Dropbox: Sikkerhed skal bygges ind i alt for at sikre 500 petabyte og en halv milliard brugere

Dropbox har prøvet at være udsat for et alvorligt hackerindbrud. Nu er sikkerhedsfolkene involveret i både drift og udvikling, selvom det kan være svært i en agil verden.

Infosecurity, København. Sikkerhed bliver ikke godt nok, så længe det klistres på bagefter for at lappe hullerne. Det skal tænkes ind i alle aspekter af forretningen og driften.

En af de virksomheder - som tidligere har måttet stå på mål for kritik fra sikkerhedseksperterne - er blandt dem, der i dag netop har prøvet at gøre sikkerhed til en topprioritet overalt.

Dropbox' succes bygger på bekvemmelighed, som ofte samtidig er én af sikkerhedens ærkefjender. Læg dertil et læk af loginoplysninger for 68 millioner brugere, og så forstår man, hvorfor Dropbox er nødt til at sætte en høj standard for sikkerhed, også selvom det ikke altid er nemt.

»Historien om de 68 millioner brugere kom frem i 2016, men det var i 2012, at vi opdagede, at corporate-delen af vores netværk var blevet kompromitteret. Dengang var vi dog kun klar over, at 17 millioner var påvirket,« sagde Mark Crosbie, head of trust and security for EMEA hos Dropbox, på it-sikkerhedskonferencen Infosecurity i København.

Læs også: Hackere stjæler kontooplysninger på over 60 millioner Dropbox-brugere

Han understregede, at selvom der var tale om et stort datadump af brugernavne, så var alle adgangskoder saltet og hashet med SHA256, og Dropbox var på daværende tidspunkt i 2012 i færd med at skifte til den nyere og mere sikre BCrypt-algoritme til hashing af kodeord.

På grund af lækket valgte Dropbox at låse alle de pågældende brugerkontoer og notificere brugerne via e-mail om, at de skulle logge ind og skifte deres kodeord.

»Vi har ikke set nogen tegn på, at nogen brugerkontoer skulle være blevet kompromitteret som følge af lækket,« sagde Mark Crosbie.

To-faktor-koder tog for meget tid

Dropbox håndterer 500 petabyte for 500 millioner brugere, hvoraf 75 procent befinder sig uden for USA. Det betyder også, at Dropbox skal forholde sig til lovgivning i flere forskellige lande, og selskabet har blandt andet et datacenter i Frankfurt af hensyn til europæiske virksomheder, som skal leve op til europæisk lovgivning.

Datacentrene er også på et særskilt netværk, som man kommunikerer med gennem services, som blandt andet kræver autentificering af brugerne. For de udviklere og teknikere, som skal arbejde med at ændre i systemerne, kræves to-faktor-autentifikation, men her måtte Dropbox ty til en mere avanceret løsning til teknikerne end mobilkoder.

»Vi har to-faktor-autentificering, men med en kode på telefonen fandt vi ud af, teknikerne spildte 48 minutter om dagen på at finde koder på deres telefon. Så nu er vi gået over til en hardwaretoken,« fortalte Mark Crosbie.

Agilt gør sikkerhed svært

Det er ikke uden gnidninger at integrere sikkerhedsprocesserne med udviklingsprocesserne, fordi fleksibilitet og sikkerhed ofte er to modstridende dagsordener, når der arbejdes i korte sprint.

»Vi vil udvikle agilt. Det er bedre for udviklerne og slutbrugerne, men det gør arbejdet for sikkerhedsfolkene sværere. Sikkerhedsafdelingen er normalt 'nej-afdelingen', men her er vi nødt til at finde en måde at udvikle agilt på en sikker måde, så vi har sikkerhed bygget ind i koden,« fortalte Mark Crosbie.

Sikkerhedsteamet og udviklerne arbejder sammen hos Dropbox ved at udviklerne eksempelvis er med til at definere test af forskellige angrebsscenarier mod systemerne.

»Udviklerne er dem, der bedst ved, hvor systemets svagheder er. Det er sikkerhedsteamets opgave at hjælpe dem med at nå frem til den erkendelse,« sagde Mark Crosbie.

Belønninger for sårbarheder

For at mindske friktionen mellem sikkerhedsteamet og udviklerne, så bruger Dropbox blandt andet en bot, som via chattjenesten Slack kan kommunikere direkte med de enkelte teknikere og udviklere om potentielle sikkerhedsproblemer.

Det kan eksempelvis være en udviklernes brugerkonto, som pludselig foretager sig noget usædvanligt, hvor SecurityBot så kan sende udvikleren en besked over Slack (altså en sekundær kanal) og få bekræftet, at det er udvikleren, der foretager handlingerne, og der ikke er tale om en kompromitteret konto.

Læs også: Begravelsestaler lægges i Dropbox: »Det er ikke en farbar løsning«

Sikkerhedsteamet er også involveret i reviews af de enkelte produkter undervejs i de forskellige stadier. I planlægningen og analysen er der således sikkerhedsfolk involveret, og der foregår et design review, før udviklingen går i gang. Derefter foretages både interne og eksterne code reviews og penetration test af produkterne.

»Og så har vi et bug bounty-program. Vi ved godt, at vi stadig kommer til at lave fejl, og det er vi nødt til at være ydmyge over for,« fortalte Mark Crosbie.

Kan ikke se filindhold

I Dropbox' første år blev produktet, som var rettet mod private brugere, synonymt med 'skygge-it', fordi brugerne i virksomhederne benyttede Dropbox-kontoer til at dele filer med hinanden via skyen i stedet for via netværksdrev eller Sharepoint.

Det blev derfor set som en risiko, at brugerne lagde filerne uden for virksomhedens kontrol på et potentielt usikkert system.

Men Dropbox lagrer ikke som sådan filer, men opererer med blockstorage. Brugernes filer deles op eller samles i blokke på fire megabyte, som krypteres, og lægges tilfældigt i store puljer med tusindvis af milliarder af andre blokke. Oplysningerne om filerne lagres som metadata i et separat system.

»Vi har ingen anelse om, hvad dine filer indeholder,« forsikrede Mark Crosbie.

En tekniker vil altså kunne have adgang til blockstorage-systemet for at servicere det, men sandsynligheden for at kunne trække de rigtige blokke ud og dekryptere dem og sætte dem korrekt sammen er meget lille. Tilsvarende vil adgang til metadata ikke afsløre indholdet af filerne.

»Vi opererer ud fra en antagelse om nul tillid. Vi antager, at vi allerede er angrebet og kompromitteret,« forklarede Mark Crosbie.

Det var altså også tilfældet i 2012, hvor angriberne allerede var inde på netværket og havde fået fat i data, inden det blev opdaget.

»Den gamle forestilling om, at man kan bygge sin sikkerhed op som borgmure omkring sine systemer, har vist sig at være en svag model for sikkerhed,« sagde Mark Crosbie.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (1)

Martin Rasmussen

Men Dropbox lagrer ikke som sådan filer, men opererer med blockstorage. Brugernes filer deles op eller samles i blokke på fire megabyte, som krypteres, og lægges tilfældigt i store puljer med tusindvis af milliarder af andre blokke. Oplysningerne om filerne lagres som metadata i et separat system.

»Vi har ingen anelse om, hvad dine filer indeholder,« forsikrede Mark Crosbie.

En tekniker vil altså kunne have adgang til blockstorage-systemet for at servicere det, men sandsynligheden for at kunne trække de rigtige blokke ud og dekryptere dem og sætte dem korrekt sammen er meget lille. Tilsvarende vil adgang til metadata ikke afsløre indholdet af filerne.

1) de bruger block storage.
2) oplysninger om hvordan block storage hænger sammen, står i metadatafilerne.

Det er altså ikke svært at sætte bidderne sammen for en person med bare lidt teknisk viden!

De er godt nok krypteret herfra, men teknikeren burde vide hvilken metode firmaet bruger; Det kommer lidt an på hvor meget Dropbox har lækket af informationer som kan bruges i metadatafilerne, eller i deres kildekode...

Men;

»Vi har ingen anelse om, hvad dine filer indeholder,«,

samt;

En tekniker vil altså kunne have adgang til blockstorage-systemet for at servicere det, men sandsynligheden for at kunne trække de rigtige blokke ud og dekryptere dem og sætte dem korrekt sammen er meget lille. Tilsvarende vil adgang til metadata ikke afsløre indholdet af filerne.

Seriøst?

Og så har jeg end ikke spekuleret i hvordan deres kildekode og metadatafiler kan hjælper en "person med viljen".

Endelig, hvis de får data ud, men den blot er SHA256 eller BCrypt'd, så har "personen" jo fint mulighed for at decryptere offline, uden at skulle have travlt..

Sikkerhed koster...
48 minutter lyder dog som i overkanten... , men tak for at fortælle at de må have mobiltelefoner med på arbejdet, det gør angrebsvinklen jo det stører :)
Og hardware tokens er umulige at kopiere... suk..

Lad nu være med at være så blåøjet med "cloud" løsninger..., tak!

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017