En specialestuderende har fundet alvorlige sikkerhedshuller i sky-produktet SpiderOak One. Firmaet bag har vedkendt sig problemerne og rettet fejlene .
Den amerikanske sky-tjeneste SpiderOak har i en årrække udbudt produktet SpiderOak One til opbevaring af filer i skyen.
Tjenesten, der blandt andet har fået rosende omtale af Edward Snowden, har slået sig op på at være mere sikker end konkurrenter som for eksempel Dropbox, da SpiderOak One krypterer data før upload. På den måde kan data angiveligt ikke tilgås af SpiderOak selv – en service, som virksomheden selv kalder for 'no knowledge'.
Det skriver Aarhus Universitet i en pressemeddelelse.
Datalogistuderende Anders Dalskov ved Institut på Datalogi på Aarhus Universitet har nu fundet fire alvorlige sikkerhedshuller i tjenesten, som han har skrevet speciale om:
»Specialet har fokus på hvordan SpiderOak One krypterer en brugers filer, kommunikerer med serveren, hvordan en bruger autentificeres overfor serveren, og hvordan brugerens password samt krytopgrafiske nøgler bliver håndteret,« siger Anders Dalskov.
Ret bekymrende sikkerhedshuller
I sit speciale har Anders Dalskov beskrevet, hvordan han har brugt den på det tidspunkt nyeste klient til tjenesten som udgangspunkt for en omfattende sikkerhedsanalyse. Her identificerede han en række potentielle angreb, der kunne udføres af en SpiderOak-server, der enten aktivt eller passivt angriber klienten.
»Vi fandt i alt fire forskellige sikkerhedshuller ved SpiderOak One, som vi selv ville betegne som ret bekymrende: To forskellige måder, hvorpå serveren kunne anskaffe sig brugerens password og dermed fuld adgang til hans filer, og yderligere to sikkerhedshuller, der på anden vis svækker sikkerheden af brugerens filer. Vi tog kontakt til folkene bag SpiderOak omkring vores fund, og efterfølgende har de opdateret SpiderOak One,« fortæller han.
»Hensigten med specialet har alene været at undersøge SpiderOaks påstand om, at de ikke kan tilgå brugernes data. Men det er kun SpiderOak folkene selv, der har kunnet løse problemet, så det er rigtig fedt at se, at de har taget de sikkerhedsproblemer, vi har fundet, seriøst,« siger Anders Dalskov, der netop har takket ja til en ph.d.-stilling på Institut på Datalogi på Aarhus Universitet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
