Podejrzenia, iż usługa DropBox nie jest bezpieczna, okazały się nieprawdziwe

Eksperci do spraw bezpieczeństwa przetestowali usługę Dropbox i wykryli coś, co na pierwszy rzut oka mogło wskazywać, iż przechowywane przez nią dane nie są bezpieczne. Jednak w wyniku dalszych badań okazało się, że był to fałszywy alarm i dane są bezpieczne, co potwierdziła też firma Dropbox.

W blogu umieszczonym na witrynie WNC InfoSec można przeczytać, że bezpieczeństwo danych przechowywanych przez Dropbox przetestowano przy użyciu nowej, webowej usługi HoneyDocs. Tworzy ona logi pokazujące, kto, kiedy i skąd otwierał pliki znajdujące się w chmurowym magazynie Dropbox.

Eksperyment polegał na przesłaniu do magazynu Dropbox skompresowanych folderów HoneyDocs (.zip), w którym znajdują się pliki .doc. Użytkownik może tak skonfigurować usługę HoneyDocs (opcja „sting”), że monitoruje ona plik i sprawdza, czy został otwarty. Jeśli tak się stanie, usługa wysyła do użytkownika wiadomość (nazywaną przez HoneyDocs "buzz”) potwierdzającą ten fakt (za pośrednictwem poczty e-mail lub wiadomości SMS). Dane zawierające informacje o tym kto i gdzie otworzył plik, są wysyłane przy użyciu protokołu SSL przez port 443.

Zobacz również:

WNC InfoSec informuje, że pierwsza taka wiadomość (“buzz”) przyszła po 10 minutach od momentu przesłania pliku do magazynu Dropbox. Zawierała ona adres IP informujący, kto i skąd otwierał plik. Okazało się, że jest to usługa Amazon EC2, a miejsce to Seattle (Dropbox wykorzystuje chmurową infrastrukturę Amazon).

Dalsze badania wykazały, że otwierane były tylko pliki .doc. HoneyDocs podał też, jaka aplikacja uzyskiwała dostęp do tych plików – był to pakiet open-source LibreOffice. W tym momencie można sobie zadać pytanie – po co komuś był potrzebny dostęp do tych plików? Czy po to, aby deduplikować pewne zasoby, czy też może był to malware? I jeszcze jedno, dlaczego były to tylko pliki .doc?

Pomimo tego, iż wyglądało to wszystko podejrzanie, odpowiedź okazała się prosta. W wyniku dalszych badań WNC InfoSec stwierdził, że to Dropbox dobiera się do niektórych typów plików, w tym przypadku do plików .doc. Chodzi o to, że Dropbox pozwala użytkownikom przeglądać niektóre typu dokumentów (w tym pliki .doc), budując specjalną kopię takiego dokumentu i następnie udostępniając ją do przeglądania użytkownikowi. Aby było to możliwe, Dropbox musi otwierać te dokumenty.

Dropbox informuje, że użytkownik może otwierać bezpośrednio z przeglądarki dokumenty Word, PowerPoint, PDF i pliki .txt, co jest wygodne, ponieważ na komputerze nie trzeba wtedy instalować dodatkowych programów.

Podejrzenia okazały się nieprawdziwe, jednak sytuacje takie budzą zawsze niepokój użytkowników. Dlatego eksperci radzą – jeśli jest to możliwe, dla lepszego bezpieczeństwa, dane przed wysłaniem do chmurowego magazynu danych powinno się szyfrować.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200