PDF de programación - Seguridad en servicios de almacenamiento: Análisis de Dropbox y Mega

Autor

Jesús Díaz Vico

Este estudio ha sido elaborado con la colaboración de David Cantón Araujo, Daniel
Fírvida Pereira, Asier Martínez Retenaga y Antonio Rodríguez Fernández.



INDICE

1 SOBRE ESTE ESTUDIO ........................................................................... 5
2
INTRODUCCIÓN.................................................................................... 6
3 ASPECTOS A TENER EN CUENTA ......................................................... 10
3.1 Gestión y utilización de cifrado ............................................................................ 10
3.2 Autenticación ...................................................................................................... 11
3.3 Deduplicación de datos ........................................................................................ 11
3.3.1 Deduplicación en cliente vs deduplicación en servidor ................................... 12
3.3.2 Deduplicación single-user vs deduplicación cross-user ................................... 13
3.3.3 Deduplicación a nivel de fichero o a deduplicación a nivel de bloque ............ 15
3.4 Compartición de datos entre usuarios .................................................................. 15
3.5 Borrado de datos ................................................................................................. 16
3.6 Tipos de clientes .................................................................................................. 16
3.7 Otros factores ...................................................................................................... 17
4 METODOLOGÍA DE ANÁLISIS .............................................................. 18
5 ANÁLISIS DE DROPBOX ...................................................................... 20
5.1 Comunicaciones ................................................................................................... 20
5.1.1 Conexión .......................................................................................................... 20
5.1.2 Registro ............................................................................................................ 21
5.1.3 Login ................................................................................................................. 22
5.2 Gestión de la información .................................................................................... 23
5.2.1 Transmisión ...................................................................................................... 23
5.2.2 Almacenamiento .............................................................................................. 26
5.2.3 Compartición .................................................................................................... 26
5.2.4 Borrado ............................................................................................................ 26
5.3 Otros aspectos ..................................................................................................... 27
5.3.1 Gestión personal de claves .............................................................................. 28

Seguridad en servicios de almacenamiento



Página 3 de 54



5.4 Resumen ............................................................................................................. 28
6 ANÁLISIS DE MEGA ............................................................................ 29
6.1 Comunicaciones ................................................................................................... 29
6.1.1 Conexión .......................................................................................................... 29
6.1.2 Registro ............................................................................................................ 30
6.1.3 Login ................................................................................................................. 32
6.2 Gestión de la información .................................................................................... 34
6.2.1 Transmisión ...................................................................................................... 34
6.2.2 Almacenamiento .............................................................................................. 39
6.2.3 Compartición .................................................................................................... 40
6.2.4 Borrado ............................................................................................................ 41
6.3 Otros aspectos ..................................................................................................... 41
6.3.1 Gestión personal de claves .............................................................................. 42
6.3.2 Cambio de contraseña ..................................................................................... 42
6.3.3 Críticas a la criptografía con JavaScript............................................................ 43
6.4 Resumen ............................................................................................................. 46
7 TABLA RESUMEN ................................................................................ 48
8 BIBLIOGRAFÍA .................................................................................... 49
9 ENLACES ............................................................................................. 49
10 TABLA DE FIGURAS ............................................................................. 51



Seguridad en servicios de almacenamiento



Página 4 de 54



1 Sobre este estudio
Los servicios «en la nube» son cada vez más populares, recibiendo un número creciente
de usuarios. Entre los usos más comunes, se encuentran las aplicaciones para
almacenamiento en
la nube. El presente estudio recoge diferentes aspectos
relacionados con estos servicios y la seguridad que integran. Atendiendo a su estructura,
se ha dividido en dos grandes bloques:

• En la primera parte, hasta la sección 3 inclusive, se han introducido los
principales aspectos que pueden afectar a la seguridad de soluciones de
almacenamiento en la nube, principalmente desde una perspectiva técnica,
pero también mencionando otros aspectos de importancia. En concreto, se ha
puesto énfasis en los métodos de cifrado y autenticación, las políticas de
deduplicación y la compartición de datos entre usuarios. Para estos puntos, se
han descrito las principales alternativas y las implicaciones que cada una de
ellas pueden tener sobre la seguridad y privacidad de los usuarios.

• En la segunda parte del estudio, a partir de la sección 4, se establece un marco
común para analizar aplicaciones de almacenamiento en la nube. Esto se
emplea en las secciones 5 y 6 analizado la seguridad de dos de las aplicaciones
de uso mayoritario en el mercado, disponibles para cualquier usuario. Las
aplicaciones analizadas, Dropbox1 y Mega2, son representativas en cuanto a
que la primera es probablemente la más conocida, y la segunda, además de
ser una aplicación popular, pone un especial énfasis en la seguridad. Se ha
comprobado qué medidas incorporan estas dos aplicaciones para los aspectos
descritos en la primera parte del estudio.

Con los principios expuestos en la primera parte del estudio, es posible evaluar qué
soluciones se adaptan mejor a las necesidades específicas que puedan presentarse. El
análisis incluido en la segunda parte, además de destinarse a dos de las aplicaciones más
populares, puede servir como marco base para reproducirlo a otras aplicaciones o
extenderlo conforme a requisitos específicos.
Por último, es importante tener en cuenta que las pruebas3 realizadas durante este
estudio tuvieron lugar en el último trimestre de 2014, por lo que es posible que los
resultados obtenidos a partir de las mismas varíen en fechas posteriores.



1 https://www.dropbox.com/
2 https://mega.co.nz/
3 Todas las pruebas realizadas durante este estudio se llevaron a cabo con cuentas de prueba, creadas
específicamente para tal fin.

Seguridad en servicios de almacenamiento



Página 5 de 54



Introducción

2
El concepto de una nube de servicios electrónicos globales empezó a fraguarse con
investigadores como Joseph C.R. Licklider, que ya en 1963, en un memorándum
para ARPA4, contempló las ventajas que proporcionaría una infraestructura de red que
permitiese compartir servicios5. Más aún, predijo que una de las mayores dificultades
que tal infraestructura encontraría sería la compatibilidad entre diferentes lenguajes de
programación y protocolos de comunicaciones.
Esta idea evolucionó en la ARPANet, que a su vez dio origen a lo que hoy se conoce como
Internet. A medida que Internet ha ido llegando a todos los ámbitos de empresas y
personas, la tipología de los productos y servicios diseñados para compartir información
ha evolucionado de forma acorde a las necesidades de los nuevos usuarios. Así, no sólo
se ofrecen ya productos como el programa para grid-plotting al que se refería Licklider,
sino utilidades de uso común como almacenamiento, servidores web, sistemas de
correo electrónico, etc.
La evolución y constante mejora de la tecnología disponible, ha influido notablemente
en este aspecto: el aumento del ancho de banda y el desarrollo de estándares
internacionales para la interoperabilidad de distintos dispositivos, han facilitado la
provisión de servicios desde lo que se ha venido a llamar la nube.
Estos hechos están provocando que en la actualidad se estén derivando a la nube
muchas actividades que