Proponha uma correção, faça uma sugestão
Dropbox dá uma vista de olhos nos ficheiros lá guardados…
... mas diz que não é nada de especial!
O serviço cloud Dropbox dá uma "vista de olhos" aos ficheiros que os utilizadores colocam nos seus servidores. Mas dizem que isso é normal nos serviços de alojamento Web.
Esta descoberta foi feita após um teste que registou vários ficheiros ".doc" com data de abertura após a data de envio para a cloud.
O comportamento do Dropbox foi detectado usando um outro serviço, o HoneyDocs. Este serviço Web-based cria um log mostrando quando e onde um documento é aberto, isto segundo informações deixadas no WNC InfoSec.
A experiência teve como mecânica o upload para o DropBox de um ficheiro ".zip" para a pasta HoneyDocs que por sua vez tinha dentro ficheiros ".doc". O serviço HoneyDocs permite aos utilizadores criar um "visto", ou uma notificação que é enviada por SMS ou um e-mail quando um ficheiro é visto. Essa informação de onde foi visto, fica colocado num mapa, para dar uma ideia de onde usamos os nossos ficheiros que estão na cloud.
A resposta ou retorno da informação, que o HoneyDocs apelida de "buzz", um pedido HTTP GET que tem um identificador único ligado a um único registo ou ao tal "visto" aplicado quando o ficheiro é aberto. Os dados que dão conta de quando ou onde os ficheiros foram abertos são enviados ao utilizador pelo porto SSL 443, de acordo com o HoneyDocs.
Escreve o blog que o primeiro "buzz" chegou 10 minutos após o ficheiro ter sido colocado no Dropbox com um IP address de uma instância Amazon EC2 de Seattle. O Dropbox usa infra-estruturas cloud Amazon.
A mesma fonte informa que somente os ficheiros ". doc" foram abertos, dos vários formatos também incluídos no ".zip". Outro dado curioso foi que o HoneyDocs também tirou informações sobre o tipo de aplicação que teve acesso ao documento, que neste caso foi a suite de código aberto LibreOffice.
Estas coisas deixam-nos com a pulga atrás da orelha
Mas então vejamos - e esta dúvida tem razão de o ser - se os ficheiros abertos são para protecção de não duplicação ou mesmo de não proliferação de possível malware... então e os outros, para além dos ".doc"?
A explicação é simples. O que o blog WNC InfoSec presenciou, ao usar a ferramenta HoneyDocs, foi um comportamento automático que o serviço Dropbox tem a correr em segundo plano que executa esta análise em certos tipo de ficheiros. Segundo um porta voz do Dropbox, o serviço permite aos utilizadores pré-visualizar os seus documentos, os ".doc" estão entre esses casos, mas para isso ser possível o serviço tem de construir a pré-visualização desses documentos. Para executar essa pré-visualização o documento tem de ser aberto.
De acordo com o Dropbox, os ficheiros que podem ser pré-visualizados são os do Word, PowerPoint, PDF e ficheiros de texto. Estes podem ser visto directamente do browser, sem que seja necessário ter qualquer aplicação na máquina para os abrir.
Mesmo assim, este comportamento pode deixar alguns utilizadores nervosos. Os especialistas em segurança recomendam que para uma maior privacidade, os documentos enviados para os serviços cloud devam ser cifrados, de forma a que não possam ser abertos, nem por sistemas automáticos nem pelos funcionários dos próprios serviços.
O Dropbox proíbe terminantemente os seus funcionários de "olhar" para os conteúdos e somente um número muito restrito destes funcionários, com suporte técnico a seu cargo, tem acesso aos metadados e ao autor dos ficheiros, em casos muito extremos.
Como pode ser lido na política de privacidade:
"We have strict policy and technical access controls that prohibit employee access except in these rare circumstances,"
Estes procedimentos devem ser muito bem esclarecidos, pois a desconfiança pode contaminar todo um sistema, e no caso da cloud, o seu maior trunfo é a confiança e segurança.
Este artigo tem mais de um ano
Loading ...
Não vale a pena entrar em paranóia.
Não é uma questão de paranóia, se se verifica o acesso a determinados ficheiros penso que isso deveria ser referido nos termos de utilização do serviço. Pressupondo que não está é uma falha por parte da Dropbox na comunicação com os utilizadores. Se está, nada a dizer.
exatamente! lol, mando pra lá fotos pessoais, ja vou remover tudo, NSA#2
e agora…quem vai preso??
Acesso indevido a documentação alheia é crime!!
cmps
Será? Uma coisa é o correio, agora isto… pelos vistos na américa aceder à informação dos outros é prática comum.
pois…mas a maioria das pessoas…esta fora da América!!!
Eu por exemplo estou na Europa…e as Leis que vigoram para mim, não são sas mesmas apesar das politicas utilizadas no site…
Nenhuma Lei Americana se pode sobrepor a uma Lei Europeia na Europa…e vice versa!!
Se eu acedo da europa, tem que ser respeitados os meus direitos de cidadão Europeu, mais nesse caso as politicas do dropbox, até podem estar a infringir as Leis Europeias, e logo serão invalidas cá.
Agora o problema é outro…é quem é que vai chamar atenção??Esse é que é o problema…
Mas uma Empresa que trabalhe na europa tem que estar sijeita as Leis Europeias…
cmps
Encrypt em cima dos ficheiros…
Brute force em cima do “Encrypt” xD
Eu tinha ficheiros de contas e afins no drop tudo cod com uma sr.a password mas resolvi retira-los de la e começar a fazer backups locais.
lol…mas isso é pouco pratico…
cmps
Esta é uma boa solução…
http://www.excitostore.com/store/discount-1tb
Acima de tudo é Europeia, e resolve o problema na perfeição…mas são caros…
Ando a cerca de 3 anos a me tentar convencer a comprar um, mas depois aparecem coisas mais baratas como o raspbery pi…
No entanto se juntarmos o preço de tudo o que precisamos, com este tipod e equipamentos acabamos por perceber que eles não são tão caros quanto isso…eles incluem é o preço de muitas coisas que o raspberry pi não tem á partida, mas que é preciso adquirir, como discos,wireless,fonte de alimentação…disco para SO, etc,etc,etc…
Na pratica estes equipamentos da excito, acabam por sair em conta, e são umas maquinas brutais, fazem tudo, e seguras…
Hoje em dia deixa de fazer sentido a cloud…toda a gente tem net em casa…o unico senão é para ficheiros grandes, pois para fazer dounload do esterior , estamos a fazer upload de casa e isso pode ser mais lento…tirando isso são uma maquina.
cmps
Isto é praticamente um NAS, certo?
A minha “cloud” é um disco ligado ao meu router com SFTP, qualquer dia faço upgrade para raid 1.
Já somos 2
Olha que bela ideia,
Cloud Nova aí vou eu, nem me tinha lembrado de tal coisa.
Good one.
O router que vem com meo adsl dá para fazer isso? Arranjas um tutorial?
E um tutorial para fazer isso ?
O meu router, por acaso, já tem SFTP de origem e USB 3.0.
Quem não tiver um router bom, pode comprar um Raspberry Pi, por exemplo, ou uma NAS da Synology (mais cara), ou outra marca.
Existem vários tutoriais para fazer um servidor FTP, SFTP (é deixar o SSH activado), no fim, só precisa de redireccionar a porta 22 (FTP) ou 21 (SFTP) para o IP do Raspberry Pi/NAS.
Tb tenho NAS. Um pc antigo a correr o NAS, chega. Nao e’ preciso comprar hardware que ja vem com NAS. O disco onde o tenho instalado, ate e’ um antigo IDE de 6gb… lol
Pois, a cena é que PC’s gastam muito electricidade, geram calor, e fazem barulho…
Um Synology, ou um Raspberry como eu tenho, gasta 5W e não faz barulho (não tem partes móveis, só o disco), calor é zero, tamanho, o meu até está debaixo do sofá…
Raspberry pi FTW!!
é o que eu tenho…
apesar da pt…me estar sempre indirectamente a tentar fazer de mim um cliente do seu serviço de dns dinamico…
Mandeio-os a fava…criei um script que verifica de x em x tempo o endereço ip publico e vai ao meu serviço gratuito da dns alterar…agora so falta a pt começar em menos de 5 minutos a me mudar o ip…vai ser giro vai 😀 lol
Em suma..
dhcp,ntp,dns,sftp/ssh,servidor de impressão e de imagem(scanner), etc, etc, etc… 😀
Raspberry pi FTW!! 😉
Os Russos e os chineses é que andam sempre aqui a fussar, mas batem na trave…IPTABLES FTW!! 😀
cmps
Lol… nova versão Raspberry Couch
boas…
o ftp funciona nos portos 20(dados)/21(informação de controlo).
ja o sftp funciona no porto 22(data/controlo), pois é o porto por defeito do ssh…mas podem ser alterados…
cmps
Default = Omissão (neste caso, pode-se usar também “definição”) =/= Defeito
boas..
Sim omissão é defacto o termo correcto…apesar de em Português usarmos o por defeito…
mas talvez por nos acharmos inferiores aos outros…logo e sem fazer nada ja temos um defeito lol 😀
cmps
Boas, correcto, enganei-me.
Já agora, isso é no FTP activo. No FTP passivo, a porta de dados pode ser uma qualquer 😉
Impressionante como as pessoas acham que os seus ficheiros estão mais seguros em em clouds de sapateiro (o meu router lá de casa mais um disco) do que em mega datacenter com equipas de engenheiros e de suporte 24×7 + geradores + redundância de tudo e mais alguma coisa.
Parecem todos membros da al-qaeda 😀
Os estados unidos se quiserem invadem e bombardeiam estados soberanos. Acham que se quiserem os vossos ficheiros vão ter alguma dificuldade?
A dropbox até deu uma explicação plausível. Para a pré-visualização funcionar é preciso ver os ficheiros. A tecnologia é muito boa mas ainda não adivinha.
Perguntem a malta que tem tem fotos a pinar com a namorada e que depois “vazaram” na net onde é que elas estavam guardadas. De certeza que não era em nenhuma Cloud das mais conhecidas 😉
Não se achem mais inteligentes que os melhores técnicos e engenheiros do mundo, porque não são…
Gerardo, é um ponto válido e concordo em tudo. Acrescento é um ponto, a ideia de segurança. Uma coisa é ter essa segurança, outra coisa é saber até que ponto é que vai e o seu grau de intrusão. Se não o colocaram no disclaymer, se não foram honestos, até que ponto eu posso confiar neles? Tu tens um caso simples disso, o PPCoelho, metes o gajo como PM, acreditas nele, o disclaymer diz “não vou aumentar impostos” e depois … “saco”, já aumentaram umas 10 vezes em sítios diferentes. Gato escaldado de água fria tem medo…
Vejamos o seguinte, supomos que eu estou a jogar Risco v2013 Warfare Edition (1.2 com armas químicas e nucleares, é aquela versão hardcore) com pessoal amigo depois do trabalho, e resolvo criar um .DOC na cloud que diz: “vou atacar com gás Sarin a zona dos Estados Unidos. O Joel vai atacar com uma ogiva o México. O Guilherme está a pensar fazer uma distribuição de dinamites pelo Brasil com direito a churrasco.”. Até que ponto é seguro ter isto lá e não me aparecem 10 carros blindados, 3 helis e 50 Marines a baterem-me à porta para tomar um cházinho?
T. Castro disse tudo 😉
T. Castro até eu se tivesse acesso a esse documento e ao teu e-mail provavelmente conseguiria fazer uma mini investigação pelas redes sociais e google e saber quem tu eras e que eras um bacano de fixe e que gosta de jogar jogos 😀 Até a nossa polícia nas manifs anda a tirar fotos sobre os presentes e a compilar dossiers… Alguém pede autorização?
No passado usei DropBox no passado até que veio a notícia que um funcionário tinha um txt com os logins dos utilizadores e esse txt ficou exposto. Incrível!
é por causa disto que uso o CloudFooger nos ficheiros mais sensíveis.
O servidor é o meu telefone.
Querem basculhar, basculhem-me os tomates.
Lol!
É a pronúncia do nuorte, carago!
Aplovado!
o teu telefone é das coisas mais vasculhadas que ha…tu não o controlas!!!
cmps
esteganografia avançada resolve
Mas ainda existe pessoal a colocar material na cloud sem encriptação?
Hoje em dia, só quem não anda informado é que coloca algo na “nuvem” sem ser cifrado.
E mesmo assim cuidado com o tipo de encriptação a usar, a NSA papa muitas das que andam por ai…
depende da utilização que das a cloud. no meu caso é para trabalhos word e cad que pouca diferença me faz se os vejam ou não
depende…ja te imaginas-te a criar algo…e quando dás por ela sai algo igual, ou muito parecido, do outro lado do mundo…
dará a impressão que andas-te a trabalhar de borla…
O terrorismo tem muitas coisas boas para os americanos…é um negocio dos diabos!!!
cmps
O que é de borla, o pobre desconfia.
ficheiros importantes estao no disco/pen.
Clouds são muito bonitas, mas são ideias de quem tem a cebeça nas “clouds” 😀
🙂
Mau Maria, chiça penico! Mas não têm nada que ver… onde anda a transmissão da confiança empresa/cliente?
Ainda não aprenderam.
E’ por estas e por outras que tenho a minha propria cloud.Uso o open source Own Cloud. Ate tem mais opcoes que o Dropbox e afins.
É sempre uma boa escolha optar por uma solução particular seja open-source ou proprietária.
Sendo proprietária, é bom que seja paga! Por todos os motivos.
lol
open source é o futuro…
Estas coisas da nuvem, dos maCLOUDS, etc nunca me convenceram…mal apareceram e fiquei aterrorizado com o mal que isto pode fazer a pessoas honestas…
cmps
Estavam á espera do quê? Ora para dados mais “sensíveis” o melhor é guardar debaixo de uma enxada.. ninguem lhe pega.. 😀
Por outro lado…. estes gajos da pplware são uns chatos do caraças! 🙂
Com estas notícias, a malta começa qq dia largar a informática. Já quando foi a noticia sobre a falha gravissima de segurança do android, e depois de eu indagar pessoalmente o fabricante sobre esta situação… larguei o smartphone, fui à arrecadação e ressuscitei o velhinho nokia E65.
Estão armados em Morpheus a impingirem-nos a pilula azul?
Obviamente que estou a gozar. Até considero vital dar conhecimento destas e de outras situações!
Somos amigos 🙂
Agora confiem dados importantes à cloud…
Ficheiros importantes sem cifra é para esquecer.
e mesmo com cifra…eles comem tudo e não deixam nada…acredita.
cmps
São uns fascizóides glutões!
😀 lol…
vamos la ver é se as empresas americanas não começam a ir abaixo por causa disto…
Se as pessoas começarem a seguir os conselhos por exemplo da lavabit…quero ver como ficam as empresas americanas…
cmps
Não esquecer de juntar um ficheiro “passwords.txt” na dropbox, para não te esqueceres das palavras passes!
Já agora, “password wifi.txt”
“Bota” Mega nisso!
x2
estas empresas que fazem destas coisas deviam logo serem banidas pra sempre
concordo, mas que fdp, isto é uma vergonha, deviam ir a falencia, que gente nojenta como é possivel isto..que falta de respeito.
Por acaso já não dava um salto ao Dropbox há um tempo, mas anteontem recebi um email deles a dizer para voltar a usar a conta que já não dava utilidade que tinham uma oferta especial.
Lá fui… resultado:
Antes – 2GB de espaço Cloud no DB
Agora – 50.25GB =D
Valeu a pena…. Apesar de ser por tempo limitado.
Se forem mesmo obsessivos, eliminem todas as formas de os ficheiros estarem num pc que consiga ligar se a internet.
Encriptar… Pode ajudar, mas ou voces são completamente loucos e criam algo, daquelas coisas que ninguém se ia lembrar e completamente random para que um computador não consiga associar automaticamente e desencriptar com um algoritmo “pre feito”..
Pois mesmo uma boa encriptação, se voces tiverem um adversário a altura que possa mesmo usar um supercomputador para calcular todas as chaves possiveis… Conseguem…
Por isso.. Em documentos não confidenciais, não me importo, podem ver o que quiserem, em pastas que tenho coisas desenvolvidas que podem dar vantagem a possiveis concorrentes simplesmente, estou a vontade. Até empresto o meu computador. Isto porque a meu ver uma palavra passe de 40 caracteres com uma encriptação toda xpto, não serve de nada, simplesmente é um dos primeiros passos na segurança, o passo seguinte é sem duvida criar uma forma nossa de fazer os ficheiros passarem despercebidos/escondidos ao ponto de quem procurar, mal saber onde ou como procurar…
Isto porque é simples, podem viver dentro de um cofre, de certeza que alguém o abre, agora se esconderem o cofre no sitio mais impensavel e as vezes até o mais obvio em que ninguém pensaria , até o podem saber abrir mas não o encontram nem sabem se realmente existe…
Mas pessoal, o saldo da conta do banco a 31 de agosto, a lista das compras, e aquele video manhoso não são propriamente um assunto de segurança nacional x)
Ca está…
Quanto a passwords, não é preciso fazer passwords completamente wtf tipo…
AI_as,;sd1923)”($213hu(!
Pode ser em vez de:
password
Qualquer coisa do género
pa$$w0r..;..d?
E já é praticamente tão segura como essas password mesmo WTF…
daqui a uns tempos toda a gente vai ter a sua cloud particular….que esta coisa das clouds free sai demasiado cara!!
cmps
Pessoal do pplware, ponham mais artigos deste género,! O que já me ri com os comentários 😀
Normalmente a malta que não percebe algum tema faz aquela cara de… e fica a rir. Portanto, depreendo das tuas palavras que não percebeste o tema, queres que te explique alguma coisa? Odeio quando as pessoas fazem cara de…
Vitor, deixa de ser hacker e desliga a câmara do mosso… Isso de andares a ver a cara das pessoas é muito feio!!
Sabes o que me irrita nisto? É ser confrontado com clientes e técnicos onde todos afirmam que eu sou “um velho do Restelo” e depois vem a dura e crua verdade sobre estas tecnologias.
Não pude deixar de partilhar por mail o vosso artigo por todos que me contrariaram… curioso, ninguém me responder!
Utilizem o CloudPT é nacional
https://cloudpt.pt/
[____]B
Só lá tenho porno 😀
e afinal é mais seguro a cloudpt do que outro serviço.com? alguém que diga sff
Como qualquer serviço de Cloud há que ter cuidado com a informação que colocamos online, até porque há sempre a possibilidade de alguém da PT ver e copiar a informação que lá está. É simples! É como qualquer solução de alojamento web, cloud, backup ou qualquer outro serviço online. Se existem terceiros a gerirem informação em servidores há sempre aquela hipótese de…De!
Acho que depende sempre do bom senso de cada pessoa e do teor da informação que está a colocar num servidor. Seja a PT ou outro qualquer.
Obviamente que temos a situação da confiança que pode coexistir entre cliente e operador.
Portanto… Cloudpt ou qualquer outro serviço similar, resume-se sempre ao mesmo.
Se me perguntar se uso? Sim, uso, apenas é só como backup redundante de dados encriptados e protegidos por tempo limitado.
Esta é a minha opinião.