Advarsel mod Dropbox

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Den populære internet-tjeneste Dropbox til filsynkronisering indeholder en mulig sikkerhedsbrist. Det mener sikkerheds-eksperten Derek Newton, som skriver om problemet i sin blog. Han advarer ligefrem mod at bruge Dropbox til følsomme data. Hvis man alligevel vælger at bruge Dropbox, bør man bruge stærk kryptering til at beskytte filerne, mener han.

Dropbox findes til en lang række forskellige platforme – lige fra Windows og Linux til mobile systemer som iOS og Android – og tjenesten gør det meget nemt at synkronisere sine filer mellem forskellige computere og mobile enheder.

Derek Newton har indtil videre kun undersøgt Windows-klienten. Brugeren skal kun indtaste sine adgangsdata én gang; herefter bliver de nødvendige oplysninger gemt i filen config.db på den lokale harddisk.

Ifølge Newton er filen ikke bundet til den lokale computer og kan altså frit kopieres og overføres til en anden maskine. En trojaner kunne stjæle filen og bruge den til at få adgang til alle filer der ligger hos Dropbox. Det hjælper heller ikke at ændre kodeordet, fordi filen indeholder den unikke host-ID, og man kan heller ikke se at fremmede har skaffet sig adgang til Dropbox-mapperne.

Det skulle faktisk være nok at åbne config.db og kopiere host-ID for at få adgang til en anden persons Dropbox.

Newton betegner problemet som en designfejl i Windows-klienten. For at få fat i config.db filen skal man dog først have adgang til den lokale computer – og så har man jo allerede mulighed for at få fat i de filer, der ligger gemt lokalt.

En mulighed for at større sikkerhed er at bruge Boxcryptor, der opretter en slags virtuel harddisk med 256-bit kryptering som så gemmes i Dropbox'en. Her er problemet dog, at filerne ikke kan låses op under iOS, Android og Blackberry. Så man mister altså den mobile adgang til sine data, som jo er en af de store fordele i Dropbox.

Boxcryptor er gratis i en basisversion med plads til 2 GB filer på den virtuelle harddisk. Men Boxcryptor er også stadig i betafasen, så det kan bestemt ikke udelukkes at dette program også indeholder svagheder.