Páginas

terça-feira, 12 de abril de 2011

Problemas de Segurança no Cliente Dropbox

O especialista em segurança Derek Newton, considera a utilização do popular serviço on-line  Dropbox como um risco de segurança. O serviço armazena arquivos na web  e permanentemente, sincroniza-os entre diferentes computadores. Isso é feito utilizando um software client para Windows, Linux e Mac OS e sistemas móveis como o IOS e Android.

O serviço de armazenamento online é muito popular também com os usuários corporativos. Ao examinar o cliente do Windows, Newton descobriu uma falha de segurança grave no serviço de movimentação da conta de acesso à dados no Dropbox. As credenciais só precisam ser inseridas uma única vez, durante a instalação. O processo de instalação gera um token de autenticação, o HOST_ID, que é posteriormente armazenado no arquivo config.db no diretório %APPDATA%\Dropbox em um disco rígido local.

Newton diz que o HOST_ID não está vinculado ao sistema que foi gerado e pode, portanto, ser transferido para qualquer outro sistema. Isso permite potencialmente que um trojan extraia o arquivo config.db, e obtenha acesso não autorizado a arquivos armazenados de um usuário Dropbox.

Tais acessos não registram-se como sistemas adicionais porque, aparentemente, quando o novo sistema não autorizado se conecta ao serviço Dropbox, o HOST_ID faz com que pareça ser o sistema original. Não há solicitação de credenciais e não há máquinas adicionadas à lista de sistemas que o Dropbox está sincronizando.

Alteração de senhas, a forma usual de impedir o acesso contínuo de usuários não deve funcionar, devido ao HOST_ID permanecer válida após a mudança. O HOST_ID pode ser revogado, indo para www.dropbox.com/account e selecionando "My Computers" e "Unlink" para qualquer sistema comprometido.


As Dimensões da Falha de Segurança


Newton acha que a falha de segurança é causada por uma falha de projeto no cliente Windows. Ainda não está claro se o software para outros sistemas operacionais também é afetada, mas isso parece possível, porque eles compartilham a mesma arquitetura.

Além disso, Newton recomenda que os usuários corporativos devem se abster de utilizar o Dropbox, por enquanto. O especialista aconselha que a criptografia forte deve ser utilizada para proteger dados confidenciais armazenados em um Dropbox, e que os usuários devem remover quaisquer sistemas antigos de sua lista de sistemas de autorizados, e que cuidados devem ser tomados para evitar possíveis intrusos de acessar o arquivo config.db.

Em uma discussão em fóruns Dropbox, o CTO da empresa, Arash Ferdowsi, disse que não concorda com a avaliação de Newton sobre a questão. Ele ressalta que, se alguém teve acesso ao sistema, seja fisicamente ou por meio de um vírus ou trojan, "a batalha da segurança acabou" e que os dados de todo o sistema são vulneráveis.

Ferdowsi diz que a empresa vai "pensar com cuidado sobre as melhorias de segurança possíveis" a serem implementadas no cliente Dropbox, e irá apresentá-las em versões mais recentes do serviço. Ele menciona mais símbolos complexos, melhorias no arquivo e permissões obscuras de melhoria do local onde a identificação é realizada. Uma opção Dropbox deve considerar a geração de HOST_ID token com base em um identificador ligado ao sistema físico.


Links de Interesse:

- Newton Derek
- Security issue found in Dropbox client