Datalogistuderende påviser sikkerhedshuller hos stor amerikansk softwarevirksomhed

Anders Dalskov, der er specialestuderende ved Institut for Datalogi på Aarhus Universitet, har fundet fire alvorlige sikkerhedshuller i SpiderOak ONE: En onlinetjeneste til sikker opbevaring af filer i skyen. Virksomheden bag har efterfølgende vedkendt sig og rettet fejlene i den nyeste version af softwaren.

Den amerikanske virksomhed SpiderOak har i en årrække udbudt sky-tjenesten SpiderOak ONE til opbevaring af filer i skyen. Tjenesten, der blandt andet har fået rosende omtale af Edward Snowden, har slået sig op på at være mere sikker end konkurrenter som for eksempel Dropbox og iCloud, da SpiderOak ONE krypterer data før upload. Herved kan data ikke tilgås af SpiderOak selv – en service, som virksomheden selv kalder for "no knowledge".

Nu har datalogistuderende Anders Dalskov ved Institut på Datalogi på Aarhus Universitet dog påvist en række sikkerhedshuller ved tjenesten, som han har skrevet speciale om:

- Specialet har fokus på, hvordan SpiderOak ONE krypterer en brugers filer, kommunikerer med serveren, hvordan en bruger autentificeres overfor serveren, og hvordan brugerens password samt krytopgrafiske nøgler bliver håndteret, siger Anders Dalskov, som undervejs er blevet vejledt af lektor på Institut for Datalogi, Claudio Orlandi.

(Artiklen fortsætter under billedet)

Specialestuderende Anders Dalskov har netop  takket ja til en Ph.d.-stilling på Institut på Datalogi på Aarhus Universitet med start d. 1. august.

Identificerede fire alvorlige sikkerhedshuller

I sit speciale har Anders Dalskov beskrevet, hvordan han har brugt den på det tidspunkt nyeste Spideroak ONE klient som udgangspunkt for en omfattende sikkerhedsanalyse. Her identificerede han en række potentielle angreb, der kunne udføres af en SpiderOak server, der enten aktivt eller passivt angriber klienten.

- Vi fandt i alt fire forskellige sikkerhedshuller ved SpiderOak ONE, som vi selv ville betegne som ret bekymrende: To forskellige måder hvorpå serveren kunne anskaffe sig brugerens password og dermed fuld adgang til hans filer og yderligere to sikkerhedshuller, der på anden vis svækker sikkerheden af brugerens filer. Vi tog kontakt til folkene bag SpiderOak omkring vores fund, og efterfølgende har de opdateret SpiderOak ONE, siger Anders Dalskov.

SpiderOak ONE er ikke open-source, men såkaldt ”Proprietary software”, hvilket betyder, at kildekoden ikke er frit tilgængelig.

- Hensigten med specialet har alene været at undersøge SpiderOaks påstand om, at de ikke kan tilgå brugernes data. Men det er kun SpiderOak folkene selv, der har kunnet løse problemet, så det er rigtig fedt at se, at de har taget de sikkerhedsproblemer, vi har fundet, seriøst, siger Anders Dalskov, der netop har takket ja til en Ph.d.-stilling på Institut på Datalogi på Aarhus Universitet med start d. 1. august.

 

En artikel skrevet af Anders Dalskov og Claudio Orlandi om deres fund kan tilgås på: https://eprint.iacr.org/2017/570

SpiderOak har udsendt en blogpost, hvor de adresserer sikkerhedsfejlene i Anders Dalskovs speciale: https://spideroak.com/articles/security-update-for-spideroak-groups--one-bugs-reported--resolved