Podejrzenia, iż usługa DropBox nie jest bezpieczna, okazały się nieprawdziwe
- Janusz Chustecki,
- 16.09.2013, godz. 09:27
Eksperci do spraw bezpieczeństwa przetestowali usługę Dropbox i wykryli coś, co na pierwszy rzut oka mogło wskazywać, iż przechowywane przez nią dane nie są bezpieczne. Jednak w wyniku dalszych badań okazało się, że był to fałszywy alarm i dane są bezpieczne, co potwierdziła też firma Dropbox.
W blogu umieszczonym na witrynie WNC InfoSec można przeczytać, że bezpieczeństwo danych przechowywanych przez Dropbox przetestowano przy użyciu nowej, webowej usługi HoneyDocs. Tworzy ona logi pokazujące, kto, kiedy i skąd otwierał pliki znajdujące się w chmurowym magazynie Dropbox.
Eksperyment polegał na przesłaniu do magazynu Dropbox skompresowanych folderów HoneyDocs (.zip), w którym znajdują się pliki .doc. Użytkownik może tak skonfigurować usługę HoneyDocs (opcja „sting”), że monitoruje ona plik i sprawdza, czy został otwarty. Jeśli tak się stanie, usługa wysyła do użytkownika wiadomość (nazywaną przez HoneyDocs "buzz”) potwierdzającą ten fakt (za pośrednictwem poczty e-mail lub wiadomości SMS). Dane zawierające informacje o tym kto i gdzie otworzył plik, są wysyłane przy użyciu protokołu SSL przez port 443.
Zobacz również:
- Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją
- Nvidia odtworzyła całą planetę. Teraz wykorzysta jej cyfrowego bliźniaka do dokładnego prognozowania pogody
- Zewnętrzny dysk, chmura czy dysk sieciowy? Jak zadbać o backup
WNC InfoSec informuje, że pierwsza taka wiadomość (“buzz”) przyszła po 10 minutach od momentu przesłania pliku do magazynu Dropbox. Zawierała ona adres IP informujący, kto i skąd otwierał plik. Okazało się, że jest to usługa Amazon EC2, a miejsce to Seattle (Dropbox wykorzystuje chmurową infrastrukturę Amazon).
Dalsze badania wykazały, że otwierane były tylko pliki .doc. HoneyDocs podał też, jaka aplikacja uzyskiwała dostęp do tych plików – był to pakiet open-source LibreOffice. W tym momencie można sobie zadać pytanie – po co komuś był potrzebny dostęp do tych plików? Czy po to, aby deduplikować pewne zasoby, czy też może był to malware? I jeszcze jedno, dlaczego były to tylko pliki .doc?
Pomimo tego, iż wyglądało to wszystko podejrzanie, odpowiedź okazała się prosta. W wyniku dalszych badań WNC InfoSec stwierdził, że to Dropbox dobiera się do niektórych typów plików, w tym przypadku do plików .doc. Chodzi o to, że Dropbox pozwala użytkownikom przeglądać niektóre typu dokumentów (w tym pliki .doc), budując specjalną kopię takiego dokumentu i następnie udostępniając ją do przeglądania użytkownikowi. Aby było to możliwe, Dropbox musi otwierać te dokumenty.
Dropbox informuje, że użytkownik może otwierać bezpośrednio z przeglądarki dokumenty Word, PowerPoint, PDF i pliki .txt, co jest wygodne, ponieważ na komputerze nie trzeba wtedy instalować dodatkowych programów.
Podejrzenia okazały się nieprawdziwe, jednak sytuacje takie budzą zawsze niepokój użytkowników. Dlatego eksperci radzą – jeśli jest to możliwe, dla lepszego bezpieczeństwa, dane przed wysłaniem do chmurowego magazynu danych powinno się szyfrować.