Security Professionals - ipfw add deny all from eindgebruikers to any

Online backup zonder https?

02-05-2014, 14:04 door akfteo, 17 reacties
Laatst bijgewerkt: 02-05-2014, 14:05
Ik ben een aantal online back-up services aan het testen o.a. ook op het gebied van veiligheid en privacy.

Nu heb ik één back-up dienst waar ik via de bijbehorende desktop software direct naar een online webportaal kan gaan waar ik mijn files kan bekijken e.d.

Tot mijn verbazing wordt ik niet doorgestuurd naar een https maar naar een http pagina. Wanneer ik zelf https voor de domeinnaam plaatst blijkt er wel een https versie van deze pagina te bestaan. Ik kan dus wel zelf in mijn browser een https pagina openen om vervolgens in te loggen in mijn online back-up maar wanneer ik via de desktop software rechtstreeks naar mijn online back-up ga wordt ik doorverwezen naar de http pagina.

Mijn vraag nu: ik kan natuurlijk gewoon de https pagina standaard gaan gebruiken en dit zelfs vanaf de desktop software via https-everywhere instellen, maar hoe onveilig is het dat er dan nog steeds ook een http versie van deze pagina online staat?
Reacties (17)
02-05-2014, 15:18 door Anoniem
Cloud back-up is leuk, maar zorg er aub wel voor dat je gegevens goed versleuteld zijn vóór je deze verzend.


Die HTTP-pagina waar je over schrijft, is die na het inloggen nog steeds HTTP?
Zo ja -of indien er helemaal niet ingelogd hoeft te worden- zou ik heel snel op zoek gaan naar een andere ;)
02-05-2014, 15:52 door akfteo
Door Anoniem: Die HTTP-pagina waar je over schrijft, is die na het inloggen nog steeds HTTP?
Zo ja -of indien er helemaal niet ingelogd hoeft te worden- zou ik heel snel op zoek gaan naar een andere ;)

Inloggen doe ik feitelijk in de desktop software van de online back-up dienst. In die desktop software kan ik dan klikken op "open webportaal" en dan wordt ik doorverwezen naar mijn persoonlijke online webportaal. De URL is dan http://mijnnaam.livedrive.com en hier kan ik mijn bestanden bekijken.

Het blijft dan ook http.

Er is wel een https mogelijkheid maar dan moet ik zelf eerst de URL https://mijnnaam.livedrive.com invoeren in de browser.
02-05-2014, 16:26 door sloepie - Bijgewerkt: 02-05-2014, 16:59
Door akfteo: Ik ben een aantal online back-up services aan het testen o.a. ook op het gebied van veiligheid en privacy.

Mijn vraag nu: ik kan natuurlijk gewoon de https pagina standaard gaan gebruiken en dit zelfs vanaf de desktop software via https-everywhere instellen, maar hoe onveilig is het dat er dan nog steeds ook een http versie van deze pagina online staat?

Zolang je zelf HTTPS gebruikt kan een en ander naar mijn mening weinig kwaad. Of nu geprobeerd wordt je login gegevens via http of https, bijvoorbeeld door brute force of social engineering te bemachtigen maakt geen verschil. (Afgezien natuurlijk van een man in the middle attack wanneer je geen ssl gebruikt)

Wel zet ik grote vraagtekens bij de wijze waarop dit bedrijf met de beveiliging van de gegevens omgaat omdat het afdwingen van https, bijvoorbeeld bij apache, een kwestie is van een simpele knop omzetten.

Ik zou, zoals anoniem hierboven ook zegt, me dan ook serieus afvragen of je wel met zo'n bedrijf in zee wil gaan en dat je hoe dan ook altijd moet zorgen dat je bestanden goed zijn versleuteld.

Dat gezegd hebbende, als je bestanden goed zijn versleuteld zou ik me minder zorgen maken over het al dan niet via ssh toegang verkrijgen tot je gegevens, zolang je er zelf maar wel gebruik van blijft maken. (Dit om te voorkomen dat je login gegevens bekend kunnen worden door een man in the middle attack)

Maar los van de beveiliging van je gegevens, gezien de slordigheden van dit bedrijf, loop je natuurlijk ook nog eens andere risisco's dan alleen beveiligings risico's. Wat heb je immers aan zo'n bedrijf als ze opeens je backupgegevens zomaar kwijt zijn door bijvoorbeeld een crash en zelf geen backups van hun eigen syeteem hebben gemaakt.
02-05-2014, 16:37 door Anoniem
Door akfteo:
Door Anoniem: Die HTTP-pagina waar je over schrijft, is die na het inloggen nog steeds HTTP?
Zo ja -of indien er helemaal niet ingelogd hoeft te worden- zou ik heel snel op zoek gaan naar een andere ;)

Inloggen doe ik feitelijk in de desktop software van de online back-up dienst. In die desktop software kan ik dan klikken op "open webportaal" en dan wordt ik doorverwezen naar mijn persoonlijke online webportaal. De URL is dan http://mijnnaam.livedrive.com en hier kan ik mijn bestanden bekijken.

Het blijft dan ook http.

Er is wel een https mogelijkheid maar dan moet ik zelf eerst de URL https://mijnnaam.livedrive.com invoeren in de browser.
In dat geval kan ik ook gewoon inloggen op jouw account waarschijnlijk, en al zou dat nog niet zo zijn (door een header van die software bijvoorbeeld), kan ik wel al je HTTP-verkeer onderscheppen dmv een MitM aanval.

Ik zou dan ook absoluut geen vertrouwen hebben in de desbetreffende aanbieder.


NB 1) Ik heb even geprobeerd johndoe.livedrive.com te benaderen en krijg daar een relatief geruststellende mededeling dat web-sharing niet aanstaat. Als dat ingeschakeld wordt, is er wel een WW van toepassing. Je kunt dit natuurlijk ook zelf even controleren via een systeem waar de livedrive software niet op geïnstalleerd is met je eigen account. (Wat ik deed is niet bepaald helemaal legaal namelijk!) De kwetsbaarheid voor een MitM-aanval blijft m.i. onverminderd van kracht, iets wat je absoluut niet wilt voor een cloud-platform.

NB 2) Livedrive is relatief goedkoop, maar wel ongelooflijk traag, althans als ik de recensies mag geloven.

NB 3) Heb je de klantenservice al een berichtje gestuurd met een verzoek tot uitleg / een uiting van je ongerustheid? Aan het antwoord kun je waarschijnlijk al snel afleiden hoe het gesteld is met het sec-bewustzijn van Livedrive. Ik ben erg benieuwd naar hun uitleg iig.
02-05-2014, 18:30 door Anoniem
Door akfteo:
Door Anoniem: Die HTTP-pagina waar je over schrijft, is die na het inloggen nog steeds HTTP?
Zo ja -of indien er helemaal niet ingelogd hoeft te worden- zou ik heel snel op zoek gaan naar een andere ;)

Inloggen doe ik feitelijk in de desktop software van de online back-up dienst. In die desktop software kan ik dan klikken op "open webportaal" en dan wordt ik doorverwezen naar mijn persoonlijke online webportaal. De URL is dan http://mijnnaam.livedrive.com en hier kan ik mijn bestanden bekijken.

Als ze dit al fout doen, vraag ik me af hoe veilig de desktop software is. Mijn advies zou zijn om een andere partij te zoeken en bij deze alles, inclusief de desktop software, goed te verwijderen

Peter
06-05-2014, 19:15 door akfteo
Ondertussen een mail gehad van Livedrive dat ze op de hoogte zijn van dit probleem en dat dit in de loop van deze week zal worden opgelost.

Nog even wat betreft de snelheid van Livedrive: ik heb een stuk of 10 bekende back-up services geprobeerd de laatste week en Livedrive is daarbij wat betreft upload snelheid veruit de snelste!!

Bij alle andere back-up services haalde ik een upload snelheid van maximaal zo'n 4,5 Mbps. Dit terwijl mijn upload snelheid bij Ziggo 15 Mbps is. Verschillende speedtests (ook van NL naar servers in USA) bevestigen mij dat ik die upload snelheid ook daadwerkelijk haal.

Overal dus zo'n 4,5 Mbps maximaal maar bij Livedrive is de upload snelheid 12,5 Mbps. Ik kan dus ruim 5 GB per uur uploaden en dat is voor mij doorslaggevend omdat ik regelmatig zo'n 35 a 40 GB in één keer moet uploaden en dat gaat dus met Livedrive gemakkelijk in één (kort) nachtje.

Waar de verhalen vandaan komen dat Livedrive langzaam zou zijn is mij dan ook een raadsel.
06-05-2014, 21:31 door [Account Verwijderd]
[Verwijderd]
07-05-2014, 11:36 door Mysterio
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?
07-05-2014, 14:48 door Anoniem
Door Mysterio:
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?

Als je de schijf toegankelijk maakt via FTP, dan kan je hiervoor SyncBackFree gebruiken, deze heeft mogelijkheden om te backuppen naar een ftp server
08-05-2014, 14:33 door Mysterio
Door Anoniem:
Door Mysterio:
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?

Als je de schijf toegankelijk maakt via FTP, dan kan je hiervoor SyncBackFree gebruiken, deze heeft mogelijkheden om te backuppen naar een ftp server
Alleen FTP, geen SFTP of FTPS. Maar het idee is natuurlijk leuk.
08-05-2014, 15:12 door Anoniem
Door Mysterio:
Door Anoniem:
Door Mysterio:
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?

Als je de schijf toegankelijk maakt via FTP, dan kan je hiervoor SyncBackFree gebruiken, deze heeft mogelijkheden om te backuppen naar een ftp server
Alleen FTP, geen SFTP of FTPS. Maar het idee is natuurlijk leuk.
Ah daar had ik niet op gelet, mijn excuses.

Er is gelukkig wel andere (gratis) software die wel deze mogelijkheid heeft; duplicati (www.duplicati.com) is de eerste die ik tegenkwam en is vrije software onder de LGPL licentie.
08-05-2014, 22:39 door Anoniem
Door Mysterio:
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?

Wat moet de situatie dan zijn, wat zijn de voorwaarden, om hoeveel data totaal of data per dag gaat het dan, en waar staat die eigen schijf dan idealiter geparkeerd?
09-05-2014, 05:48 door Anoniem
https is zo lek als een mandje, beter upgraden na okturtles bijvoorbeeld
09-05-2014, 11:16 door Anoniem
Door Mysterio:
Door Peter V.: Mijn bestanden zet ik niet meer op een buitenlandse cloud. Ik gebruik sinds kort een 1 TB externe harde schijf met versleuteling voor bestanden.
Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?
NAS?
19-05-2014, 20:31 door akfteo
Update van TP: Livedrive heeft de aanpassing nog steeds niet doorgevoerd en op mijn mails wordt ondertussen niet meer gereageerd...

Ik ben dus nog even verder gaan zoeken en ben uitgekomen bij Zoolz.com Deze backup dienst levert feitelijk 2 verschillende upload snelheden:

(ten eerste goed om te weten dat de bestanden op mijn computer worden versleuteld voordat ze worden verzonden)

1 - uploaden met SSL ingeschakeld: uploadspeed ongeveer 0,5 MB/s
2 - uploaden met SSL uitgeschakeld: uploadspeed ongeveer 2,0 MB/s

Een heel groot verschil dus (wanneer je zoals ik vaak zo'n 30GB upload).

Maar wat is het gevolg voor mijn veiligheid als ik bestanden die al versleuteld zijn op mijn computer vervolgens via HTTP verbindingen ga uploaden i.p.v. via HTTPS? Op de website van Zoolz staat hierover het volgende:

Disabling SSL will increase the backup speed as it will skip running through some verifications which are a part of the SSL protocol, these verifications are sent in a timely manner between Zoolz on your machine and Zoolz’s servers to secure the connection, keep in mind that this won’t compromise your security as Zoolz encrypts your files before leaving the machine.

Wat denken jullie?
19-05-2014, 22:29 door Anoniem
Door akfteo:Overal dus zo'n 4,5 Mbps maximaal maar bij Livedrive is de upload snelheid 12,5 Mbps. Ik kan dus ruim 5 GB per uur uploaden en dat is voor mij doorslaggevend omdat ik regelmatig zo'n 35 a 40 GB in één keer moet uploaden en dat gaat dus met Livedrive gemakkelijk in één (kort) nachtje.
Kijk niet alleen naar de upload, maar ook naar de download, en neem daarbij aan dat je alle data in een keer terug moet halen. Hoe lang ben je dan bezig? Is een online backup dan überhaupt wel een werkbare oplossing?

Bij mij zou dat, gezien de downloadsnelheid die mijn ADSL-aansluiting in de praktijk haalt, op zijn gunstigst een week duren. Dat vind ik niet acceptabel. Daarom maak ik backups op versleutelde schijven, waarvan er steeds één bij mij thuis ligt en de rest bij een paar vrienden die ik regelmatig zie. Als ik op bezoek kom wissel ik vaak even een schijf om. Zelf data vervoeren levert een indrukwekkende bandbreedte op ;-).
20-05-2014, 10:17 door Anoniem
Door Anoniem:
Door akfteo:Overal dus zo'n 4,5 Mbps maximaal maar bij Livedrive is de upload snelheid 12,5 Mbps. Ik kan dus ruim 5 GB per uur uploaden en dat is voor mij doorslaggevend omdat ik regelmatig zo'n 35 a 40 GB in één keer moet uploaden en dat gaat dus met Livedrive gemakkelijk in één (kort) nachtje.
Kijk niet alleen naar de upload, maar ook naar de download, en neem daarbij aan dat je alle data in een keer terug moet halen. Hoe lang ben je dan bezig? Is een online backup dan überhaupt wel een werkbare oplossing?

Bij mij zou dat, gezien de downloadsnelheid die mijn ADSL-aansluiting in de praktijk haalt, op zijn gunstigst een week duren. Dat vind ik niet acceptabel. Daarom maak ik backups op versleutelde schijven, waarvan er steeds één bij mij thuis ligt en de rest bij een paar vrienden die ik regelmatig zie. Als ik op bezoek kom wissel ik vaak even een schijf om. Zelf data vervoeren levert een indrukwekkende bandbreedte op ;-).
Ha, ik reageer me nog een stunt in een afrikaans land van enkele jaren geleden waar ze een postduif met een usbstick opstuurde. Conclusie: de postduif haalt een hogere bandbreedte dan het internet in de meeste afrikaanse landen (maar natuurlijk een stuk lagere responstijd)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.