Podejrzenia, iż usługa DropBox nie jest bezpieczna, okazały się nieprawdziwe

Eksperci do spraw bezpieczeństwa przetestowali usługę Dropbox i wykryli coś, co na pierwszy rzut oka mogło wskazywać, iż przechowywane przez nią dane nie są bezpieczne. Jednak w wyniku dalszych badań okazało się, że był to fałszywy alarm i dane są bezpieczne, co potwierdziła też firma Dropbox.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Spektakularne ataki cybernetycznie nie są już dziełem geniuszu utalentowanych hackerów. Jeśli na komputerach w przedsiębiorstwie znajdują się słabe punkty, można dokonać ataku za pomocą narzędzi dostępnych w internecie. Ta biała księga opisuje scenariusze ataków i pokazuje, jak...

Twierdza „data center”

Twierdza „data center”

Znaczenie infrastruktury teleinformatycznej dla poprawnego funkcjonowania przedsiębiorstwa, jak i jej złożoność, nakładają na administratorów wymóg stałej kontroli parametrów pracy serwerowni. Jednak samo gromadzenie informacji o zdarzeniach to nie wszystko – te dane wymagają jeszcze...

Optymalizacja IT - środowiska infrastruktury hybrydowej

Optymalizacja IT - środowiska infrastruktury hybrydowej

Sposób zarządzania zasobami IT zmieniał się, na przestrzeni ostatnich lat, bardzo dynamicznie. Wiele firm nie nadąża za tymi zmianami i nadal funkcjonuje w starych i sprawdzonych, ale jednocześnie coraz mniej wydajnych strategiach. Firmy zarządzane w sposób optymalny, świadomie inwestują...

W blogu umieszczonym na witrynie WNC InfoSec można przeczytać, że bezpieczeństwo danych przechowywanych przez Dropbox przetestowano przy użyciu nowej, webowej usługi HoneyDocs. Tworzy ona logi pokazujące, kto, kiedy i skąd otwierał pliki znajdujące się w chmurowym magazynie Dropbox.

Eksperyment polegał na przesłaniu do magazynu Dropbox skompresowanych folderów HoneyDocs (.zip), w którym znajdują się pliki .doc. Użytkownik może tak skonfigurować usługę HoneyDocs (opcja „sting”), że monitoruje ona plik i sprawdza, czy został otwarty. Jeśli tak się stanie, usługa wysyła do użytkownika wiadomość (nazywaną przez HoneyDocs "buzz”) potwierdzającą ten fakt (za pośrednictwem poczty e-mail lub wiadomości SMS). Dane zawierające informacje o tym kto i gdzie otworzył plik, są wysyłane przy użyciu protokołu SSL przez port 443.

Zobacz również:

WNC InfoSec informuje, że pierwsza taka wiadomość (“buzz”) przyszła po 10 minutach od momentu przesłania pliku do magazynu Dropbox. Zawierała ona adres IP informujący, kto i skąd otwierał plik. Okazało się, że jest to usługa Amazon EC2, a miejsce to Seattle (Dropbox wykorzystuje chmurową infrastrukturę Amazon).

Dalsze badania wykazały, że otwierane były tylko pliki .doc. HoneyDocs podał też, jaka aplikacja uzyskiwała dostęp do tych plików – był to pakiet open-source LibreOffice. W tym momencie można sobie zadać pytanie – po co komuś był potrzebny dostęp do tych plików? Czy po to, aby deduplikować pewne zasoby, czy też może był to malware? I jeszcze jedno, dlaczego były to tylko pliki .doc?

Pomimo tego, iż wyglądało to wszystko podejrzanie, odpowiedź okazała się prosta. W wyniku dalszych badań WNC InfoSec stwierdził, że to Dropbox dobiera się do niektórych typów plików, w tym przypadku do plików .doc. Chodzi o to, że Dropbox pozwala użytkownikom przeglądać niektóre typu dokumentów (w tym pliki .doc), budując specjalną kopię takiego dokumentu i następnie udostępniając ją do przeglądania użytkownikowi. Aby było to możliwe, Dropbox musi otwierać te dokumenty.

Dropbox informuje, że użytkownik może otwierać bezpośrednio z przeglądarki dokumenty Word, PowerPoint, PDF i pliki .txt, co jest wygodne, ponieważ na komputerze nie trzeba wtedy instalować dodatkowych programów.

Podejrzenia okazały się nieprawdziwe, jednak sytuacje takie budzą zawsze niepokój użytkowników. Dlatego eksperci radzą – jeśli jest to możliwe, dla lepszego bezpieczeństwa, dane przed wysłaniem do chmurowego magazynu danych powinno się szyfrować.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.