Category: Grote Themas
Zó veilig is Stack, volgens TransIP
Gisteren vroeg ik me af hoe veilig Stack, die nieuwe clouddienst van transIP, eigenlijk was. Ik mailde ze mijn vragen en kreeg direct antwoord:
Beste Lykle,
Laat ik allereerst beginnen met dat ik het ontzettend leuk vind dat je zoveel interesse toont! Het is voor ons altijd een belangrijke drijfveer geweest om geïnformeerde mensen als jij aan te spreken. 🙂
Voor wat betreft je vragen, deze zal ik puntsgewijs proberen te beantwoorden. Let wel dat ik niet de meest technische persoon op aarde ben, dus vergeef me mijn omissies en fouten. Onze techneuten liggen inmiddels een beetje bij te komen van de helse drukte van de afgelopen dagen…
De fysieke opslag van STACK gebeurt op ons eigen ontwikkelde hardware platform. Deze zelfontworpen machines draaien op Solaris zodat we gebruik kunnen maken van ZFS. Hier bovenop hebben we zelf een software laag ontwikkeld voor monitoring, migraties, redundantie, back-ups, etc. De front-end kant, dus zeg maar de filebrowser en de apps, zijn rebranded van OwnCloud.
Wij hebben de keys onder andere nodig om migraties tussen machines te kunnen faciliteren. Deze keys staan opgeslagen op een aparte beveiligde server waar maar een paar mensen bij kunnen. Overigens bieden we ook een oplossing voor mensen die dit een onplezierig idee vinden: in dat geval kan je simpelweg een VPS afnemen en de gehele beveiliging volledig in eigen hand nemen. Verder is STACK volledig met https beveiligd, dus alle apps, WebDAV en de webinterface maken gebruik van een beveiligde verbinding tussen de klant en TransIP.
Voor de juridische kant van het verhaal moet ik je eerlijk bekennen dat ik daar relatief weinig van af weet. Wat ik wel weet is dat we onder de Nederlandse wetgeving vallen die doorgaans minder ver gaat dan de Amerikaanse.
Wat betreft TransIP zelf: wij blijven van de data af. Het is onze overtuiging dat onze huidige en toekomstige klanten bij ons klant zijn juist omdat wij van je data afblijven. Onze producten verbinden deze ideologische keus met commerciële realiteiten. Doordat we geen advertenties verkopen is er ook geen tegenstrijdigheid in bedrijfsbelang en ideologie.
Ik hoop dat ik hiermee je vragen voldoende heb beantwoord – schroom echter niet om contact op te nemen als je verdere verheldering wenst.
Fijn weekend,
Bernd
TransIP BV
Ik antwoorde:
Hoi Bernd,
Dank voor je antwoord. Voor mij (en de toepassingen die ik in gedachten heb voor Stack) lijkt me dit voldoende informatie om rustig van te slapen.
Maar ondertussen maak ik me nog wel druk om de plannen van Minister Plasterk. Die kreeg niet voor niets de Big Brother Award 2015, naar aanleiding van zijn voorstel voor de Nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten. Misschien dat die VPS van jullie dan nog niet zo’n gek idee is.
Succes met Stack!
Lykle
Hoe veilig is Stack van TransIP?
Wow, dat was best mooi nieuws deze week: “TransIP introduceert Dropbox-concurrent met 1 terabyte gratis opslag”, Helemaal als je al langer bezorgd was over de veiligheid en privacy van jouw gegevens op andere clouds. Want wie weet waar de NSA en GCHQ allemaal toegang toe hebben?
Ik vroeg het op Twitter aan @TransIP:
@lykle Bedankt! Alles wordt vlak om de hoek in ons eigen datacenter opgeslagen in NL. Dat biedt per definitie veel meer privacy.
— TransIP (@TransIP) October 31, 2015
OK, dat klinkt al goed (want servers op Nederland grondgebied vallen onder de Nederlandse wetgeving, en die kent geen Patriot Act). Ik vroeg nog even door:
@lykle Absoluut, daar zijn we ons van bewust! Voor uitgebreide info kan je het beste een berichtje sturen naar support@transip.nl
— TransIP (@TransIP) October 31, 2015
Martijn Russchen (van Nederlandse Hacker-helden HackerOne) reageerde ook nog:
@lykle @TransIP Draait op Owncloud volgens mij. En zij doen goed hun best: https://t.co/sXpuQetps4
— Martijn Russchen (@mrusschen) October 31, 2015
En op aangeven van TransIP heb ik ze zojuist een mailtje gestuurd met nog wat vragen:
Hallo mensen van Stack/TransIP,
Wat fijn dat er nu een cloud-dienst van Nederlandse oorsprong is! Voor de privacy- en securitybewuste online mens was het de afgelopen jaren toch een beetje schizofreen: wie het gemak van cloud-opslag wilde, moest zich ook maar verlaten op ondoorzichtige “Safe Harbour”-beloftes enzo. En helemaal wanneer je ook nog persoonsgegevens van derden veilig wilde houden, was er weinig te kiezen waar je niet toch een beetje onzeker over bleef. Wie kan er allemaal meekijken?
Wat kunnen jullie kwijt over de security en privacy van Stack? Waar staan alle servers, switches etc? Welke software gebruiken jullie op die hardware? En welke juridische autoriteit heeft iets te zeggen over jullie setup? Ik ben heel benieuwd, en denk dat heel veel andere mensen in Nederland het graag zouden willen weten!
Ik zal hun antwoord hier ook publiceren.