Dropbox, insicuro per design?

Oggi ritorno a parlare di cloud computing. Un modo molto interessante di usare la rete e le sue risorse ma che però ancora non mi convince a causa della possibile insicurezza e per questioni legate alla proprietà intellettuale.

In particolare voglio portare l'attenzione su Dropbox: un servizio molto popolare che permette di salvare e sincronizzare i propri dati nella Cloud anche tra più dispositivi.

Secondo quanto si legge in alcuni blog (ed anche nel forum ufficiale di Dropbox) questo servizio ha un grave problema di sicurezza che, se sfruttato, potrebbe permettere a malintenzionati di accedere ai file di un utente o diffondere virus.

Un rapido sguardo al funzionamento di Dropbox

Il funzionamento di Dropbox è molto semplice: si installa il client nel proprio PC e lo si esegue. A questo punto si inseriscono i propri dati (username/password) e si può condividere una o più directory nel cloud.

Il problema di sicurezza di Dropbox

Senza scendere troppo nei dettagli tecnici, quando Dropbox effettua il primo accesso viene memorizzato in un file l'ID che permette al client di autenticarsi. Questo file, se spostato in un altro PC, permetterà anche al nuovo PC di eseguire il login al servizio senza richiede la password. Inoltre, se il proprietario dell'account modifica la propria password di accesso, non si risolve il problema: il vecchio file rimane ancora valido.

Il problema di Dropbox in realtà può essere applicato anche ad altri tipi di software ma forse, in questo caso, è più semplice preparare del malware o sfruttare del social engineering per ottenere il file incriminato e quindi la questione è, potenzialmente, molto rilevante.

Questa volta il problema non è direttamente legato al cloud computing, però è di monito a non abbassare mai la guardia: spesso in rete vengono creati sistemi di sicurezza molto sofisticati il cui sforzo è poi vanificato da vulnerabilità banalmente sfruttabili direttamente nei client o, ancora peggio, dagli utenti stessi.

N.B: Questo articolo è stato scritto sulla base di quanto appreso da blog e forum, non ho avuto modo di verificare la correttezza delle informazioni ma le fonti dovrebbero essere piuttosto attendibili.