Proponha uma correção, faça uma sugestão
Dropbox mentia relativamente à segurança dos dados…
O Dropbox é provavelmente a ferramenta mais popular de backups na cloud, criando um tipo de disco virtual que pode ser acedido a partir de qualquer lugar. Este é sem dúvida um dos serviços mais usados pelos nossos leitores e são muitas as aplicações disponíveis que adicionam novas funcionalidades.
Já alguma vez leu os termos de segurança e privacidade do Dropbox?
Os responsáveis pelo Dropbox sempre afirmaram que o serviço era bastante seguro, a informação estava cifrada (AES256) e que apenas o utilizador tinha acesso à sua informação. No entanto, segundo Christopher Soghoian (estudante americano de doutoramento), qualquer funcionário do Dropbox poderá visualizar facilmente o conteúdo dos ficheiros de qualquer utilizador.
O estudante iniciou em Abril um processo de reclamação junto da FTC (Federal Trade Commission) no sentido de serem avaliadas as questões de privacidade da informação e de serem analisados os termos de segurança que estavam disponíveis no site principal do serviço de dropbox.
Depois da denuncia, os termos relacionados com a segurança foram alterados de:
All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password.
Para apenas:
All files stored on Dropbox servers are encrypted (AES 256)
Afinal, o serviço Dropbox mentia aos utilizadores ao referir que apenas o utilizador tinha acesso à sua informação! Tal pode ainda ser confirmado de acordo com um directiva que faz parte dos termos de segurança e privacidade actuais do dropbox:
Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so).
Basicamente a empresa pode actualmente fornecer os nossos dados, caso haja algum pedido que esteja associado a uma ordem judicial.
Uma questão/resposta final…
Como podem os funcionários do Dropbox aceder à nossa informação uma vez que ela está cifrada com AES256(um dos algoritmos mais poderosos actualmente) ? Bem, não esquecer que as chaves usadas durante o processo de criptografia dos dados ficam do lado da empresa que gere o Dropbox…
Homepage: Wired.com
Homepage: Politica de Segurança e Privacida actual do Dropbox
Este artigo tem mais de um ano
Loading ...
É por isso que não uso estas ferramentas para informação sensivel. É impossivel que estejam totalmente protegidas de toda gente alem de nós.
x2
x3
x4
Ora nem mais 🙂
x6
x7
x8
Prefiro usar os GB de uma conta da gmail 😛
Mesmo assim…o gmail ou facebooks ou coisas do genero tem muito que se lhe diga.. ha muitas teorias de conspiraçoes e todos os nossos dados podem ser usados mesmo que nos nao saibamos :S
x9
Informação em equipamentos palpáveis (dicos, pens, hdds…) é que é. Assim sabemos sempre onde ela está.
Mas é obvio que isto tenha que acontecer…
Agora é que me tramaram… Vou mas é começar a usar o serviço de encriptação que falaram no outro dia
Sim. Secret Sync nisso: https://pplware.sapo.pt/windows/software/secretsync-camada-de-proteco-para-o-dropbox/
Ora nem mais 🙂 Secret Sync, assim a informação é cifrada do nosso lado: https://pplware.sapo.pt/windows/software/secretsync-camada-de-proteco-para-o-dropbox/
helas… a segurança vale o que vale. Uma coisa é certa, a pegada digital não é uma miragem, é real e a quebra de segurança ocorre a todo o momento.
cuidado com o que disponibilizam em serviços online. É esta e outras questões que me põem a pensar em SO baseados em clouds e/ou aplicações e armazenamento de dados online… veremos.
Isto é um falha na segurança deles.
Visto isto ter vindo a publico, não me admiro nada de que o Dropbox não venha a ser alvo de ataques.
O Dropbox para manter a segurança dos dados, deveria manter a negociação das chaves.
E outra coisa que não foi referida, para poderem desencriptar os dados, precisam da password usada pelo utilizador, sem ela, não conseguem fazer nada. Pondo isto em cima da mesa, o Dropbox guarda a nossa password sem estar encriptada.
Tal como acontece com os certificados SSL, existe uma negociação de chaves, entre o servidor que gere as chaves e o servidor onde está instalado o certificado, de forma a manter os dados da ligação seguros.
Nada do que dizem faz sentido, isto acontece em todos os serviços.
A única coisa que foi falada de mal aqui, foi que dão informação mal seja pedida, numa ordem judicial.
A partes os funcionários acederem a informação, acontece em todo o lado, não abram os olhos que não é preciso.
Não estou a dizer o contrário…
Tal como estava referido antes:
“All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password.”
O pretendido e o previsto seria só o utilizador ter acesso aos seus dados, uma vez que eles são todos encriptados.
Mas o que foi descoberto é que apesar dos dados estarem encriptados, o Dropbox consegue os desencriptar usando a nossa password (pois só através da password de acesso à conta é que conseguem desencriptar os dados).
Agora pergunto, como é que eles conseguem desencriptar?
Existe duas respostas possíveis, ou os dados não são encriptados da forma como eles dizem, ou eles não encriptam a nossa password.
“Nada do que dizem faz sentido, isto acontece em todos os serviços”, ora aqui está uma boa questão. Será que os outros serviços cifram do lado do cliente ou do lado do servidor? Vou investigar …
Se não estou enganado o Lastpass cifra do lado do cliente.
Mas esses também não anda a correr bem por aqueles lados-
Rogério, lamento mas estás errado.
Isto não é uma falha, o Dropbox funciona tal e qual foi planeado, o erro está simplesmente na forma enganosa como divulgaram o seu funcionamento aos utilizadores comuns.
A encriptação não depende da password mas sim de uma chave, chave essa que é armazenada pela Dropbox, e sim, essa é que não estará encriptada, está protegida por autenticação, por uma password, essa sim encriptada. Se não fosse assim não era possível ter funções como reset à password, ou alteração da password sem encriptar os dados.
Inseguro ?
Obviamente as chaves e os conteúdos encriptados não se encontram no mesmo sistema/servidor, logo um utilizador malicioso terá que ter simultaneamente acesso aos conteúdos e às chaves (para tal utilizador a password não faz falta).
Encriptação segura apenas seria possível se a chave de encriptação fosse de controle exclusivo do utilizador, um utilizador mais avançado sabe que isso não acontece no Dropbox, e como tal utiliza outros métodos de encriptação.
da mesma maneira k um grupo “restrito” de funcionarios da google e da microsoft podem aceder aos nossos emails gmail e hotmail.
usar a chave publica aes256 é mais fogo de vista k outra coisa. o k interessa é saber k as nossas credenciais sao apenas uma forma de entrar na nossa conta. os “altos” funcionarios do serviço têm uma especie de chave mestra, pois é assim k o sistema de encriptação deles está montado, qualquer k seja o algoritmo de encriptação.
a diferença de mails para hosting de ficheiros tipo dropbox, é k voces podem encriptar os ficheiros ANTES de os enviar para a cloud. por isso tratem de fazer volumes com o truecrypy e sincronizar isso para o servidor deles. eles podem aceder a esses volumes mas nao os podem descencriptar.
Há sempre a hipótese de enviar os dados para lá já encriptados 😉
Pois. SecretSync – Camada de protecção para o Dropbox – https://pplware.sapo.pt/windows/software/secretsync-camada-de-proteco-para-o-dropbox/
aqui está um dos motivos para eu nao aderir a serviços da cloud, dropboxes e afins…
Não é por aí que te safas disto, mas ok.
sim é verdade, mas bom..já se sabe que na Net a privacidade é uma ilusão.
bem, temos sempre hipotese de enviar para o dropbox os nossos ficheiros préviamente encriptados. mas isso implica por de lado a sincronização em tempo real, uma vez que teria de andar sempre a encriptar antes de enviar. Ou seja, acho k vou mandar o dropbox á viola, ou utilizar apenas pra ficheiros não confidenciais
a mim não me convencem …e até este entre outros ataques vindos da cloud seria de esperar …pelos menos sempre achei isso demasiado óbvio e só espero que os tribunais entre outros organismos públicos Portugueses não venham a comer por tabela…basta quem tem os recursos também tenha as razões…ou interesses…Uplink!!
A única informação sensível que tenho lá e que quero realmente manter privada está encriptada do meu lado, por isso podem cuscar os meus ficheiros à vontade.
De salientar que não devemos acreditar nos serviços online para nos garantirem a segurança, devemos ser nós a ter a iniciativa.
Para mim tudo se resume a venda de informaçao.. e cloud é muito bom para isso desde que as pessoas deixam a suas coisa em fontes de 3ª podem te acesso a elas e vende-las..
O que eles fizeram é que x pessoas poderiam ter mesmo filme na cloud eles em vez de ter la GB com mesmo filmes,punham apenas so um filme para todos os mesmo user desde que hash id fosse igual.. poupam muito com isso!
Mas para saber isso e preciso spy os clientes…e ai la se vai a privacidade que tanto alegam proteger..
Ainda tens perigo que ter tudo na cloud e cloud ir a vida por qualquer motivo arder,tsunami seja que for e fica sem a tua vida teus dados super importantes a arder. Resumindo ficas na merda se for algo super importante
Eu gosto muito das pessoas que vêm a público com tamanha falta de noção, gritar “afinal podem aceder aos nossos dados na cloud!” como se fosse algo completamente escandaloso.
Vão deixar de usar gmail? msn? é que também lá terão acesso aos vossos mails, e consequentemente a dados de contas
Vão deixar de usar facebook? mesma coisa.
O dropbox, tal como os outros serviços que referi é apenas um serviço bastante util que permite partilhar ficheiros entre computadores, como é óbvio, precisa de cumprir com as leis.
Se têm algo suficientemente ilegal/whatever que querem manter completamente privado então não deviam pô-lo na cloud, simples, existem alternativas (truecrypt) que fazem isso, e mesmo que precisem, podem sempe usar truecrypt + dropbox, e acabam-se os problemas
agora metem ficheiros confidenciais na cloud e acham que aquilo está 100% seguro, e depois choram quando afinal vem a público aquilo que era lógico para qualquer pessoa com um conhecimento legal minimo, enfim
Tal como @André Gomes disse, há sempre a possibilidade de enviarem dados encriptados, portanto não se preocupem e usem o serviço. 🙂
E novidades, há? Privacidade e Internet são duas palavras que não devem ser usadas na mesma frase. Se têm dados alojados em servidores alheios e/ou se permitem que os mesmos alheios vos acessem os dados que têm alojados localmente, a privacidade deixa de existir. Digam o que disserem as tais “políticas de publicidade”. O que pode variar são as situações e circunstâncias em que esses mesmos são acedidos ou feitos públicos.
Quem não deve não teme. Os dados sensíveis, se forem mesmo sensíveis, imo, não devem ser alojados online.
Não me parece que o caso tenha tanto a ver com privacidade, mas mais com segurança. Nada indica que a política de privacidade do Dropbox esteja a ser violada, e sim, não é tudo igual, é importante, ler e compreender a política de privacidade de um serviço antes de o utilizar.
Já do ponto de vista de segurança, fazia a Dropbox crer que os dados estariam encriptados de forma a que apenas os utilizadores proprietários teriam acesso, o que não é o caso.
Os dados sensíveis, se forem mesmos sensíveis devem estar devidamente protegidos, sejam alojados online ou em nossas casas.
Não me parece que a maioria das casas/PCs estejam melhor protegidos do que os centros de dados que servem o Dropbox.
Eu não tenho por habito colocar na cloud ficheiros de muita confidencialidade, mas os que quero manter longe dos olhares alheios, à semelhança do que já foi aqui dito, uso um software de encriptação neste caso o Drag’n’Crypt e faço a encriptação do que quero manter confidencial, seguido do upload no dropbox.
No Dropbox existe sempre a pasta como o Drag’n’Crypt portable para desencriptar os ficheiros a qualquer momento, assim sendo tenho muitas duvidas que consigam ver o que quer que seja nos meus ficheiros mais valiosos ou confidenciais.
Ter o trabalho de encriptar e desencriptar, comparo esse serviço a ter um cofre grande e dentro dele um outro mais pequeno para as coisas de maior valor, pode ser trabalhoso mas compensador em termos de segurança.
Lembrem-se que o seguro morreu de velho!
Bem, pelas opiniões que li, em grande parte todos se referem à informação pessoal. Acham que o Dropbox continua a ser um serviço em quem as empresas podem confiar? Ou terão de fazer sempre a “2ª parte” cifrar e só depois enviar.
Quanto à segurança da informação na cloud…pois esse é um problema que existe e irá sempre existir. O utilizador faz upload e nem imagina onde é que a informação vai parar…mas a segurança não é um problema apenas da cloud…se perdermos o telemóvel/smartphone já imaginaram a quantidade de informação que la vai?
Boas, Ora aí esta a razão de EU não utilizar, ou de forma muito reduzida esse tipo de serviços…
Sou profissional de informática e o q utilizo é um telefone pra fazer chamadas e sms´s ( básico ), 1 conta gmail para mail´s pessoais ( não sensíveis ), acesso á net na empresa por “safe browsing” e quando realmente quero “ver” alguma coisa online ie. “filmes/series/etc” uso 1 VPN, ( ok, é o Hotspot shield, mas tudo bem) para o States pra evitar o tracking do meu IP.
Quer queiramos quer não a nossa “vida digital” esta totalmente esventrada! Tenho alguma coisa a esconder? Não, mas não gosto de estar debaixo do microscópio…
Saúde a todos 😉
Sinceramente não percebo de todo qual é a novidade…aliás como é obvio os dados estão armazenados nos servidores deles e quem tiver acesso ao servidor tem acesso aos dados…
Como é obvio também os dados não poderiam ser encriptados pela password do utilizador, caso contrário nunca seria possível fazer reset a mesma.
Quanto ao resto, penso que seja bem explicito que apenas com ordem judicial é que irão facultar dados as autoridades…de uma forma geral já não funciona assim?E qual é o problema?
Que raio de dados é que o pessoal daqui anda a armazenar no DropBox ou outro serviço Online que tenha medo que as autoridades lhes metam a vista em cima?
LOl
É por estas e por outras que eu fico parvo com a confiança e dados sensíveis que muitas pessoas e principalmente empresas continuam a “ceder” a serviços destes.
Mas pronto, eu é que sou alarmista.
A Dropbox para quem não sabe, não tem usa os seus servidores para alojar os dados dos utilizadores/subscritores do serviço.
Quer dizer no inicio usava mas depois o negocio começou a crescer e tiveram que fazer “outsource”, e para onde ?
Para a AMAZON, para o seu serviço de cloud storage.
Claro que não estão mais seguros por usarem a Amazon (até certo ponto), e digo isto porque a amazon disponibiliza varias API’s. A partir daí é de facto com a Dropbox a implementação do cliente nas várias plataformas que suporta bem como assegurar-se que os “software clients” faço a expressão comunicam de forma segura. O que o fazem mesmo sem recurso a outras ferramentas para tunelar trafego por ssl. O facto é que eles realmente tem os dados encriptados, e com a crifra standard (ok ok discutível). Contudo acho um alarido desnecessário essa questão da “Apenas o user e sua password dão acesso aos dados”. E sim só esses é que dão o acesso aos dados. Ora vejamos, quando vocês usam o vosso home bank também “Só quem tem o user,password, token ou cartão matrix é que acede ás vossas contas certo” ? Errado, do lado do banco podem sempre ver as vossas coisas e tal como os trabalhadores do Dropbox tb no banco quase qualquer um o pode fazer certo ?
Por isso não vejo sequer o porque de a Dropbox ter alterado o texto a não ser para se precaver de uma qualquer acção judicial que no US qualquer coisa é válida para isso.
Para finalizar e claro a título pessoal continuo a ter confiança na Dropbox por duas razões:
1ª é que a data sensível que coloco lá já está ela própria encriptada. (BD’s com as minhas passwords de aceso ao “mundo”)
2º O resto está num volume de 1.5GB de TrueCrypt que está disponível onde eu estou.
Desta forma mesmo que toda a Dropbox veja a minha conta não me preocupa.
Ah e tal assim tb eu.
Pois meus amigos é que a segurança não é para ser feita apenas num dos lados.
Se cada um cumprir a sua parte as coisas também se tornam mais seguras “aparentemente”.
Cumprimentos.
Se alteraram foi para passar a ser mais seguro, portanto não há nada de preocupante.
Entretanto,
Se quiserem inscrever-se no Dropbox e ganhar mais 250mb:
http://db.tt/U8uPqpI
Se quiserem inscrever-se no SugarSync e ganhar mais 500mb:
https://www.sugarsync.com/referral?rf=c6iy8xm76ivvd
Pela estrutura que o Wuala (http://www.wuala.com/) tem… estou tentado a dizer que não sofre do mesmo mal… mesmo assim, não coloco lá nada sensível.
A vantagem do Wala não é tanto pela estrutura, ainda que os dados sejam distribuídos nada te diz que um funcionário da Wala não consegue facilmente obter os fragmentos dos teus dados dos vários locais.
A vantagem (assumindo que a informação no site deles não é falsa) é que a encriptação é feita com uma chave gerada localmente e que nunca é carregada para os servidores deles.
Por isso, no caso do Wala, para alem do acesso ao armazenamento dos teus dados teriam que de alguma forma ter acesso ao teu PC para obter a chave de encriptação.
Nada impede de utilizares, se tiveres o cuidado de a informação sensível que lá colocas ir bem encriptada por exemplo através de truecrypt, continua a estar disponível a partir da web, mas precisas de truecrypt para lá puderes entrar
Algum problema com o comentário a este assunto efectuado esta madrugada “por volta da 1am”
Com os meus melhores cumprimentos.
1) já são conhecidos ataques à segurança do AES, o mais curioso é que devido a esses ataques o AES 192 é mais seguro que o AES 256 bits! (ver: http://www.schneier.com/blog/archives/2009/07/another_new_aes.html)
2) o facto de a informação estar cifrada (com AES ou outro algoritmo) não significa que os dados não possam ser lidos por mais ninguém. Tudo depende de quem tem acesso à chave. No caso do dropbox parece que são eles que escolhem a chave com que cifram os nossos dados!!!
Se quiserem usar o dropbox e ter garantia de confidencialidade guardem lá os dados usando o Truecrypt (ou outra ferramenta semelhante). Desta forma quem escolhe a chave somos nós 🙂
Até porque se utilizares uma Keyfile, fica garantidamente mais dificil de ser quebrada e encriptação
Segundo a resposta do Bruce Schneier:
“So if I read this right (haven’t seen the paper yet), AES-128 is actually harder to break than AES-256 due to the nature of this attack?”
Yes and no. Neither can be broken. There are no attacks against any AES variants that are better than brute force; all of these attacks are against reduced-round variants.
That being said, the key schedule for AES-256 is very poor. I would recommend that people use AES-128 and not AES-256.
E agora segundo um dos vencedores do concurso:
http://eprint.iacr.org/2010/337.pdf
Uma ressalva apenas para não fazerem confusão entre blocos com 128bits e chaves com 128/192/256bits
Cumprimentos
Melhor encriptar o arquivo de outra forma e logo depois postar na drop 😛
Eu sendo jogador de poker online, começo a ter algumas duvidas da segurança dos meus dados pessoais. Penso que se é tão facil atacar empresas como a sony e a dropbox, então o que poderá acontecer daqui alguns tempos com os sites de apostas online onde circula milhares de euros.
http://www.wuala.com totaly secure!! no ones was access to yours files
Agora em portugues 🙂 sorry
é totalmente seguro! ninguém tem acesso aos teus ficheiros.. nem nos seus servidores!
Cheira-me a falsidade… todos os serviços metem backdoors… mesmo que digam que não… porque os estados exigem sempre às empresas isso… e esses usam AES-128 com chave RSA-2048… se não tiver mesmo backdoors, o que não acredito, é porque os estados consegue quebrar a chave de encriptação RSA-2048 que protege.
Se alteraram foi para passar a ser mais seguro, portanto não há nada de preocupante.
Entretanto,
Se quiserem inscrever-se no Dropbox e ganhar mais 250mb:
http://db.tt/U8uPqpI
Se quiserem inscrever-se no SugarSync e ganhar mais 500mb:
https://www.sugarsync.com/referral?rf=c6iy8xm76ivvd
Todo o tipo de encriptação dá para quebrar e acho que deviam de ter consciência disso, portanto pensem sempre no que metem na web …
Tenho de ir trabalhar para o dropbox para ter acesso as contas dos meus professores!!
Deixa eu dar um pitaco.
Muitos usuarios imaginam o “cloud computing” como isso, uma nuvem, onde tudo é armazenado de forma lúdica, e isso,todos aqui sabemos, não existe. São HD’s e grandes servidores e por isso vulneraveis a intrusões.
Não existe serviço 100% seguro na Internet. Esse tempo, se houve, não existe mais. Veja o caso do PSN e varios outros.
Eu estou usando o Dropbox, Skydrive da Microsoft e agora o UbuntuOne para Windows !!!
Ainda assim de todos os comentarios, o mais certo é o do amigo la
encima; segurança total somente nos seus proprios Hd’s,pendrives e midias outras.
Valeu !
A solução que encontrei: ter um NAS em casa. Os meus dados, no meu lado 🙂
O problema é quando assaltam a casa e levam o pc, lá se vai a cópia de segurança.
Keep it coming, witrers, this is good stuff.