Mês a mês, impulsionado pela consumerização, cresce o uso do Dropbox, aplicativo que permite a partilha e o armazenamento virtuais de conteúdo entre PCs rodando o Windows, MACs, sistemas Linux, toda a sorte de tablets e uma miríade de smartphones. Ao instalar o programa, os usuários têm a possibilidade de manter um diretório local em constante sincronização com o disco virtual e outros diretórios Dropbox sediados em máquinas de conhecidos.

A solução é, e fato, rápida, de simples utilização. Ainda assim, um fato sobre esse aplicativo simplesmente rouba-me o sono.

A informação foi divulgada pelo blogueiro de segurança Derek Newton, esse final de semana. Para entender a dimensão do problema revelado por Newton, vamos analisar de que forma funciona o Dropbox.

Cada vez que um usuário instala o programa, deve definir um diretório e sua respectiva senha de acesso. A partir daí, o conteúdo desse diretório será exibido na pasta virtual. Dentro da pasta, os arquivos são criptografados, as cópias locais, porém, permanecem no formato original.

Para ilustrar o que acontece, é necessário que um segundo usuário instale o Dropbox em seu PC, seguindo o mesmo processo: definição de diretório local e criação de senha.

Cada vez que o PC é ligado, ocorre uma verificação entre os contingentes de arquivos locais e os armazenados na pasta virtual. Caso haja alteração, é executada uma nova sincronização de conteúdos.

Alterar a senha é bastante descomplicado. Basta acessar o link da conta, exibido no canto superior direito. Mas é aí que tudo toma um rumo bastante estranho.

Se o usuário alterar a senha de acesso, não precisa executar essa alteração na máquina local, e, sim, e somente,  quando instalar o Dropbox em outro PC e pretender acessar os mesmos arquivos localizados na pasta virtual.

Ao ligar o computador, o Dropbox não pede nenhuma senha ou confere se o arquivo config.db (na verdade, uma mini base de dados SQL) foi gerado nessa máquina. Simplesmente lê uma chave chave de host_id e inicia a sincronização.

Assim que uma instalação do Dropbox, em outra máquina, informa a senha correta, o aplicativo adiciona essa máquina à lista de computadores autorizados a acessar a pasta virtual correspondente. Ocorre que tal relação não é atualizada quando o PC entra na pasta armazenada na nuvem.

Ou seja: para acessar a pasta virtual de outra pessoa, basta obter uma cópia do arquivo config.db e inlcuí-lo na pasta de instalação do Dropbox local para fazer-se passar por outro usuário.

Pode não ser um caso horripilante de falta de segurança. Ainda assim, ilustra a leviandade com que são desenvolvidos aplicativos para a nuvem – nesse caso, a sincronização de dados sem requerer senhas. Tal comportamento, faz dos produtos disponíveis uma porta de entrada para cibercriminosos de toda sorte.

Os defensores da Dropbox afirmam que, se alguém for se dar ao trabalho de invadir uma máquina alheia, não será para roubar-lhe o arquivo config.db, e, sim, para operações mais sérias.

Por parte dos críticos de tal falta de segurança do Dropbox, os argumentos da ausência de recursos que comprovem o pedigree do arquivo config.db e da não solicitação de senhas ao acessar as pastas, são os mais ouvidos.

E eles estão certos nisso. É óbvio que o Dropbox deveria proteger seus consumidores.

Percebemos dois pontos fundamentais nessa questão:

Primeiramente, cabe aos desenvolvedores compor para plataformas de cloud computing os mesmos mecanismos de segurança  habitualmente desenvolvidos para sistemas tradicionais. Isso fará das operações em ambiente de computação em nuvem um trabalho menos conveniente, mas é um remédio.

Em segundo lugar, é necessário erradicar o costume de armazenar dados não criptografados na nuvem. Não interessa de que maneira sejam fragmentados.

 

Fonte: ComputerWorld