Så er tiden atter kommet til, at tage et kig på de lidt mere oversete sider, af vores ellers så elskede dagligdags cloudprogrammer. Denne gang vender vi luppen mod Dropbox, som er en af de mest brugte cloud storage services, med mere end 300 millioner brugere.
Sidst vi tog et kig på cloud services og deres skavanker, var vi kun optaget af privacy overvejelser. Denne gang vil vi udvide lidt, og tage et kig på servicens generelle sikkerhed. Fra et sikkerhedsmæssigt perspektiv har Dropbox en mindre end imponerende track record, hvilket peger på en virksomhed, der endnu ikke behersker, eller endda fuldt ud forstår, de grundlæggende begreber i software sikkerhed. Lad os tage et kig tilbage over de senere år – på hvad jeg vil kalde deres ”greatest hits”;
Marts 2011
Dropbox applikationen til smartphones valgte ikke at gøre fuld brug af en SSL/TLS krypterede forbindelser. Metadata som filnavne, størrelser, ændringstidspunkter og data type.
Data der enten kan være afslørende i sig selv, eller som kan bruges til at lave avanceret angreb som spear phishing og DropSmack.
Authentication procedurerne blev deaktiveret i forbindelse med en opdatering, hvilket gav adgang til alle brugerkonti uden brug af password – whoopsie daisy.
Faren ved at miste alt dataen er jo åbenlys, hvad enten det er fordi nogen stjæler det eller fordi nogen sletter indholdet. Andre potentielle angreb, som dette kan lede til er ransomware hvor en ondsindet bruger, krypterer dit data med deres egen nøgle og ”sælger” dig nøglen til dit data tilbage.
April 2011
Authentication tokens i klartext, der tilmed kunne flyttes til andre enheder og som selvfølgelig aldrig udløber. Brugere får desuden ingen besked om tilslutningen af nye enheder, da de ”teknisk” set bare er flere udgaver af de allerede eksisterende enheder.
Så vi ender med at hvis man opsnapper en authentification token, har man adgang til den tilkoblede Drobox account indtil den slettes, uden at den originale ejer opdager at hans data har et ekstra publikum.
Juni 2011
Hashværdimanipulation tillod brugere at tilgå vilkårlige filer ved at manipulere hashudregningsfunktionen. Dropbox tillod altså alle med adgang til en Dropbox konto at tilgå vilkårlige filer – også selvom disse ikke var tilknyttet denne bruger.
Det er ganske forbløffende, hvordan virksomheder i denne størrelse stadig kan undlade at etablere hvad man må kalde grundlæggende sikkerhedsforanstaltninger, såsom at koble brugere og deres data og sørge for at kritisk funktionalitet, eksempelvis loginfunktionen, kræver en hemmlighed, så som et token eller kodeord.
Hvis vi kigger på privacy delen af Dropbox, så er den faktisk langt bedre end den vi observerede hos Google. Der er dog nogen få steder man skal være opmærksom på hvis vi snakker personfølsom information.
Lad os starte med at kigge på ejerskabet af det data, der bliver gemt på deres servere
When you use our Services, you provide us with things like your files, content, email messages, contacts and so on (“Your Stuff”). Your Stuff is yours. These Terms don’t give us any rights to Your Stuff except for the limited rights that enable us to offer the Services.We need your permission to do things like hosting Your Stuff, backing it up, and sharing it when you ask us to. Our Services also provide you with features like photo thumbnails, document previews, email organization, easy sorting, editing, sharing and searching. These and other features may require our systems to access, store and scan Your Stuff. You give us permission to do those things, and this permission extends to trusted third parties we work with. …
Section Your Stuff & Your Permissions
from Dropbox Terms of Service, in effect March 24, 2014
Det fremgår heraf, at Dropbox ikke tager ejerskab af noget, der er uploadet, som helt sikkert er et krav. Bevæger vi os fremad, skriver de at man bevarer retten til at få adgang til data med henblik på at levere deres tjenester såsom previews, søgning og så videre. Dette synes ikke omfattende og er en nødvendighed for deres ydelser. Der er dog et spørgsmål om udvidelsen til “trusted” tredjeparter. Dette er ikke nødvendigvis et stort problem, men ifølge loven er det en nødvendighed, at den registeransvarlige er opmærksom på disse tredjeparter, så der kan etableres data-processor aftaler.
Kigger vi lidt videre finder vi også:
Others working for Dropbox. Dropbox uses certain trusted third parties to help us provide, improve, protect, and promote our Services. These third parties will access your information only to perform tasks on our behalf and in compliance with this Privacy Policy. …Dropbox Privacy Policy, in effect March 24, 2014
Her ser vi samme problem som før, og dette vil have samme løsning. Læser vi lidt videre, finder vi også frem til et andet potentiel problem:
Retention. We’ll retain information you store on our Services for as long as we need it to provide you the Services. If you delete your account, we’ll also delete this information. But please note: (1) there might be some latency in deleting this information from our servers and back-up storage; and (2) we may retain this information if necessary to comply with our legal obligations, resolve disputes, or enforce our agreements. …Dropbox Privacy Policy, in effect March 24, 2014
Formuleringen her må siges at være særdeles vag. Selvom man kan forvente noget ventetid mellem sletning og fysisk fjernelse, så skal der sættes en øvre grænse for hvor langt tid det må tage. Dette er et krav fra persondataloven, der kræver at dataejere kan fjerne data inden for en fornuftig tidsramme. Den anden del af det ovenstående, vedrørende de lovmæssige krav, er åbenlys og i sig selv meget forståelig. Men det er jo ikke kun dit lands love de skal følge, men også love nedsat for de lande hvor dataene opbevares samt de lande hvor firmaet har hovedsæder. Dette kan nemt blive et juridisk problem, da Dropbox hurtigt kommer i en situation, hvor de enten kan følge Amerikansk eller Europæisk lovgivning, men ikke begge. Dette er en langt større problemstilling, som ikke knytter sig specifikt til Dropbox – et emne, der er for stort til at vi tager hul på det her, men som vi kan kigge på i et andet blogindlæg.
Så selvom Dropbox har en mere medgørlig privacy politik end den vi fandt hos Google Drive, så har der været nogle meget seriøse problemer med deres sikkerhed. Så hvor jeg godt kunne finde på at bruge Dropbox til at gemme mine mindre personlige dokumenter, så anbefaler jeg at erhvervsrelateret data holdes derfra og tilsvarende alt data der er mere personfølsomt en e-mails. Hvis vi kun tænker privacy, er Dropbox hvad man kan forvente til privat brug, men persondataloven gør, at det ikke vil være lovligt at bruge deres service til at gemme personfølsomme data.
Tak for hurtig og let forståelig beskrivelse af risici ved at bruge Dropbox.