorama ahora, y apenas hemos rascado la superficie. ¿Qué parte tiene la razón? Ni idea. Pero el golpe dado por Kim Dotcom es fuerte, porque ha sido la imagen del servicio hasta hace unos meses. Por el otro lado, las alegaciones de Mega son legítimas mientras no se demuestre lo contrario, y en esas están. Lo único que cabe es exigir una pronta liberación del código fuente de los clientes de escritorio y móviles: aludiendo a una cita de Linus Torvalds, hablar es barato.

Fuente: www.muylinux.com