Quais riscos à segurança existem com os funcionários que usam o Dropbox?

17

Há alguma preocupação de segurança em particular com o uso de compartilhamento / versão / backup de arquivos do Dropbox em toda a empresa e existem opções ou configurações específicas recomendadas para limitar o risco?

davebug
fonte
Aqui está uma descrição detalhada de alguns problemas de segurança do núcleo e legais com Dropbox para uso corporativo e privado: blog.5ttt.org/dropbox

Respostas:

7

Depende do seu negócio e do seu nível de paranóia. É muito mais seguro, embora mais caro, emitir laptops com uma conexão VPN.

Realmente rápido...

Alguns riscos:

  • Os ex-funcionários potencialmente têm acesso aos dados comerciais após o término do emprego. Você, como empresa, DEVE estar no controle das contas, se não quiser que algum funcionário insatisfeito tenha acesso a coisas depois de ser demitido ...
  • Esses serviços ignorariam quaisquer mecanismos automatizados de retenção de documentos que você implementasse, o que adiciona outra área para você cobrir manualmente a retenção de documentos

Recomendações:

  • Verifique se você pode gerar suas próprias chaves de criptografia para armazenar os dados e se as chaves não são compartilhadas com o provedor de serviços
  • Verifique se os dados estão criptografados ANTES de serem enviados ao repositório do serviço
  • Se você deseja permitir que os indivíduos tenham sua própria conta, tenha um único ponto de contato para sua empresa. Coordene todas as contas por essa pessoa (ou duas pessoas como proxies). Ou verifique se o provedor oferece suporte a contas comerciais nas quais você pode agrupar os funcionários.
squillman
fonte
A questão de não controlar as contas de ex-funcionários foi útil. Adicionaremos o compartilhamento de pastas como parte de qualquer plano de rescisão.
Davebug 5/05
Isso também representa um problema para qualquer empresa da UE, pois há riscos óbvios de que os dados pessoais acabem em ambientes não controlados. O mesmo vale para qualquer empresa dos EUA que queira manter uma certificação Safe Harbor (para que possam processar dados pessoais da UE).
Vatine 14/10/10
5

Eu pisaria com muito cuidado aqui. O Dropbox permite uma extensão para o disco rígido de outro computador.

Essa extensão é pior do que uma chave USB, no sentido de que infecções em um PC podem se espalhar por todos os outros computadores que compartilham muito mais facilmente do que com uma chave USB. Os criadores de vírus / trojan / bot ainda não têm como alvo o dropbox, mas se assim o decidirem, você terá uma porta destrancada virtual de um PC controlado pela empresa em uma rede segura para um computador não seguro em uma rede não segura. Como é o caso, usando operações normais, não se pode simplesmente passar por aquela porta e ver outras coisas no computador - apenas itens dentro da caixa de depósito podem ser vistos e novos itens só podem ser criados nessa área, mas isso pressupõe que o O aplicativo dropbox em si não pode ser comprometido.

Além disso, o Dropbox reivindica muita segurança, mas o que é realmente comprovável para você? É possível que alguém possa se infiltrar nessa janela remotamente a partir de um PC completamente diferente e tentar colocar documentos e programas infectados no PC de trabalho.

Obviamente, existe uma caixa de depósito de protocolo usada para se comunicar com seus clientes - ela é criptografada? É imune a estouros de buffer? Homem nos ataques do meio? Cheirando? Repetir ataques? É possível, usando o protocolo padrão, colocar arquivos dentro ou mesmo fora da área padrão da caixa de depósito? Se o protocolo tiver um estouro de buffer, é possível comprometê-lo de forma a permitir acesso total à máquina? Compartilhamentos de rede na máquina?

Não acho que o risco seja muito alto, mas o dano causado pode ser extenso, por isso é algo que deve ser cuidadosamente pensado.

-Adão

Adam Davis
fonte
3
Internamente, o Dropbox usa o rsync através de um executável Python. Embora eu suspeitasse que o protocolo usado não fosse padrão.
Joel Lucsy
5

Paranóia????

Cara .. Afaste-se da rede .. LENTAMENTE .. Com as mãos afastadas do teclado .. FAÇA-O AGORA !!!

As soluções de "consumidor" baseadas em nuvem de compartilhamento de arquivos, como o Dropbox, não se destinam a empresas ou corporações. A Microsoft disse que é melhor com o Skydrive quando eles saem e dizem que esses tipos de produtos não são e não devem ser usados ​​para fins comerciais.

Existem milhares de razões pelas quais não superam as razões pelas quais alguém deveria.

Maior razão LEGAL fora dos riscos à segurança (E os Termos de Uso, que especificam que terceiros podem ter acesso a arquivos confidenciais, portanto nada deve ser armazenado em um serviço que seja baseado no consumidor. NUNCA ..)é o fato de um serviço como o Dropbox também. Deixe-me perguntar isso. Onde estão esses arquivos armazenados? Onde estão localizados esses servidores? Você pode ter certeza, com o menor lance, ligar para algo chamado Regras e Leis de Exportação de Dados ... Se você tiver um único arquivo minúsculo, o "Governo dos Estados Unidos pode considerar um risco ou risco potencial à segurança dos EUA" (pode ser algo do tamanho de um layout elétrico a um local de encontro público, escola, academia, senhas ou nome de usuário para algo como uma conta da Cisco na qual é possível fazer o download de software restrito para exportação etc.) até documentos classificados, você está violando essa lei. Você vai para a cadeia, você não passa, eu acredito. Agora, isso é tratado pela FTC e pela Homeland Security.

Os termos de uso do banco de dados especificam (basicamente) que, se ele estiver instalado em um PC comercial, (o Dropbox assume essa pessoa porque a pessoa que instala no PC comercial garante que eles estão clicando no TOU) que o indivíduo "autorizado" está fazendo isso PARA TODA A EMPRESA .. Período ... (Primeira seção, Dropbox.com/terms)

O que me impede de usar isso fora do meu servidor e ambiente de trabalho é simplesmente a ética ... Você tem um produto de consumo como o Skydrive que, em grandes letras, diz "Não há negócios ... não! Porque eles não querem arriscar os dados do cliente no um nível de negócios porque eles SABEMOS que é um risco! E então Flippin Dropbox, que usa palavras legais em seus contratos, como a palavra "coisas", que empalha o bolo com toda a "coisa de segurança" e age como se não fosse grande coisa (você gostaria a perder lucros e ações tão valiosas? Provavelmente não ...) ....

É um grande negócio .. Quanto mais grupos de segurança implorarem que você e eu sigamos práticas simples, mais grandes composições, como o dropbox, saem e ganham dinheiro .. para obter lucro, agir como se não fosse grande coisa ...

E se sua empresa armazenasse um pequeno número de cartão de crédito e um nome e data de validade? Agora digamos que o PC em que o cliente do dropbox foi instalado foi "humilhado .." através de uma brecha de segurança do Dropbox ... Está me seguindo? Visa / Amex etc. as gigantescas empresas bancárias COM apoio do governo (porque os Padrões da Indústria de Cartões de Pagamento (PCI) o dizem) .. é quem ...) VAI multá-lo. Conseguir isso ... você pode querer sentar-se .. incríveis US $ 500.000,00 POR INCIDENTE ... É o suficiente para colocar uma pequena ou média empresa fora da empresa em que está ....

A única maneira de contorná-lo é criptografar localmente esses dados usando um produto de criptografia certificado pela PCI, ANTES de ir para o dropbox, comprar licenças para todos os seus dispositivos remotos, baixar o arquivo necessário e descriptografá-lo antes de poder usar .. (Não parece que não é divertido ...) (Ou criptografar dados na rede de servidores e clientes no gateway ...)

Com tudo isso, por menos de US $ 20 por usuário (cerca de US $ 11 para o básico), você pode obter um plano da série E do Office365, certificado para HIPAA, SOX, ISO e PCI. (Dropbox, oculto nas páginas, declara claramente " neste momento ", eles não são ....)

Então pergunte a si mesmo, embora em sua mente pequeno ... Vale a pena o risco? e DESEJA fazer negócios com uma empresa que, em minha opinião, dá um pequeno passo ou ilumina os riscos associados ao uso de seu produto ...

Vale a pena arriscar sua carreira se você estiver em tecnologia e for culatra e você permitir o dropbox? Você acha que é empregável depois que seu nome está ao lado de uma culatra e você faz as notícias? Como CTO, posso prometer a você que nem na minha vida ouviria a desculpa por trás disso. Nunca entrevistaria alguém em tecnologia que, por suas próprias ações ou decisões, causasse uma acumulação de dados em qualquer rede de tamanho. Sim, todos cometemos erros, e é por isso que seu trabalho em TI é eliminar qualquer risco, grande ou pequeno, da melhor maneira possível. Não abrir o buraco de minhoca e gritar por Alice ...) É um desastre para o PR. para uma empresa, (se um concorrente descobriu e vazou quem você é .. (suspira) o que você fez .. e uma maior responsabilidade de contratar alguém porque eles permitiram um serviço de compartilhamento de arquivos que reconheceu publicamente e afirmou que não era PCI, SOX , ISO,

Bem ... Isso é para você decidir ... Vale a pena uma carreira? Vale a pena a perda de dados da sua empresa ou cliente?

Para mim .. Não é ... Consumidores usam produtos de consumo, não empresas ... Período.

Ageek Bry
fonte
4

Uma atualização (1,5 anos depois): o Dropbox alega agora que eles transmitem os dados via protocolo SSL e os armazenam em AES-256-Containers, que não podem acessar a si mesmos (sem a senha).


fonte
2
Essa alegação acabou sendo uma mentira. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes
2

Acho que eles estão trabalhando em uma versão para as empresas usarem internamente, com mais segurança, mas, enquanto isso, os arquivos não são criptografados em seus servidores, então você precisa confiar neles.

Fora isso, não vejo outros riscos à segurança específicos do Dropbox (como vazamento de informações).

Ivan
fonte
Não é verdade - o Dropbox criptografa todos os blocos de dados mantidos em seus servidores. No entanto, as chaves são gerenciadas inteiramente pelo Dropbox e compartilhadas em diferentes contas. Existem vários outros problemas de segurança, o google para "Dropbox config.db" e outros (desde que você escreveu esta resposta).
RichVel
1

Muito vai depender das políticas em vigor na sua empresa. Se é como onde eu trabalho - onde todo o desenvolvimento que faço pertence ao hospital, e não a mim -, eu ficaria preocupado com o fato de ser um meio fácil para os ativos intelectuais da empresa "se afastarem".

Existem muitos sistemas de gerenciamento de documentos que permitem configurar algo acessível apenas internamente ou por meio de uma conexão monitorável.

AnonJr
fonte