PplWare Mobile

Dropbox mentia relativamente à segurança dos dados…

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. kekes says:

    É por isso que não uso estas ferramentas para informação sensivel. É impossivel que estejam totalmente protegidas de toda gente alem de nós.

  2. JC says:

    Mas é obvio que isto tenha que acontecer…

  3. Jonas says:

    Agora é que me tramaram… Vou mas é começar a usar o serviço de encriptação que falaram no outro dia

  4. A. Fernandes says:

    helas… a segurança vale o que vale. Uma coisa é certa, a pegada digital não é uma miragem, é real e a quebra de segurança ocorre a todo o momento.

    cuidado com o que disponibilizam em serviços online. É esta e outras questões que me põem a pensar em SO baseados em clouds e/ou aplicações e armazenamento de dados online… veremos.

  5. Rogério says:

    Isto é um falha na segurança deles.
    Visto isto ter vindo a publico, não me admiro nada de que o Dropbox não venha a ser alvo de ataques.

    O Dropbox para manter a segurança dos dados, deveria manter a negociação das chaves.

    E outra coisa que não foi referida, para poderem desencriptar os dados, precisam da password usada pelo utilizador, sem ela, não conseguem fazer nada. Pondo isto em cima da mesa, o Dropbox guarda a nossa password sem estar encriptada.

    Tal como acontece com os certificados SSL, existe uma negociação de chaves, entre o servidor que gere as chaves e o servidor onde está instalado o certificado, de forma a manter os dados da ligação seguros.

    • Jose says:

      Nada do que dizem faz sentido, isto acontece em todos os serviços.

      A única coisa que foi falada de mal aqui, foi que dão informação mal seja pedida, numa ordem judicial.

      A partes os funcionários acederem a informação, acontece em todo o lado, não abram os olhos que não é preciso.

      • Rogério says:

        Não estou a dizer o contrário…
        Tal como estava referido antes:
        “All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password.”

        O pretendido e o previsto seria só o utilizador ter acesso aos seus dados, uma vez que eles são todos encriptados.
        Mas o que foi descoberto é que apesar dos dados estarem encriptados, o Dropbox consegue os desencriptar usando a nossa password (pois só através da password de acesso à conta é que conseguem desencriptar os dados).

        Agora pergunto, como é que eles conseguem desencriptar?
        Existe duas respostas possíveis, ou os dados não são encriptados da forma como eles dizem, ou eles não encriptam a nossa password.

      • Pedro Pinto says:

        “Nada do que dizem faz sentido, isto acontece em todos os serviços”, ora aqui está uma boa questão. Será que os outros serviços cifram do lado do cliente ou do lado do servidor? Vou investigar …

    • Joao Pinto says:

      Rogério, lamento mas estás errado.

      Isto não é uma falha, o Dropbox funciona tal e qual foi planeado, o erro está simplesmente na forma enganosa como divulgaram o seu funcionamento aos utilizadores comuns.
      A encriptação não depende da password mas sim de uma chave, chave essa que é armazenada pela Dropbox, e sim, essa é que não estará encriptada, está protegida por autenticação, por uma password, essa sim encriptada. Se não fosse assim não era possível ter funções como reset à password, ou alteração da password sem encriptar os dados.

      Inseguro ?
      Obviamente as chaves e os conteúdos encriptados não se encontram no mesmo sistema/servidor, logo um utilizador malicioso terá que ter simultaneamente acesso aos conteúdos e às chaves (para tal utilizador a password não faz falta).

      Encriptação segura apenas seria possível se a chave de encriptação fosse de controle exclusivo do utilizador, um utilizador mais avançado sabe que isso não acontece no Dropbox, e como tal utiliza outros métodos de encriptação.

  6. g.f. says:

    da mesma maneira k um grupo “restrito” de funcionarios da google e da microsoft podem aceder aos nossos emails gmail e hotmail.

    usar a chave publica aes256 é mais fogo de vista k outra coisa. o k interessa é saber k as nossas credenciais sao apenas uma forma de entrar na nossa conta. os “altos” funcionarios do serviço têm uma especie de chave mestra, pois é assim k o sistema de encriptação deles está montado, qualquer k seja o algoritmo de encriptação.

    a diferença de mails para hosting de ficheiros tipo dropbox, é k voces podem encriptar os ficheiros ANTES de os enviar para a cloud. por isso tratem de fazer volumes com o truecrypy e sincronizar isso para o servidor deles. eles podem aceder a esses volumes mas nao os podem descencriptar.

  7. André Gomes says:

    Há sempre a hipótese de enviar os dados para lá já encriptados 😉

  8. carter says:

    aqui está um dos motivos para eu nao aderir a serviços da cloud, dropboxes e afins…

  9. fred says:

    bem, temos sempre hipotese de enviar para o dropbox os nossos ficheiros préviamente encriptados. mas isso implica por de lado a sincronização em tempo real, uma vez que teria de andar sempre a encriptar antes de enviar. Ou seja, acho k vou mandar o dropbox á viola, ou utilizar apenas pra ficheiros não confidenciais

  10. UnderRadiationNoise says:

    a mim não me convencem …e até este entre outros ataques vindos da cloud seria de esperar …pelos menos sempre achei isso demasiado óbvio e só espero que os tribunais entre outros organismos públicos Portugueses não venham a comer por tabela…basta quem tem os recursos também tenha as razões…ou interesses…Uplink!!

  11. OmeuNOME says:

    A única informação sensível que tenho lá e que quero realmente manter privada está encriptada do meu lado, por isso podem cuscar os meus ficheiros à vontade.

    De salientar que não devemos acreditar nos serviços online para nos garantirem a segurança, devemos ser nós a ter a iniciativa.

  12. sonoro says:

    Para mim tudo se resume a venda de informaçao.. e cloud é muito bom para isso desde que as pessoas deixam a suas coisa em fontes de 3ª podem te acesso a elas e vende-las..

    O que eles fizeram é que x pessoas poderiam ter mesmo filme na cloud eles em vez de ter la GB com mesmo filmes,punham apenas so um filme para todos os mesmo user desde que hash id fosse igual.. poupam muito com isso!
    Mas para saber isso e preciso spy os clientes…e ai la se vai a privacidade que tanto alegam proteger..

    Ainda tens perigo que ter tudo na cloud e cloud ir a vida por qualquer motivo arder,tsunami seja que for e fica sem a tua vida teus dados super importantes a arder. Resumindo ficas na merda se for algo super importante

  13. joao says:

    Eu gosto muito das pessoas que vêm a público com tamanha falta de noção, gritar “afinal podem aceder aos nossos dados na cloud!” como se fosse algo completamente escandaloso.

    Vão deixar de usar gmail? msn? é que também lá terão acesso aos vossos mails, e consequentemente a dados de contas
    Vão deixar de usar facebook? mesma coisa.

    O dropbox, tal como os outros serviços que referi é apenas um serviço bastante util que permite partilhar ficheiros entre computadores, como é óbvio, precisa de cumprir com as leis.
    Se têm algo suficientemente ilegal/whatever que querem manter completamente privado então não deviam pô-lo na cloud, simples, existem alternativas (truecrypt) que fazem isso, e mesmo que precisem, podem sempe usar truecrypt + dropbox, e acabam-se os problemas

    agora metem ficheiros confidenciais na cloud e acham que aquilo está 100% seguro, e depois choram quando afinal vem a público aquilo que era lógico para qualquer pessoa com um conhecimento legal minimo, enfim

  14. Navyseal says:

    Tal como @André Gomes disse, há sempre a possibilidade de enviarem dados encriptados, portanto não se preocupem e usem o serviço. 🙂

  15. João Campos says:

    E novidades, há? Privacidade e Internet são duas palavras que não devem ser usadas na mesma frase. Se têm dados alojados em servidores alheios e/ou se permitem que os mesmos alheios vos acessem os dados que têm alojados localmente, a privacidade deixa de existir. Digam o que disserem as tais “políticas de publicidade”. O que pode variar são as situações e circunstâncias em que esses mesmos são acedidos ou feitos públicos.

    Quem não deve não teme. Os dados sensíveis, se forem mesmo sensíveis, imo, não devem ser alojados online.

    • João Pinto says:

      Não me parece que o caso tenha tanto a ver com privacidade, mas mais com segurança. Nada indica que a política de privacidade do Dropbox esteja a ser violada, e sim, não é tudo igual, é importante, ler e compreender a política de privacidade de um serviço antes de o utilizar.
      Já do ponto de vista de segurança, fazia a Dropbox crer que os dados estariam encriptados de forma a que apenas os utilizadores proprietários teriam acesso, o que não é o caso.

      Os dados sensíveis, se forem mesmos sensíveis devem estar devidamente protegidos, sejam alojados online ou em nossas casas.
      Não me parece que a maioria das casas/PCs estejam melhor protegidos do que os centros de dados que servem o Dropbox.

  16. Paulo Vieira says:

    Eu não tenho por habito colocar na cloud ficheiros de muita confidencialidade, mas os que quero manter longe dos olhares alheios, à semelhança do que já foi aqui dito, uso um software de encriptação neste caso o Drag’n’Crypt e faço a encriptação do que quero manter confidencial, seguido do upload no dropbox.

    No Dropbox existe sempre a pasta como o Drag’n’Crypt portable para desencriptar os ficheiros a qualquer momento, assim sendo tenho muitas duvidas que consigam ver o que quer que seja nos meus ficheiros mais valiosos ou confidenciais.

    Ter o trabalho de encriptar e desencriptar, comparo esse serviço a ter um cofre grande e dentro dele um outro mais pequeno para as coisas de maior valor, pode ser trabalhoso mas compensador em termos de segurança.
    Lembrem-se que o seguro morreu de velho!

  17. Pedro Pinto says:

    Bem, pelas opiniões que li, em grande parte todos se referem à informação pessoal. Acham que o Dropbox continua a ser um serviço em quem as empresas podem confiar? Ou terão de fazer sempre a “2ª parte” cifrar e só depois enviar.

    Quanto à segurança da informação na cloud…pois esse é um problema que existe e irá sempre existir. O utilizador faz upload e nem imagina onde é que a informação vai parar…mas a segurança não é um problema apenas da cloud…se perdermos o telemóvel/smartphone já imaginaram a quantidade de informação que la vai?

    • Sergio200tdi says:

      Boas, Ora aí esta a razão de EU não utilizar, ou de forma muito reduzida esse tipo de serviços…
      Sou profissional de informática e o q utilizo é um telefone pra fazer chamadas e sms´s ( básico ), 1 conta gmail para mail´s pessoais ( não sensíveis ), acesso á net na empresa por “safe browsing” e quando realmente quero “ver” alguma coisa online ie. “filmes/series/etc” uso 1 VPN, ( ok, é o Hotspot shield, mas tudo bem) para o States pra evitar o tracking do meu IP.
      Quer queiramos quer não a nossa “vida digital” esta totalmente esventrada! Tenho alguma coisa a esconder? Não, mas não gosto de estar debaixo do microscópio…
      Saúde a todos 😉

  18. RaCcOn says:

    Sinceramente não percebo de todo qual é a novidade…aliás como é obvio os dados estão armazenados nos servidores deles e quem tiver acesso ao servidor tem acesso aos dados…
    Como é obvio também os dados não poderiam ser encriptados pela password do utilizador, caso contrário nunca seria possível fazer reset a mesma.

    Quanto ao resto, penso que seja bem explicito que apenas com ordem judicial é que irão facultar dados as autoridades…de uma forma geral já não funciona assim?E qual é o problema?
    Que raio de dados é que o pessoal daqui anda a armazenar no DropBox ou outro serviço Online que tenha medo que as autoridades lhes metam a vista em cima?

    LOl

  19. B80 says:

    É por estas e por outras que eu fico parvo com a confiança e dados sensíveis que muitas pessoas e principalmente empresas continuam a “ceder” a serviços destes.
    Mas pronto, eu é que sou alarmista.

  20. A Dropbox para quem não sabe, não tem usa os seus servidores para alojar os dados dos utilizadores/subscritores do serviço.
    Quer dizer no inicio usava mas depois o negocio começou a crescer e tiveram que fazer “outsource”, e para onde ?
    Para a AMAZON, para o seu serviço de cloud storage.
    Claro que não estão mais seguros por usarem a Amazon (até certo ponto), e digo isto porque a amazon disponibiliza varias API’s. A partir daí é de facto com a Dropbox a implementação do cliente nas várias plataformas que suporta bem como assegurar-se que os “software clients” faço a expressão comunicam de forma segura. O que o fazem mesmo sem recurso a outras ferramentas para tunelar trafego por ssl. O facto é que eles realmente tem os dados encriptados, e com a crifra standard (ok ok discutível). Contudo acho um alarido desnecessário essa questão da “Apenas o user e sua password dão acesso aos dados”. E sim só esses é que dão o acesso aos dados. Ora vejamos, quando vocês usam o vosso home bank também “Só quem tem o user,password, token ou cartão matrix é que acede ás vossas contas certo” ? Errado, do lado do banco podem sempre ver as vossas coisas e tal como os trabalhadores do Dropbox tb no banco quase qualquer um o pode fazer certo ?
    Por isso não vejo sequer o porque de a Dropbox ter alterado o texto a não ser para se precaver de uma qualquer acção judicial que no US qualquer coisa é válida para isso.
    Para finalizar e claro a título pessoal continuo a ter confiança na Dropbox por duas razões:
    1ª é que a data sensível que coloco lá já está ela própria encriptada. (BD’s com as minhas passwords de aceso ao “mundo”)
    2º O resto está num volume de 1.5GB de TrueCrypt que está disponível onde eu estou.
    Desta forma mesmo que toda a Dropbox veja a minha conta não me preocupa.
    Ah e tal assim tb eu.
    Pois meus amigos é que a segurança não é para ser feita apenas num dos lados.
    Se cada um cumprir a sua parte as coisas também se tornam mais seguras “aparentemente”.

    Cumprimentos.

  21. BBC says:

    Se alteraram foi para passar a ser mais seguro, portanto não há nada de preocupante.

    Entretanto,
    Se quiserem inscrever-se no Dropbox e ganhar mais 250mb:
    http://db.tt/U8uPqpI

    Se quiserem inscrever-se no SugarSync e ganhar mais 500mb:
    https://www.sugarsync.com/referral?rf=c6iy8xm76ivvd

  22. Fernando Jorge says:

    Pela estrutura que o Wuala (http://www.wuala.com/) tem… estou tentado a dizer que não sofre do mesmo mal… mesmo assim, não coloco lá nada sensível.

    • João Pinto says:

      A vantagem do Wala não é tanto pela estrutura, ainda que os dados sejam distribuídos nada te diz que um funcionário da Wala não consegue facilmente obter os fragmentos dos teus dados dos vários locais.
      A vantagem (assumindo que a informação no site deles não é falsa) é que a encriptação é feita com uma chave gerada localmente e que nunca é carregada para os servidores deles.
      Por isso, no caso do Wala, para alem do acesso ao armazenamento dos teus dados teriam que de alguma forma ter acesso ao teu PC para obter a chave de encriptação.

  23. Nada impede de utilizares, se tiveres o cuidado de a informação sensível que lá colocas ir bem encriptada por exemplo através de truecrypt, continua a estar disponível a partir da web, mas precisas de truecrypt para lá puderes entrar

  24. Algum problema com o comentário a este assunto efectuado esta madrugada “por volta da 1am”

    Com os meus melhores cumprimentos.

  25. Miguel says:

    1) já são conhecidos ataques à segurança do AES, o mais curioso é que devido a esses ataques o AES 192 é mais seguro que o AES 256 bits! (ver: http://www.schneier.com/blog/archives/2009/07/another_new_aes.html)

    2) o facto de a informação estar cifrada (com AES ou outro algoritmo) não significa que os dados não possam ser lidos por mais ninguém. Tudo depende de quem tem acesso à chave. No caso do dropbox parece que são eles que escolhem a chave com que cifram os nossos dados!!!

    Se quiserem usar o dropbox e ter garantia de confidencialidade guardem lá os dados usando o Truecrypt (ou outra ferramenta semelhante). Desta forma quem escolhe a chave somos nós 🙂

  26. Segundo a resposta do Bruce Schneier:
    “So if I read this right (haven’t seen the paper yet), AES-128 is actually harder to break than AES-256 due to the nature of this attack?”
    Yes and no. Neither can be broken. There are no attacks against any AES variants that are better than brute force; all of these attacks are against reduced-round variants.
    That being said, the key schedule for AES-256 is very poor. I would recommend that people use AES-128 and not AES-256.
    E agora segundo um dos vencedores do concurso:
    http://eprint.iacr.org/2010/337.pdf

    Uma ressalva apenas para não fazerem confusão entre blocos com 128bits e chaves com 128/192/256bits

    Cumprimentos

  27. dbohry says:

    Melhor encriptar o arquivo de outra forma e logo depois postar na drop 😛

  28. tiago says:

    Eu sendo jogador de poker online, começo a ter algumas duvidas da segurança dos meus dados pessoais. Penso que se é tão facil atacar empresas como a sony e a dropbox, então o que poderá acontecer daqui alguns tempos com os sites de apostas online onde circula milhares de euros.

  29. Marco Sousa says:

    http://www.wuala.com totaly secure!! no ones was access to yours files

    • Marco Sousa says:

      Agora em portugues 🙂 sorry

      é totalmente seguro! ninguém tem acesso aos teus ficheiros.. nem nos seus servidores!

      • Yuy says:

        Cheira-me a falsidade… todos os serviços metem backdoors… mesmo que digam que não… porque os estados exigem sempre às empresas isso… e esses usam AES-128 com chave RSA-2048… se não tiver mesmo backdoors, o que não acredito, é porque os estados consegue quebrar a chave de encriptação RSA-2048 que protege.

  30. BBC says:

    Se alteraram foi para passar a ser mais seguro, portanto não há nada de preocupante.

    Entretanto,
    Se quiserem inscrever-se no Dropbox e ganhar mais 250mb:
    http://db.tt/U8uPqpI

    Se quiserem inscrever-se no SugarSync e ganhar mais 500mb:
    https://www.sugarsync.com/referral?rf=c6iy8xm76ivvd

  31. joao says:

    Todo o tipo de encriptação dá para quebrar e acho que deviam de ter consciência disso, portanto pensem sempre no que metem na web …

  32. Greenhot says:

    Tenho de ir trabalhar para o dropbox para ter acesso as contas dos meus professores!!

  33. delaorden says:

    Deixa eu dar um pitaco.
    Muitos usuarios imaginam o “cloud computing” como isso, uma nuvem, onde tudo é armazenado de forma lúdica, e isso,todos aqui sabemos, não existe. São HD’s e grandes servidores e por isso vulneraveis a intrusões.
    Não existe serviço 100% seguro na Internet. Esse tempo, se houve, não existe mais. Veja o caso do PSN e varios outros.
    Eu estou usando o Dropbox, Skydrive da Microsoft e agora o UbuntuOne para Windows !!!
    Ainda assim de todos os comentarios, o mais certo é o do amigo la
    encima; segurança total somente nos seus proprios Hd’s,pendrives e midias outras.
    Valeu !

  34. Vítor Moreira says:

    A solução que encontrei: ter um NAS em casa. Os meus dados, no meu lado 🙂

  35. Zariel says:

    Keep it coming, witrers, this is good stuff.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.