Dansk studerende finder alvorlige sikkerhedshuller i Snowden-rost sky-storage

21. juni 2017 kl. 13:459
Kryptering af filer var ikke lige så sikkert, som firmaet bag selv troede.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En specialestuderende har fundet alvorlige sikkerhedshuller i sky-produktet SpiderOak One. Firmaet bag har vedkendt sig problemerne og rettet fejlene .

Den amerikanske sky-tjeneste SpiderOak har i en årrække udbudt produktet SpiderOak One til opbevaring af filer i skyen.

Tjenesten, der blandt andet har fået rosende omtale af Edward Snowden, har slået sig op på at være mere sikker end konkurrenter som for eksempel Dropbox, da SpiderOak One krypterer data før upload. På den måde kan data angiveligt ikke tilgås af SpiderOak selv – en service, som virksomheden selv kalder for 'no knowledge'.

Det skriver Aarhus Universitet i en pressemeddelelse.

Artiklen fortsætter efter annoncen

Datalogistuderende Anders Dalskov ved Institut på Datalogi på Aarhus Universitet har nu fundet fire alvorlige sikkerhedshuller i tjenesten, som han har skrevet speciale om:

»Specialet har fokus på hvordan SpiderOak One krypterer en brugers filer, kommunikerer med serveren, hvordan en bruger autentificeres overfor serveren, og hvordan brugerens password samt krytopgrafiske nøgler bliver håndteret,« siger Anders Dalskov.

Ret bekymrende sikkerhedshuller

I sit speciale har Anders Dalskov beskrevet, hvordan han har brugt den på det tidspunkt nyeste klient til tjenesten som udgangspunkt for en omfattende sikkerhedsanalyse. Her identificerede han en række potentielle angreb, der kunne udføres af en SpiderOak-server, der enten aktivt eller passivt angriber klienten.

»Vi fandt i alt fire forskellige sikkerhedshuller ved SpiderOak One, som vi selv ville betegne som ret bekymrende: To forskellige måder, hvorpå serveren kunne anskaffe sig brugerens password og dermed fuld adgang til hans filer, og yderligere to sikkerhedshuller, der på anden vis svækker sikkerheden af brugerens filer. Vi tog kontakt til folkene bag SpiderOak omkring vores fund, og efterfølgende har de opdateret SpiderOak One,« fortæller han.

»Hensigten med specialet har alene været at undersøge SpiderOaks påstand om, at de ikke kan tilgå brugernes data. Men det er kun SpiderOak folkene selv, der har kunnet løse problemet, så det er rigtig fedt at se, at de har taget de sikkerhedsproblemer, vi har fundet, seriøst,« siger Anders Dalskov, der netop har takket ja til en ph.d.-stilling på Institut på Datalogi på Aarhus Universitet.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
23. juni 2017 kl. 21:12

Undskyld, slåfejl, Universitetsloven er fra 2003 :-)

8
23. juni 2017 kl. 21:11

Aarhus Univ. er ikke en offentlig inst. men en selvejende institution, som følge af Univ-loven af 2013. Derudover er meget univ. forskning finansieret af et kludetæppe af kilder. Det er ikke længere en rimelig forventning at deres forskning altid skal være offentlig - desværre.

5
21. juni 2017 kl. 20:11

Specialet kommer op når jeg har haft mit forsvar.

Indtil da, så kan man læse den artikel vi skrev der har det samme indhold (dog er den mere kortfattet).

artikel link

3
21. juni 2017 kl. 18:11

Hvorfor er der ikke noget link til specialet i artiklen?

2
21. juni 2017 kl. 15:51

Vil version2 fortælle mig at den studerende ikke blev politi anmeldt eller fik tilsendt et vredt advokat brev?

SpiderOak folkene benægtede heller ikke problemet??

Pff, amatører. Jeg tror at KMD vil kunne lære dem en ting eller to om hvordan man håndtere sådanne problemer.

Ellers godt arbejde til Anders Dalskov.

1
21. juni 2017 kl. 13:50

Godt arbejde! Jeg håber, at der bliver mulighed for tilsvarende forskning ift. Tresorit og Sync.com.