Incluso el almacenamiento en la nube más seguro puede no serlo tanto

Un estudio reciente de la Universidad Johns Hopkins cuestiona cuán seguras son las tácticas de “conocimiento cero” adoptadas por algunos suministradores de almacenamiento en la nube.

Los servicios cloud de “conocimiento cero” funcionan normalmente almacenando los datos de los clientes de forma cifrada y dando solo a los clientes las claves para descifrarlo, en lugar de que el suministrador tenga acceso a las claves. Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrías ser vulnerables a un ataque que permitiría a los suministradores tener acceso a los datos de los clientes si quisieran.

El estudio arroja dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos de los expertos de que los usuarios deberían conocer en detalle cómo gestionan los suministradores sus datos. Los suministradores cloud de “conocimiento cero” analizados por los investigadores, en este caso Spider Oak, Wuala y Tresorit, utilizan normalmente un método donde los datos son cifrados cuando se almacenan en la nube y son descifrados sólo cuando el usuario los descarga de nuevo de la nube. El modelo es seguro. Pero, los investigadores alertan de que si los datos están compartidos en la nube, lo que significa que son enviados por el servicio en la nube sin que el usuario los baje a su sistema, los suministradores tienen la oportunidad de verlos.

“Siempre que los datos estén compartidos con otro beneficiario en el servicio de almacenamiento en la nube, los suministradores pueden tener acceso a los archivos de los clientes y otros datos” ha afirmado el autor del informe, Duane Wilson, estudiante de doctorado en el Instituto de Seguridad de la Información en el Departamento de Informática de la Universidad Johns Hopkins.

Es normal para estos suministradores tener un servicio intermediario que verifica a los usuarios antes de proporcionar las claves para cifrar los datos. Los investigadores han descubierto que los suministradores a veces proporcionan su propia verificación. Esto representa una oportunidad para los suministradores de potencialmente ofrecer credenciales falsas que descifrarían los datos y permitiría a los suministradores ver la información. Es similar al tradicional ataque de seguridad del “hombre intermediario”.

Los investigadores han afirmado que no encontraron evidencia de datos de clientes que fueran comprometidos, ni han identificado ningún comportamiento sospechoso de los suministradores, pero los investigadores afirman que podría ser una vulnerabilidad. “Aunque no tenemos ninguna evidencia de que ningún suministradores de almacenamiento seguro en la nube esté accediendo a la información privada de sus clientes, queremos que se sepa que esto podría ocurrir fácilmente”, ha afirmado Giuseppe Ateniese, profesor asociado que ha supervisado la investigación. “Es como descubrir que los vecinos han dejado la puerta sin echar la llave. Quizá nadie haya robado nada todavía, pero ¿no creen que les gustaría saber que es muy fácil que puedan entrar los ladrones?

Representantes de Spider Oak, uno de los suministradores mencionados en el informe, afirman que están de acuerdo con algunos aspectos del estudio. Spider Oak anima a los clientes a que utilicen una aplicación para transferir los ficheros en vez de usar el portal web de la compañía. La utilización de la aplicación de Spider Oak asegura la verificación de los usuarios finales para el descifrado de los datos, eliminando la oportunidad de que el suministrador pueda comprometer los datos. Al firmar el servicio de Spider Oak, se requiere a los usuarios que marquen una casilla indicando que comprenden que para conseguir un “conocimiento cero” completo, deben utilizar la aplicación indicada.

Spider Oak dice que espera permitir servicios colaborativos en su plataforma cloud, lo que significa que los datos serían transferidos dentro de su nube. Para permitir esta funcionalidad Spider Oak dice que piensa utilizar una combinación de identificaciones seguras RSA junto con una clave y una plataforma de cifrado. También espera ofrecer a sus usuarios una forma de verificar de forma segura la identidad de cualquiera que esté viendo sus ficheros. Algunos suministradores, como el suministrador de comunicaciones cifradas Silent Circle, utilizar una herramienta de reconocimiento de voz para ofrecer esta funcionalidad, y Spider Oak dice que están investigando formas similares “elegantes” de verificar que los datos son compartidos únicamente con personas aprobadas por el propietario.

Fuente: ComputerWorld.

Claranet adquiere NovaData

La compañía holandesa es la tercera empresa que compra el proveedor de servicios en 2014.

La operación de compra de NovaData por parte de Claranet forma parte de su estrategia de crecimiento, que busca convertirse en un gran proveedor de servicios cloud para pequeñas y medianas empresas de la región. Como resultado de esta adquisición, el Grupo alcanzará ingresos anuales de más de 160 millones de euros, alrededor de 800 empleados, más de 4.500 clientes, 32 data centers y presencia en 6 países europeos (Francia, Reino Unido, Alemania, Países Bajos, España y Portugal).

“La compra de NovaData fortalece nuestro porfolio de servicios de hosting y aplicaciones gestionados en los Países Bajos”, ha explicado Charles Nasser, CEO del Grupo Claranet.

NovaData supone la última de una ola de compras realizadas por la compañía en toda Europa durante los últimos 18 meses, que incluye Star (Reino Unido, 2012), Typhon (Francia, 2012), CGEST (Portugal, 2012) y, más recientemente, Echiron (Portugal, 2014) y Grita (Francia, 2014). NovaData se convierte, así, en la tercera compra de Claranet en este año.

Fundado en 2008 y ubicado en Eindhoven, NovaData es un proveedor de servicios TI focalizado en grandes y medianas empresas e instituciones. El portfolio de NovaData amplía y complementa el de Claranet, por lo que los clientes de la zona se verán beneficiados del bagaje y la oferta de ambas empresas, partners naturales antes de la adquisición. De entre los sectores a los que da servicio NovaData destacan el sanitario, el económico y el de la industria.

Fuente:  ComputerWorld.

Las empresas consideran obsoletas las soluciones actuales de optimización WAN

El 68% de los responsables TI de medianas empresas e instituciones educativas afirma que las soluciones actuales de optimización WAN no son suficientes para manejar la creciente complejidad de las redes corporativas.

Esta es la conclusión de una encuesta realizada por Exinda Networks, que se justifica por el uso cada vez mayor de múltiples dispositivos, desde numerosas localizaciones, así como de infraestructuras en la nube. “Seguimos escuchando de los administradores de sistemas que cada vez es más difícil cumplir con el SLA acordado con el cliente”, afirma Michael Sharma, CEO de Exinda Networks. “A medida que más aplicaciones, dispositivos, usuarios, lugares y actividades inundan la red, nuestros clientes han identificado cinco problemáticas clave del negocio que su solución WAN debe resolver.”

Los resultados de la encuesta identifican cinco retos que una solución WAN debe abordar para satisfacer las demandas del entorno de red actual:

· Asegurar los recursos para aplicaciones críticas: 69%

· Hacer cumplir el uso apropiado de la red: 57%

· Reducción de la velocidad del circuito WAN: 49%

· Localización y resolución de problemas: 34%

· Apoyar proyectos de TI críticos: 20%

La necesidad de abordar estas cuestiones está impulsando a los responsables TI a mirar más allá de las soluciones WAN convencionales que tradicionalmente se utilizan como herramientas independientes para la aceleración del tráfico y la gestión del ancho de banda. Este cambio de dinámica dentro de la red empresarial ha creado la necesidad de que se produzca un enfoque más orientado a las prioridades de TI críticas.

“En la actualidad es necesario un cambio de enfoque para la gestión proactiva de la red”, afirma Zeus Kerravala, analista principal de ZK Research. “Como resultado del aumento de la complejidad de las aplicaciones y de los usuarios, resolver los principales problemas de TI se está convirtiendo en todo un reto. Para afrontar de manera pragmática los problemas de gestión de red, TI necesita pensar más allá de los enfoques WAN tradicionales, que históricamente se han centrado en la aceleración del tráfico. Los administradores de red deben coordinar de manera inteligente todos los aspectos de su entorno WAN”.

Fuente: NetworkWorld.