Tag Archives: molnsäkerhet

Dropbox är säkert – definiera säkert

Cloud Magazine skriver att Dropbox numera är rätt säkert. Så har det inte alltid varit – jag drar mig till exempel till minnes en incident förra året när Dropbox låg vidöppet under en kort period. Det har inte bara varit sådana flagranta missar, utan också en del säkerhetshål och allmänna brister – bristande kryptering etc. Den här senaste utsagan kom fram vid säkerhetskonferensen Hack.LU, där Dropbox granskades av två säkerhetsexperter från EADS, European Aeronautic Defence and Space Company. De var ganska nöjda, trots någon brist i klientmjukvaran.

 

Dropbox har på sätt och vis gjort molnlagring till ett folknöje i och med sin geniala enkelhet. Att det är så bra för enklare saker och privat lagring gör dock frestelsen stor att använda sitt konto i jobbet och för att lagra material som kanske är lite väl känsligt. Många har också ställt frågan om det verkligen är nödvändigt att Dropbox ska ha tillgång till användarnas filer. Dropbox gör ingen hemlighet av ATT de har tillgång till dem. I vissa fall spelar det kanske ingen roll, men det är en viktig principiell fråga. Ett säkrare alternativ kan vara exempelvis SpiderOak som aldrig har tillgång till dina filer. De krypteras lokalt innan de synkas.

En annan viktig principiell fråga är den om molnlagring och den lokala lagstiftningen där dina data lagras. Helst inom EU, kan vara en bra tumregel för oss som lever inom unionen. Men det är knappast enkelt att ta reda på.

 

Lite säkerhetsnyheter…

eWeek skriver att koden i botnätet Kelihos är väldigt lik Waledacs.

Diskussionen om molnsäkerheten fortsätter – nu uppmärksammar Computer Sweden att amerikanska myndigheter försöker ta ett grepp om det här problemet. Skulle du vara intresserad så finns en rapport från det amerikanska standardiseringsinstitutet NIST att läsa här.

Computer Sweden skriver att det inte blev något åtal mot Dan Segerstad, den svenske säkerhetskonsult som publicerade inloggingsinformation till mejlkonton som tillhörde ambassader och myndigheter över hela världen. Segerstad lyssnade av okrypterad trafik i TOR, en anonymiseringstjänst, och kom över mängder av känsliga uppgifter som avsändaren med största sannolikhet trodde var helt säker i nätverket. CS skrev om detta redan 2007, och då ifrågasatte Dan Segerstad syftet hos de som driver en del av TOR-slutnoderna – mellan raderna kan man läsa att det kanske handlar om att kunna komma åt information.

Härförleden plingade NOD32 till hos en del kunder när en Microsoftuppdatering installerades. ESET:s Aryeh  Goretsky skrev en bloggpost om det här som jag tycker var intressant.