Podejrzenia, iż usługa DropBox nie jest bezpieczna, okazały się nieprawdziwe

Eksperci do spraw bezpieczeństwa przetestowali usługę Dropbox i wykryli coś, co na pierwszy rzut oka mogło wskazywać, iż przechowywane przez nią dane nie są bezpieczne. Jednak w wyniku dalszych badań okazało się, że był to fałszywy alarm i dane są bezpieczne, co potwierdziła też firma Dropbox.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Ochrona serwerów wirtualnych: lista kontrolna dla kupujących

Ochrona serwerów wirtualnych: lista kontrolna dla kupujących

Firma, która chce zmaksymalizować zwrot z inwestycji w infrastrukturę wirtualną, potrzebuje skalowalnego systemu zabezpieczeń maszyn wirtualnych, automatycznego zarządzania cyklem życia maszyn wirtualnych oraz możliwości wykorzystania każdego typu infrastruktury do usuwania skutków awarii...

Projektowanie chmur prywatnych: lepsza jakość, większa elastyczność, mniejsze ryzyko.

Projektowanie chmur prywatnych: lepsza jakość, większa elastyczność, mniejsze ryzyko.

Działy informatyki udoskonalają swoje pierwotne strategie migracji do chmury. Muszą okreslić priorytety wymagań swoich klientów zewnętrznych, wewnętrznych i dostosować się do tych priorytetów. W niniejszym materiale omawiamy najczęściej spotykane problemy dotyczące migracji do...

Szybka, bezpieczna i skuteczna integracja chmury prywatnej i publicznej

Szybka, bezpieczna i skuteczna integracja chmury prywatnej i publicznej

Comparex Hybrid Cloud Appliance to unikalne rozwiązanie sprzętowo-aplikacyjne, które pozwala połączyć możliwości prywatnej chmury obliczeniowej z potencjałem chmury publicznej w sposób szybki i dostosowany do specyficznych potrzeb biznesowych danej organizacji.

W blogu umieszczonym na witrynie WNC InfoSec można przeczytać, że bezpieczeństwo danych przechowywanych przez Dropbox przetestowano przy użyciu nowej, webowej usługi HoneyDocs. Tworzy ona logi pokazujące, kto, kiedy i skąd otwierał pliki znajdujące się w chmurowym magazynie Dropbox.

Eksperyment polegał na przesłaniu do magazynu Dropbox skompresowanych folderów HoneyDocs (.zip), w którym znajdują się pliki .doc. Użytkownik może tak skonfigurować usługę HoneyDocs (opcja „sting”), że monitoruje ona plik i sprawdza, czy został otwarty. Jeśli tak się stanie, usługa wysyła do użytkownika wiadomość (nazywaną przez HoneyDocs "buzz”) potwierdzającą ten fakt (za pośrednictwem poczty e-mail lub wiadomości SMS). Dane zawierające informacje o tym kto i gdzie otworzył plik, są wysyłane przy użyciu protokołu SSL przez port 443.

Zobacz również:

WNC InfoSec informuje, że pierwsza taka wiadomość (“buzz”) przyszła po 10 minutach od momentu przesłania pliku do magazynu Dropbox. Zawierała ona adres IP informujący, kto i skąd otwierał plik. Okazało się, że jest to usługa Amazon EC2, a miejsce to Seattle (Dropbox wykorzystuje chmurową infrastrukturę Amazon).

Dalsze badania wykazały, że otwierane były tylko pliki .doc. HoneyDocs podał też, jaka aplikacja uzyskiwała dostęp do tych plików – był to pakiet open-source LibreOffice. W tym momencie można sobie zadać pytanie – po co komuś był potrzebny dostęp do tych plików? Czy po to, aby deduplikować pewne zasoby, czy też może był to malware? I jeszcze jedno, dlaczego były to tylko pliki .doc?

Pomimo tego, iż wyglądało to wszystko podejrzanie, odpowiedź okazała się prosta. W wyniku dalszych badań WNC InfoSec stwierdził, że to Dropbox dobiera się do niektórych typów plików, w tym przypadku do plików .doc. Chodzi o to, że Dropbox pozwala użytkownikom przeglądać niektóre typu dokumentów (w tym pliki .doc), budując specjalną kopię takiego dokumentu i następnie udostępniając ją do przeglądania użytkownikowi. Aby było to możliwe, Dropbox musi otwierać te dokumenty.

Dropbox informuje, że użytkownik może otwierać bezpośrednio z przeglądarki dokumenty Word, PowerPoint, PDF i pliki .txt, co jest wygodne, ponieważ na komputerze nie trzeba wtedy instalować dodatkowych programów.

Podejrzenia okazały się nieprawdziwe, jednak sytuacje takie budzą zawsze niepokój użytkowników. Dlatego eksperci radzą – jeśli jest to możliwe, dla lepszego bezpieczeństwa, dane przed wysłaniem do chmurowego magazynu danych powinno się szyfrować.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.