partner serwisu

Dropbox wykrada pliki? Aż tak źle nie jest, ale chmurowy gigant nie gra do końca czysto.

Dropbox wykrada pliki? Aż tak źle nie jest, ale chmurowy gigant nie gra do końca czysto.
Autor:
Marek Kowalski
Data publikacji:
4 marca 2015, 16:00
Średnia ocena:
Twoja ocena:
Tagi:
backup, bezpieczeństwo, bruce schneier, chmura obliczeniowa, cloud computing, dostęp do plików, dropbox, e-siber, ietf, kopia zapasowa, mega, spideroak, synchronizacja plików, szpiegostwo, śledzenie użytkowników

2 marca 2015 roku na jednym z tureckich serwisów technologicznych - E-siber.com - pojawiła się informacja o rzekomym olbrzymim zagrożeniu ze strony popularnej usługi chmurowej - Dropbox. Już sam tytuł, po przetłumaczeniu brzmiący mniej więcej tak: "Dropbox ma dostęp do wszystkich plików na Twoim PC (nie tylko folderu synchronizacyjnego) i kradnie wszystko" wzbudził nasze wątpliwości, co do rzetelności tekstu sygnowanego tak tabloidalnie sformułowanym tytułem. Przyjrzeliśmy się bliżej rzeczonej publikacji w serwisie E-siber.com. Czy faktycznie Dropbox wykrada pliki użytkowników i ma dostęp do całej zawartości ich komputerów? Jak zwykle w tego typu przypadkach diabeł tkwi w szczegółach.

Sensacyjna wiadomość opublikowana przez Mekina Pesena w tureckim serwisie technologicznym E-Siber.com i - niestety - w podobnym tonie powtórzona przez wiele innych serwisów, od początku wzbudzała wiele wątpliwości. Strach zapanował na wielu blogaskach, a gorąca atmosfera udzieliła się nawet tym, którzy zwykle zachowywali pełen profesjonalizmu chłodny umysł.

Przede wszystkim zarzut "kradzieży wszystkiego" jest dość poważny. Zwłaszcza w przypadku usługi, z której - według danych samego usługodawcy - na całym świecie korzysta ponad 300 milionów ludzi. Co tak naprawdę zrobił Mekin Pesen, do jakich wniosków doszedł i dlaczego - nie można tego napisać inaczej - wykazał, że tak naprawdę nie rozumie jak działają serwisy chmurowe?

Od razu na wstępie chcemy wyraźnie podkreślić, że nie zamierzamy na siłę wybielać Dropboksa. Rozwiązanie to jest jedną z najstarszych usług polegających na przechowywaniu i automatycznej synchronizacji danych użytkowników w chmurze.  Działa od 2007 roku i od momentu swojego powstania nieraz zdarzały się firmie Dropbox Inc. wpadki, które rzucały cień na poziom bezpieczeństwa użytkowników zapewniany przez ten popularny produkt, zwłaszcza głośna swego czasu sprawa z awarią, w wyniku której możliwe było zalogowanie się na konto nieznanego użytkownika bez znajomości chroniącego to konto hasła. Niemniej zarzut postawiony przez Pesena jest znacznie poważniejszy, bo dotyczy fundamentalnej kwestii - wytyczenia przez użytkownika granicy dostępności usługi do danych, które dana osoba chce, a których nie chce nikomu udostępniać.

Teoretycznie działanie Dropboksa wszyscy znamy. Usługa ma za zadanie automatycznie synchronizować  z chmurą pliki znajdujące się w ściśle określonej lokalizacji, tak zwanym folderze synchronizacyjnym. Każdy plik, który zostanie umieszczony w takim folderze ma być jak najszybciej przesłany do chmury, a stamtąd synchronizowany z pozostałymi urządzeniami, na których działa usługa powiązana z kontem danej osoby. Sęk w tym, że Pesen podważa tą podstawową funkcjonalność zarzucając Dropboksowi, iż tak naprawdę usługa synchronizuje nie tylko dane ze wskazanego przez użytkownika folderu, ale ma też dostęp do całej przestrzeni lokalnego dysku C:, co w przypadku komputera PC pracującego pod kontrolą systemu Windows oznacza dostęp do wszystkich danych systemu operacyjnego, aplikacji i wszystkich danych użytkownika. Jak on doszedł do takich wniosków?

"Wielka kradzież" - studium przypadku

To co zrobił autor serwisu E-Siber.com, to ustawienie tzw. agenta DLP (Data Loss Prevention) - specjalnego oprogramowania monitorującego aktywność użytkownika i działających aplikacji w szerokim zakresie. Za pomocą agenta DLP można śledzić korzystanie z systemowego schowka, wykonywanie zrzutów ekranowych czy właśnie uzyskiwanie dostępu do plików. Następnie Pesen umieścił w różnych folderach (m.in. na pulpicie Windows, a nawet w Koszu systemowym) pliki-pułapki i monitorował, jakie aplikacje mają dostęp do tych plików. Oczywiście wszystkie te pliki umieszczone były poza folderem synchronizacyjnym usługi Dropbox.

Na powyższej ilustracji (pełne powiększenie uzyskasz z prawokliku wybierając Otwórz grafikę w nowej karcie) wyraźnie widać, że skonfigurowana w agencie DLP reguła mająca śledzić odwołania do wspomnianych plików wykazała, iż dostęp do tych plików miał proces usługi Dropbox. 

Jednocześnie Pesen sprawdził raporty generowane przez zainstalowaną na jego maszynie zaporę sieciową, wykrywając realizowany szyfrowanym kanałem (port TCP 443) ruch sieciowy do serwerów usługi Dropbox. Czego trzeba więcej?! Dropbox kradnie pliki! Prawda? 

Nie.

Dane i metadane

Już sam zarzut, że usługa synchronizuje wszystkie dane każdego użytkownika woła o pomstę do nieba. Dropbox jest usługą popularną, ale też stosunkowo oszczędnie szafującą dostępną przestrzenią na serwerach. Nawet dziś, każdy nowy użytkownik, który zdecyduje się na bezpłatny wariant usługi otrzyma zaledwie 2 GB miejsca. To strasznie mało. Dla porównania Google oferuje bezpłatnie 15 GB na start, a Microsoft bez żadnej łaski daje w usłudze OneDrive 30 GB, a przy spełnieniu pewnych dodatkowych warunków, nawet 100 GB więcej. Ponadto dla tych, którzy właśnie korzystają z Dropboksa, OneDrive może wzrosnąć o kolejne 100 GB. Oczywiście za darmo.

Wracając do Dropboksa - sam domysł, iż usługa ta miałaby bez wiedzy użytkowników (a jest ich - przypomnijmy - ponad 300 milionów) wysyłać do chmury wszystkie dane jest nierealny. Nawet zakładając iż każdy z użytkowników nieświadomie udostępniałby Dropboksowi powiedzmy 100 GB (a przecież wielu przechowuje na swoich komputerach znacznie większe ilości danych), wymagałoby to przetransferowania 30 eksabajtów (30 miliardów gigabajtów). Taki ruch z pewnością dość szybko spowodowałby protest ze strony Amazona. Czemu Amazona właśnie? Szczegóły nieco niżej.

Zarzut pełnej synchronizacji bardzo łatwo obalić, wystarczy przygotować plik-pułapkę o pokaźnych rozmiarach (a co tam, niech będzie i gigabajt ;-)), a następnie - podobnie jak to zrobił Mekin Pesen (dochodząc niestety do mylnych wniosków) - obserwować. Istotnie, usługa Dropbox "zauważy" taki plik, ale dane przesyłane do serwerów usługodawcy to znikoma porcja informacji, zwłaszcza w stosunku do rozmiarów "pułapki". Czym są zatem te informacje? To metadane pliku: jego nazwa, parametry (data utworzenia, wielkość, typ itp.), a także wynik funkcji skrótu (hash) umożliwiający np. jednoznaczną identyfikację danego zbioru bez konieczności odczytu jego zawartości.  

Jedną z zasadniczych kwestii związanych z działaniem usługi Dropbox jest separacja powiadomień i metadanych od danych właściwych. Jak widać w powyższej tabeli (źródłem jest niezbyt nowa, ale wciąż interesująca prezentacja umieszczona w serwisie stowarzyszenia IETF (Internet Engineering Task Force - nieformalna organizacja związana z ustanawianiem standardów technicznych obowiązujących w całym internecie i tak naprawdę w znacznym stopniu decydująca o przyszłości globalnej sieci) na serwerach Dropboksa przechowywane są w zasadzie wyłącznie metadane. Właściwa treść plików to już domena centrów danych Amazona. Co ciekawe Pesen w swoim artykule również zaobserwował na zaporze sieciowej ruch kierowany do Amazona, ale przyznał też, że nie bardzo wie, jaki to ma związek z usługą Dropbox. Cóż, osoba stawiająca tak poważne zarzuty powinna orientować się przynajmniej w kwestiach technicznych dotyczących działania usługi, do której owe zarzuty są kierowane.

Twoje dane nie są Twoje. Przynajmniej częściowo

Dropbox intensywnie korzysta z funkcji skrótu, gdyż dzięki temu usługa ta może szczycić się dość wysoką wydajnością, która jednak uzyskiwana jest w wyniku pewnego triku. Co się dzieje, gdy użytkownik umieści w folderze synchronizacyjnym zbiór, który jest popularny (np. dajmy na to, obecne w każdym systemie Windows 7 przykładowe ilustracje, patrz obrazek poniżej)?

W rzeczywistości do serwerów Dropboksa wysłane zostaną najpierw metadane, następnie po stronie usługodawcy sprawdzane jest, czy przypadkiem identyczne pliki nie znajdują się już w zasobach serwerowni Dropboksa (a właściwie Amazona). Jeżeli tak, to znalezione pliki są dowiązywane do konta danego użytkownika, który radośnie stwierdza fakt bardzo szybkiej synchronizacji danych, nieświadomy tego, że z jego komputera nie został przesłany w takim przypadku nawet bajt właściwych danych. Na serwery Dropboksa trafiły wyłącznie metadane.

Zresztą w opisywanej tu kwestii doczekaliśmy się również wypowiedzi głównego zainteresowanego, czyli przedstawicieli Dropboksa, którzy jasno twierdzą, iż artykuł przekazuje nieprawdziwe treści i deklarują: Dropbox synchronizuje wyłącznie pliki w folderze Dropbox. 

Zwracamy uwagę na ten przekaz. Dropbox wyraźnie wskazuje, że synchronizowane są wyłącznie dane znajdujące się wewnątrz folderu synchronizacyjnego, jednak pojęcie synchronizowane nie jest równoznaczne z "odczytywane". Dropbox nie deklaruje, że usługa ma dostęp wyłącznie do zawartości folderu synchronizacyjnego, lecz, że wyłącznie zawartość folderu synchronizacyjnego jest synchronizowana (komplet danych jest wysyłany do chmury - zarówno metadane jak i dane właściwe). Różnica subtelna, ale bardzo istotna.

Czy jest się czego obawiać? To zależy. Problem z bezpieczeństwem danych w chmurach, nie tylko w samym Dropboksie jako takim, nie jest nowy. Już kilka lat temu (dokładnie w maju 2011 roku) Bruce Schneier - jeden z "ojców założycieli" współczesnej kryptologii i niekwestionowany autorytet w dziedzinie bezpieczeństwa informacji - zwracał uwagę na kwestię bezpieczeństwa usług chmurowych konstatując, iż tak naprawdę każda usługa chmurowa, jeżeli wykonuje cokolwiek więcej niż tylko przechowywanie danych musi mieć dostęp do pełnych, odszyfrowanych danych użytkownika (mowa oczywiście o danych w chmurze, a nie na dysku).

Podsumowując, faktem jest, że Dropbox uzyskuje dostęp do plików spoza folderu synchronizacyjnego, tak samo uzyskuje również dostęp do rejestru systemowego i wielu innych elementów systemu Windows (czy jakiegokolwiek innego, na którym działa aplikacja kliencka), ale nie oznacza to synchronizacji danych stanowiących treść tych plików. Niemniej o ile np. w przypadku urządzeń mobilnych użytkownik przed udostępnieniem przechowywanych w smartfonie czy tablecie zdjęć (które mogą być zapisane gdziekolwiek  w pamięci danego urządzenia) musi wyrazić zgodę na dostęp Dropboksa do fotografii, o tyle w przypadku aplikacji klienckiej Dropboksa dla Windows, użytkownik nie otrzymuje jakiejkolwiek informacji o tym, że usługa będzie odczytywać metadane plików znajdujących się również poza folderem synchronizacyjnym. 

Być może - ale to już wyłącznie nasze domysły - ma to związek z coraz to bardziej zacieśnianym mariażem Dropboksa i Microsoftu i możliwe że działania Dropboksa to swego rodzaju wstęp przed zaoferowaniem użytkownikom np. usługi automatycznej synchronizacji dokumentów, niezależnie od ich lokalizacji. To jednak wyłącznie nasze domysły, niepoparte żadnymi oficjalnymi komunikatami usługodawców.

Czy nie ma bezpieczniejszych alternatyw? Owszem, są. To usługi w chmurze, które w znacznie większym stopniu wykorzystują szyfrowanie. Przykładem dziś dostępnych usług całkowicie szyfrujących komunikację pomiędzy użytkownikiem a serwerami usługodawcy, na każdym szczeblu są: należąca do Kima Dotcoma usługa Mega (pisaliśmy o niej w naszym zestawieniu chmur dla danych) oraz usługa SpiderOak, o której swego czasu pozytywnie wypowiadał się Edward Snowden - były pracownik amerykańskiej agencji NSA, który ujawnił szpiegowskie praktyki rządu Stanów Zjednoczonych.

Brak komentarzy do tej publikacji. Dodaj pierwszy komentarz.