» »

Odkrita resna ranljivost v Dropboxu

Slo-Tech - Storitev Dropbox, ki je med nami že nekaj časa in je po dolgem beta stadiju konec lanskega leta prilezla do prve stabilne različice, omogoča avtomatično sinhronizacijo dokumentov na lokalnem računalniku v oblak v realnem času. Zavoljo brezplačnosti, preprostosti, prenosljivosti (podprte so vse pomembnejše platforme) in prostornosti (osnovni paket obsega dva gigabajta) je Dropbox najbolj priljubljena storitev svoje vrste. Derek Newton sedaj v svojem blogu poroča o odkriti ranljivosti v preverjanju pristnosti v računu za Dropbox, ki omogoča napadalcu pridobitev dostopa do računa.

Za povezavo računalnika z računom za Dropbox mora uporabnik nanj namestiti odjemalca, določiti lokalno mapo, ki se sinhronizira, in vpisati elektronski naslov in geslo za račun. Zatem je sistem povezan z računom in avtomatično sinhronizira datoteke. Newton je odkril, da se za avtentifikacijo potrebni podatki zapišejo v datoteko config.db, ki ima tri pomembne vrstice: elektronsko pošto, pot do lokalne mape in ID-številko. Slednja se določi po namestitvi in se ne spreminja. Problem je, da se preverjanje pristnosti izvede samo s pomočjo slednje, tako da lahko napadalec enostavno datoteko config.db prekopira na drug računalnik, če dobi fizični dostop do nje, in slednji bo avtomatično imel dostop do računa Dropbox, ne da bi moral vpisati kakršnokoli geslo. Tudi če uporabnik spremeni geslo, config.db še vedno omogoča dostop.

Čeprav je običajno v primeru, da dobi napadalec dostop do datoteke config.db, tako ali tako ogrožen celoten sistem in lahko dostopi do lokalne mape za Dropbox, je to resna ranljivost. Obstojijo namreč okoliščine, ko lahko posedovanje datoteke config.db kljub temu zlorabi. Zato ni odveč poudariti, da je vedno nadvse koristno podatke, ki so v oblaku, šifrirati.

60 komentarjev

strani: « 1 2

Andrej_ID ::

In kako se te podatke sifrira?

levaky ::

TrueCrypt
---
http://www.zunaj.si - outdoor blog

gemini ::

Šifriranje, še ena dodatna zguba časa, pa še potem moraš imet šifrirne programe povsod. Jaz pač enostavno ne hranim občutljivih vsebin v oblaku pa je, če se komu prav da hekat moj račun pa naj ga.

Mipe ::

To ni nič za osebne domače računalnike, kdorkoli namešča DropBox na javne računalnike, pa si zasluži lekcijo.

energetik ::

Itak uporabljam izljučno spletni dostop do Dropboxa, zato se me tale ranljivost očitno ne tiče.
@gemini: TrueCrypt maš lahko na ključku in tako lahko na katerem koli PC odšifriraš svojo oblačno vsebino.

cleanac ::

@energetik: ampak potem tudi oblačka ne rabiš ane? saj imaš lahko svoje podatke tudi na ključu :)

Zero0ne ::

Kdo je zdaj paranoičen?

"Oblak" = "Dajte nam svoje podatke, da lahko počnemo z njimi, kar se nam zazdi."
uname -o

Ales ::

No no, ni "oblak" že sam po sebi kriv za šlamparijo programerjev. Kot je videti iz novice, je tole čista šlamparija.

Res je, da ob menjavi računalnikov itd. morda uporabnik ima nekaj manj komplikacij, ampak tale sistem prijavljanja oz. avtentikacije bi morali rešiti drugače. Prav tako bi morali privzeto uporabljati šifriranje podatkov.
http://www.modronebo.net
Domene, gostovanje, strežniki, design

element ::

Datoteke se prenašajo prek SSL-a, pri dropboxu se AES-256 kriptirajo in spravijo na amazonov S3. Problem je le pri avtentikaciji odjemalca, kjer je za dostop do računa uporabljen le ID.

Če bi podatke še sam šifriral s truecryptom bi vsakič moral sinhronizirat eno veliko datoteko. Prav nič pripravno. Uporabno le za res zaupne datoteke, ki se ne spreminjajo pogosto.

Zero0ne ::

Ales je izjavil:

No no, ni "oblak" že sam po sebi kriv za šlamparijo programerjev. Kot je videti iz novice, je tole čista šlamparija.


Ja, ampak za razliko od lokalnih aplikacij pri "oblačni" šlampariji naj***ejo končni uporabniki, na veliko.

Še vedno ne vidim prednosti Dropboxa pred lokalnim SFTP+ccrypt+rsync serverjem.
uname -o

Jst ::

Dropbox je z svojimi 2GB zastonj podatki premajhen, da bi nadomestil USB ključek z kakšnimi utilityji. Za več prostora pa enostavno predrag.

Za celoten backup podatkov priporočam Carbonite. Za 50$/leto ti backupa vse podatke, ni važno koliko GB/TB jih je.
Proton decay is a tax on existence.

fireice ::

element je izjavil:

Če bi podatke še sam šifriral s truecryptom bi vsakič moral sinhronizirat eno veliko datoteko.


Menda da ni potrebe po sinhronizaciji celotne datoteke ampak se sinhronizira le manjši del, na katerem je prislo do sprememb.

barakus ::

Jaz sem kar na sugarsync. Samo upam lahko, da imajo bolje porihtano :/.

(Če koga zanima lahko dam referral s +500MB na ZS).

Zgodovina sprememb…

  • spremenil: barakus ()

Ales ::

Zero0ne je izjavil:

Ja, ampak za razliko od lokalnih aplikacij pri "oblačni" šlampariji naj***ejo končni uporabniki, na veliko.

Še vedno ne vidim prednosti Dropboxa pred lokalnim SFTP+ccrypt+rsync serverjem.
Po nekaterih vidikih tveganja je rešitev boljša, po drugih slabša. Čisto odvisno od potreb posameznika oz. podjetja.

Vsaka storitev z veliko uporabniki je potencialno nevarna za veliko uporabnikov hkrati. Se pravi, banke, spletne trgovine, itd. To tveganje z uporabo lastnega serverja manjšaš, odpreš pa si druga tveganja. Lasten server je npr. izpostavljen tveganju namestitve v tujih prostorih ali tveganju izpostavljenosti samo ene lokacije, če je kar doma oz. v pisarni. Strojna redundančnost je praviloma tudi manjša - težko namreč dosežeš npr. lokacijsko razpršenost podatkov itd. Potem pa pride še cena... zaradi ekonomije obsega bi rešitve v oblaku morale biti praviloma cenejše. Itd.

Vse to je lepo in prav, če bi le uporabniki bili dovolj obveščeni in se zavedali tveganj, preden se za kaj odločijo.
http://www.modronebo.net
Domene, gostovanje, strežniki, design

lukaz ::

Jst je izjavil:

Dropbox je z svojimi 2GB zastonj podatki premajhen, da bi nadomestil USB ključek z kakšnimi utilityji. Za več prostora pa enostavno predrag.

Za celoten backup podatkov priporočam Carbonite. Za 50$/leto ti backupa vse podatke, ni važno koliko GB/TB jih je.


Trenutno imam 5.75GB zastonj in ga ne uporabljam samo za backupiranjanje, ampak predvsem za sinhronizacijo podatkov med računalniki, ki jih uporabljam. Carbonite ni temu namenjen pa še zastonj ni, ane?

ahac ::

Sugarsync je preveč zakompliciran. I just need a folder that syncs.

Sicer pa, če bi se geslo shranjevalo v config.db, bi bilo še manj varno.
This post is awesome. I should get a medal.

JesusChrist ::

SVN :)
remember, the clock is ticking. run like no tomorrow.

Kenpachi ::

Do mojih računalnikov imajo ljudje dostop samo z eksplicitnim dovoljenjem in osebnim spremstvom. Ves ostali čas je računalnik zaklenjen z geslom. Ne vem, zakaj bi kdo postopal drugače.
Zaraki Kenpachi.

Elysium ::

ahac je izjavil:

Sugarsync je preveč zakompliciran. I just need a folder that syncs.

Sicer pa, če bi se geslo shranjevalo v config.db, bi bilo še manj varno.

Če ti je pa SugarSync preveč kompliciran, potem je pa res najbolje, če sploh računalnika ne uporabljaš.

Sicer pa zna biti DropBox dokaj neuporaben, ker se mnogokrat, posebej zjutraj, zgodi, da je prenos obupno počasen ali pa prekine sredi prenosa.

ahac ::

Elysium je izjavil:

ahac je izjavil:

Sugarsync je preveč zakompliciran. I just need a folder that syncs.

Sicer pa, če bi se geslo shranjevalo v config.db, bi bilo še manj varno.

Če ti je pa SugarSync preveč kompliciran, potem je pa res najbolje, če sploh računalnika ne uporabljaš.

Sicer pa zna biti DropBox dokaj neuporaben, ker se mnogokrat, posebej zjutraj, zgodi, da je prenos obupno počasen ali pa prekine sredi prenosa.


Ni problem, da ga ne bi znal uporabljat. Ima cel kup funkcij, ki jih ne rabim (oz. sem mislu, da bodo uporabne, ampak niso) in ne vem zakaj bi se ukvarjal z njim, če je Dropbox tolk bolj enostaven.
This post is awesome. I should get a medal.

Bananovec ::

cleanac je izjavil:

@energetik: ampak potem tudi oblačka ne rabiš ane? saj imaš lahko svoje podatke tudi na ključu :)

Morda je mislil nekaj v tem smislu, da je ključek premajhen za take podatke, a je vseeno koristen, ker gor spraviš TrueCrypt s katerim potem "odkleneš" fajle. Če ti tako ukradejo USB, nisi ob nič. Če ti vdrejo pa v račun od DropBoxa pa pravtako nisi ob nič.


JesusChrist je izjavil:

SVN :)

Zadeva, ki jo imam rad zelo. Čeprav mislim, da je namenjena za developerje. Ali pa se motim ?
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

rolihandrej ::

Dropbox jaz uporabljam za shranjevanje malce pomembnejših podatkov, ki jih nočem izgubit. Zadevo lepo vtaknem v kriptiran .dmg fajl in ga uploadam gor. .dmg fajl pa zato, ker je za shranjevanje podatkov, ki se spreminjajo bolj primeren od .zip formata. Kriptiranje pa tako ali tako dodaš z dodatno kljukico.

Rabil pa bi nek servis, ki ponuja malce več prostora kot DropBox. Ker ta je res premajhen. Plačevati pa tudi ne mislim.
http://www.r00li.com

zaj_tam ::

Saj geslo od gmail mamo pa tudi shranjeno v brskalniku. Kako je zdaj to z dropboxom tako kritično?

Valda ne boš inštaliral klienta na javnem pcju?

hook ::

Osebno komi čakam na ownCloud k ma planirane neke res hude featurje (npr. encrypted P2P backups).

So pa še druge odprtokodne rešitve à la DropBox kot npr. SparkeShare.

raufnk ::

zaj_tam je izjavil:

Saj geslo od gmail mamo pa tudi shranjeno v brskalniku. Kako je zdaj to z dropboxom tako kritično?


Ko pri Gmail menjaš geslo, se napadalec ne more več prijaviti ... za razliko od Dropbox, kjer to očitno ne velja.
lp raufnk

zaj_tam ::

Še vedno lahko "re-linkaš" posamezen računalnik in ti generira nov ID.

Ko/ČE ugotoviš, da so ti vdrli.

Kako pogosto menjaš geslo za gmail?

Zero0ne ::

rolihandrej je izjavil:

Rabil pa bi nek servis, ki ponuja malce več prostora kot DropBox. Ker ta je res premajhen. Plačevati pa tudi ne mislim.


1.)Dobi dostop do študenstkega email naslova in ga potrdi na dropbox.com/edu (preverjeno sprejemajo @uni-lj.si)
2.)Preko svojih referralov inštaliraj Dropbox na n virtualnih PCjev
3.)Na glavnem accju imaš zdaj 16GB, oziroma, če si preskočil korak 1, 8GB prostora.
uname -o

Matthai ::

Ales je izjavil:

Prav tako bi morali privzeto uporabljati šifriranje podatkov.

Samo če bi bil password tudi ključ za dešifriranje podatkov (ne samo avtentikacijski mehanizem). Pa še to je bolj tako-tako.

Ena rešitev je Deja-Dup.

BTW, a SparkleShare je tista zadeva, ko se zna z Gitorious povezati? OwnCloud pa izgleda tudi dosti kul...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

CaqKa ::

zeroone puna hvala :)

Zgodovina sprememb…

  • spremenil: CaqKa ()

bluefish ::

Heh, tale DB ima pa kup presenečenj. Hvala za edu.

Buddah ::

No ja...če dajemo na oblak (v tem primeru DB), samo take podatke, ki niso strogo zaupni, mislim da nismo v neki strašni nevarnosti. Zase vem, da ga bom še naprej uporabljal, saj zadeve samo syncam gor in to je to. Da ti pa nekdo "vdre" pa tako ali tako rabi najprej fizični dostop do tvojega računalnika oz. se mora sam dokopati do config.db. Dvomim pa da smo navadni smrtniki lahko tarče takih napadov....

amigo_no1 ::

Dvomim pa da smo navadni smrtniki lahko tarče takih napadov....

Imaš flash player v browserju ? Tam je lukenj kot v švicarskem siru.
Zadnjič sem nekaj surfal po čudnih straneh znotraj VM (os win xp sp3 vsi updejti, FW on, browser FF 3.6 brez add-onov, zadnji flash player) in se je nesnaga namestila avtomatsko (ni bilo treba nič DL in zaganjati), nekakšen registry cleaner, ki se skopira v %userprofile% in %windir%\system mapi ter postavi dosti fajlov v hidden attribut in podobne funkcije...

Buddah ::

Moj post je letel direktno na primer z DB,v smislu da verjetno nismo dovolj zanimivi za neke hackerje ipd. da bi nam pobirali fajle iz "oblaka", saj večina hrani podatke, ki so pomembni le njim ter ožjemu krogu ljudi. Večina...

fireice ::

Finta ni da lahko samo ukradejo podatke, lahko jih tudi dodajo, na vse racunalnike ki jih imas na dropboxu naenkrat...

Mikrohard ::

Če imajo fizičen dostop do enega računalnika z Dropboxom, lahko to tako ali tako naredijo...

CaqKa ::

je rešitev ta da od časa do časa vse računalnike unlinkaš in jih ročno spet ponovno linkaš? se tisti ID ponovno zgenerira v enakega ali v drugačnega?

zaj_tam ::

Mora se zgenerirat nov pomoje.

Zgodovina sprememb…

  • spremenil: zaj_tam ()

CaqKa ::

Upam da res. vsekakor si lahko tukaj pogledate katere kompe imate linkane, pa IPje s katerimi se povezujejo. pri meni zaenkrat nič nenavadnega.
https://www.dropbox.com/account#manage

ahac ::

Mikrohard je izjavil:

Če imajo fizičen dostop do enega računalnika z Dropboxom, lahko to tako ali tako naredijo...


Men se cela stvar zdi podobno kot bi zganjal paniko, ker doma ključ (od vhodnih vrat) pustim na mizi namesto, da bi ga spravil v sef. Če slučajno kdo vlomi v hišo... da ne bo ključa ukradu... 8-O
This post is awesome. I should get a medal.

sammy73 ::

Se strinjam. Če mi nekdo fizično šari po računalniku, je tistih nekaj MP3-jev, ki sem jih preko DB-ja prenašal na telefon, še najmanjši problem.

zaj_tam ::

ahac je izjavil:

Mikrohard je izjavil:

Če imajo fizičen dostop do enega računalnika z Dropboxom, lahko to tako ali tako naredijo...


Men se cela stvar zdi podobno kot bi zganjal paniko, ker doma ključ (od vhodnih vrat) pustim na mizi namesto, da bi ga spravil v sef. Če slučajno kdo vlomi v hišo... da ne bo ključa ukradu... 8-O


+1

Kar se mene tiče je to še vedno enak security risk kot session cookie v brskalniku.

Čisto prenapihnjeno.

@CaqKa
Citat od tukaj:

... unlinking your computer via the account page will invalidate the key and allow you to relink your account with a new key ...

madmitch ::

ahac je izjavil:

Mikrohard je izjavil:

Če imajo fizičen dostop do enega računalnika z Dropboxom, lahko to tako ali tako naredijo...


Men se cela stvar zdi podobno kot bi zganjal paniko, ker doma ključ (od vhodnih vrat) pustim na mizi namesto, da bi ga spravil v sef. Če slučajno kdo vlomi v hišo... da ne bo ključa ukradu... 8-O


Kaj to, lahko ti celo kaj pusti v hiši, recimo ti napolni hladilnik, prinese nov TV...
Nobody is perfect, my name is Nob Ody

MrStein ::

Buddah je izjavil:

Moj post je letel direktno na primer z DB,v smislu da verjetno nismo dovolj zanimivi za neke hackerje ipd. da bi nam pobirali fajle iz "oblaka", saj večina hrani podatke, ki so pomembni le njim ter ožjemu krogu ljudi. Večina...

Koliko evrov imaš na spletni banki?
Toliko razlogov imajo zlikovci, da ti skrekajo PC.
In ja, denar jim ful diši.
Teštiram če delaž - umlaut dela: ä ?

amigo_no1 ::

Če imaš pametni kalkulator ali kaj podobnega z enkratnimi gesli je rahlo težje, kot če uporabljaš samo certifikat + neko geslo.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

MrStein ::

Ja, ampak samo rahlo.
Je bila tu novica, kako SMS-TAN zaobidejo?
Teštiram če delaž - umlaut dela: ä ?

denial ::

Looks like Dropbox vulnerability everyone is talking about now has a weaponized PoC.
SELECT finger FROM hand WHERE id=3;

ahac ::

Enako bi lahko pobral cookie iz browserja in bi imel dostop do dropboxa preko www...
This post is awesome. I should get a medal.

boocko ::

Wuala (švicarska zadeva) pred UL na cloud datoteke kriptira. Dostop prek WWW zato ni možen, lahko pa na terenu poženeš java client v browserju.

Zanimiva politika je tudi količina prostora: 1Gb pripada vsakemu. Dodatni prostor dobiš, če odstopiš del svojega diska in sicer količina x uptime. Za 20 Gb odstopljenega prostora in 70% uptime ti pripada 20*0.7= 14Gb oblačnega prostora. Datoteke se da deliti, narediti skupine s prijatelji, možen je sync med več računalniki, backup, dokup prostora...
(Tu je še referral link, če kdo želi - dobiva oba malo več prostora, a le za eno leto).

Še kode, ki vam prinesejo po 1Gb za trajanje enega leta (upam, da še delajo): CONNECT-WITH-SUPPORT, I-KNOW-DARIO, potem pa namesto DARIO še CAROLA, DOMINIK, FABIUS, MARCEL, THOMAS, JONAS, MARIUS, LUZIUS. Vsi so iz Wuala team :D. Lahko da so kode premanentne, in jih je bolj pametno porabljati sproti, ko nastopi potreba.

Meni se dobro obnese vzporedno z Dropboxom, ob tejle DB šlamastiki pa je človek vsaj malo pomirjen, da gredo v cloud kriptirani podatki.

GupeM ::

Če kdo pride na moj DB račun bo imel od tega kar nekaj koristi. Lahko se bo naučil ogromno snovi, ki se je učimo na FRI-ju, če le zna slovensko. Lahko pa še sam kaj pametnega napiše, da se bom lažje učil. Pa še vsi kolegi s katerimi si sharamo mape.
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox - uporabljate? (strani: 1 2 3 4 )

Oddelek: Programska oprema
17118409 (3757) ZaLoMaT
»

SugarSync - alternativa Dropboxu

Oddelek: Programska oprema
151626 (962) wired
»

Odkrita resna ranljivost v Dropboxu (strani: 1 2 )

Oddelek: Novice / Varnost
609722 (5141) ginekolog
»

Izšel Dropbox 1.0 (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
526504 (3991) Gandalfar

Več podobnih tem