Quels sont les risques pour la sécurité des employés utilisant Dropbox?


17

Y a-t-il des problèmes de sécurité particuliers à garder à l'esprit lors de l'utilisation à l'échelle de l'entreprise du partage / versioning / sauvegarde de fichiers Dropbox, et existe-t-il des options ou des paramètres spécifiques qui seraient recommandés pour limiter le risque?


Voici une description détaillée de certains problèmes de sécurité et juridiques de base avec Dropbox pour un usage professionnel et privé: blog.5ttt.org/dropbox

Réponses:


7

Cela dépend de votre entreprise et de votre niveau de paranoïa. Il est beaucoup plus sûr, bien que plus cher, d'émettre des ordinateurs portables avec une connexion VPN.

Vraiment rapide...

Quelques risques:

  • Les anciens employés ont potentiellement accès aux données de l'entreprise après la cessation d'emploi. En tant qu'entreprise, vous DEVEZ contrôler les comptes si vous ne voulez pas qu'un employé mécontent ait accès aux choses après avoir été licencié ...
  • Ces services contourneraient tous les mécanismes automatisés de conservation des documents que vous avez en place, ce qui ajoute un autre domaine que vous pouvez couvrir manuellement pour la conservation des documents

Recommandations:

  • Assurez-vous que vous pouvez générer vos propres clés de chiffrement pour stocker les données et que les clés ne sont pas partagées avec le fournisseur de services
  • Assurez-vous que vos données sont cryptées AVANT qu'elles ne soient envoyées au référentiel du service
  • Si vous comptez laisser des particuliers avoir leur propre compte, alors ayez un seul point de contact pour votre entreprise. Coordonnez tous les comptes via cette personne (ou quelques personnes en tant que mandataires). Ou assurez-vous que le fournisseur prend en charge les comptes d'entreprise sous lesquels vous pouvez en quelque sorte regrouper les employés.

Le point sur le fait de ne pas contrôler les comptes des anciens employés a été utile. Nous ajouterons le partage des dossiers dans le cadre de tout plan de résiliation.
davebug

Cela pose également un problème pour toute entreprise de l'UE, car il existe des risques évidents pour les données personnelles de se retrouver dans des environnements non contrôlés. Il en va de même pour toute entreprise américaine qui souhaite conserver une certification Safe Harbor (afin de pouvoir traiter les données personnelles de l'UE).
Vatine du

5

Je marcherais très attentivement ici. Dropbox permet une extension sur le disque dur d'un autre ordinateur.

Cette extension est pire qu'une clé USB dans le sens où les infections sur un PC peuvent atteindre tous les autres PC utilisant ce partage beaucoup plus facilement qu'avec une clé USB. Les auteurs de virus / chevaux de Troie / robots ne ciblent pas encore Dropbox, mais s'ils décident de le faire, alors vous avez une porte virtuelle déverrouillée d'un PC contrôlé par l'entreprise sur un réseau sécurisé à un ordinateur non sécurisé sur un réseau non sécurisé. En l'état, en utilisant les opérations normales, on ne peut pas simplement passer par cette porte et regarder d'autres choses sur l'ordinateur - seuls les éléments dans la boîte de dépôt peuvent être vus, et de nouveaux éléments ne peuvent être créés que dans cette zone, mais cela suppose que le l'application dropbox elle-même ne peut pas être compromise.

De plus, Dropbox revendique une grande sécurité, mais qu'est-ce qui est réellement prouvable pour vous? Il est possible que quelqu'un puisse se faufiler dans cette fenêtre à distance à partir d'un PC complètement différent et tenter de placer des documents et des programmes infectés sur le PC de travail.

Il existe évidemment un protocole utilisé par Dropbox pour communiquer avec ses clients - est-il chiffré? Est-il à l'abri des débordements de tampon? L'homme au milieu attaque? Reniflement? Rejouer les attaques? Est-il possible, à l'aide du protocole standard, de placer des fichiers à l'intérieur ou même à l'extérieur de la zone de dépôt standard? Si le protocole a un débordement de tampon, est-il possible de le compromettre de manière à permettre un accès complet à la machine? Partages réseau sur la machine?

Je ne pense pas que le risque soit très élevé, mais les dommages causés peuvent être considérables, c'est donc quelque chose qui doit être soigneusement pensé.

-Adam


3
En interne, Dropbox utilise rsync via un exécutable Python. Bien que je devine une supposition que le protocole utilisé n'est pas standard.
Joel Lucsy

5

Paranoïa????

Mec .. Éloignez-vous du réseau .. LENTEMENT .. Avec vos mains loin du clavier .. FAITES-LE MAINTENANT !!!

Les solutions "grand public" basées sur le cloud de partage de fichiers comme Dropbox ne sont pas destinées aux entreprises ou aux entreprises. Microsoft l'a dit le mieux avec Skydrive lorsqu'ils sont sortis et ont déclaré que ces types de produits ne sont pas et ne doivent pas être utilisés à des fins commerciales.

Il y a des milliers de raisons pour lesquelles cela ne l'emporte pas sur les raisons pour lesquelles on devrait le faire.

La plus grande raison LÉGALE en dehors des risques de sécurité (Et les conditions d'utilisation qui spécifient que des tiers peuvent avoir accès à des fichiers confidentiels, donc rien de confidentiel ne doit jamais être stocké sur un tel service basé sur le consommateur. JAMAIS ..)c'est le fait avec un service comme Dropbox, eh bien. Permettez-moi de demander ceci .. Où sont stockés ces fichiers? Où sont situés ces serveurs? Vous pouvez être assuré, avec le plus bas soumissionnaire, d'appeler quelque chose appelé Data Export Rules and Laws ... Si vous avez un seul petit fichier, le "gouvernement des États-Unis peut considérer comme un risque ou un risque potentiel pour la sécurité des États-Unis" (pourrait être quelque chose aussi petit que la disposition électrique d'un lieu de rassemblement public, d'une école, d'une salle de sport, de mots de passe ou d'un nom d'utilisateur vers quelque chose comme un compte Cisco où vous pouvez télécharger des logiciels restreints d'exportation, etc.) jusqu'à des documents classifiés, vous enfreignez cette loi. Vous allez en prison, vous ne passez pas go .. je crois maintenant, qui est géré par la FTC et la sécurité intérieure ..

Les conditions d'utilisation de la base de données spécifient (fondamentalement) que si elle est installée sur un PC professionnel, (Dropbox suppose que cette personne parce que la personne qui s'installe sur le PC professionnel garantit qu'elle le fait en cliquant sur les TOU) que la personne "autorisée" le fait POUR TOUTE L'ENTREPRISE .. Période ... (Première section ion Dropbox.com/terms)

Ce qui m'empêche d'utiliser cela en dehors de mon serveur et de mon environnement de travail, c'est tout simplement l'éthique ... Vous avez un produit de consommation comme Skydrive qui dit en gros caractères "Pas de business .. Ne faites pas! Car ils ne veulent pas risquer les données des clients sur un niveau commercial parce qu'ils SAVENT que c'est un risque! Et puis Flippin Dropbox qui utilise des mots légaux dans leurs contrats tels que le mot "stuff", qui patty gâteaux toute la "chose de sécurité" et agit comme si ce n'était pas grave (voudriez-vous de perdre des bénéfices et des parts de valeur? Probablement pas ...) ....

C'est un gros problème .. Plus les groupes de sécurité vous supplient, moi et moi, de suivre des pratiques simples, plus les gros comps comme dropbox sortent et pour de l'argent .. à but lucratif, agissent comme si ce n'était pas grave ...

Que se passe-t-il si votre entreprise stocke un petit morceau d'un seul numéro de carte de crédit ainsi qu'un nom et une date d'expiration? Maintenant, disons que le PC sur lequel le client Dropbox a été installé a été uhmm "entré dans ..." par une culasse de sécurité Dropbox ... Vous me suivez? Visa / Amex, etc. les entreprises bancaires gigantesques AVEC le soutien du gouvernement (parce que les normes PCI (Payment Card Industry) le disent .. c'est qui ...) VOUS AMENDERA .. obtenez ceci ... vous voudrez peut-être vous asseoir .. un montant stupéfiant de 500 000 $ par incident ... Il suffit de mettre une petite ou moyenne entreprise hors de l'entreprise dans laquelle elle se trouve ...

la SEULE façon de contourner ce problème consiste à crypter localement ces données à l'aide d'un produit de cryptage certifié PCI, AVANT qu'elles ne soient déposées sur Dropbox, à acheter des licences pour tous vos appareils distants, à télécharger le fichier dont vous avez besoin et à le décrypter avant de pouvoir l'utiliser. il .. (Non ne sonne pas comme ça n'est pas amusant du tout ...) (Ou le cryptage des données sur le réseau de vos serveurs et les clients à la passerelle ...)

Avec tout cela, pour moins de 20 $ par utilisateur (environ 11 $ pour celui de base), vous pouvez obtenir un plan de la série Office365 E, qui est certifié HIPAA, SOX, ISO et PCI. (Dropbox, caché dans les pages, indique clairement " en ce moment ", ils ne le sont pas ....)

Alors demandez-vous, quoique dans votre esprit petit ... Cela vaut-il vraiment le risque? et voulez-vous faire des affaires avec une entreprise qui, je pense, fait un pas léger ou fait la lumière, les risques liés à l'utilisation de leur produit ....

Est-ce que cela vaut le risque pour votre carrière si vous êtes dans la technologie et que vous êtes débordé et que vous autorisez le dropbox? Pensez-vous que vous êtes employable après que votre nom soit à côté d'une culasse et que vous ayez fait la une des journaux? En tant que CTO, je peux vous promettre que je n'entendrais même pas l'excuse derrière ma vie. Je n'interrogerais même jamais personne dans la technologie qui, par ses propres actions ou décisions, a causé une culpabilité de données sur n'importe quel réseau de taille .. Oui, nous faisons tous des erreurs, c'est pourquoi votre travail dans l'informatique consiste à éliminer tout risque, grand ou petit, du mieux que vous pouvez .. Ne pas ouvrir le trou de ver et crier pour Alice ...) C'est une catastrophe pour les relations publiques .. pour une entreprise, (si un concurrent a découvert et divulgué qui vous êtes .. (halètement) ce que vous avez fait .. et une responsabilité accrue d'embaucher quelqu'un parce qu'il a autorisé un service de partage de fichiers qui a reconnu publiquement et déclaré qu'il n'était pas PCI, SOX , ISO,

Eh bien ... c'est à vous de décider ... Est-ce que ça vaut une carrière? Vaut-il la peine de perdre les données de votre entreprise ou de vos clients?

Pour moi .. Ce n'est pas ... Les consommateurs utilisent des produits de consommation, pas des entreprises ... Période.


4

Une mise à jour (1,5 ans plus tard): Dropbox affirme maintenant qu'ils transmettent les données via le protocole SSL et les stockent dans des conteneurs AES-256 auxquels ils ne peuvent pas accéder eux-mêmes (sans mot de passe).


2
Cette affirmation s'est avérée être un mensonge. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes


2

Je pense qu'ils travaillent sur une version pour les entreprises à utiliser en interne, avec plus de sécurité, mais en attendant, les fichiers ne sont pas cryptés sur leurs serveurs, vous devez donc leur faire confiance.

En dehors de cela, je ne vois pas d'autres risques de sécurité spécifiques à Dropbox (comme la fuite d'informations).


Pas vrai - Dropbox crypte tous les blocs de données détenus sur ses serveurs. Cependant, les clés sont entièrement gérées par Dropbox et partagées entre différents comptes. Il existe de nombreux autres problèmes de sécurité, google pour "Dropbox config.db" et d'autres (depuis que vous avez écrit cette réponse).
RichVel

1

Beaucoup dépendra des politiques en place dans votre entreprise. Si c'est comme là où je travaille - où tout le développement que je fais appartient à l'hôpital, et pas à moi - alors je serais inquiet à l'idée que ce soit un moyen facile pour les actifs intellectuels de l'entreprise de «s'éloigner».

Il existe de nombreux systèmes de gestion de documents qui vous permettraient de configurer quelque chose qui n'est accessible qu'en interne ou via une connexion contrôlable.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.