» »

Odkrita resna ranljivost v Dropboxu, 2. del

Odkrita resna ranljivost v Dropboxu, 2. del

Dziądziak je svoje skripte pomenljivo poimenoval 'Dropship', kar v znanstveni fantastiki označuje posebno tovorno letalo za prevoz vojakov in opreme iz vesolja na površje. Na sliki je model KT-424 iz igre Warhawk.

Slo-Tech -

Še ni minil mesec dni, odkar so mediji poročali o resni varnostni pomanjkljivosti v popularnem sistemu za oblačno hranjenje datotek Dropbox. Prijavni podatki so se v nešifrirani obliki hranili kar v konfiguracijski datoteki config.db, zato je bilo mogoče z njeno krajo pridobiti dostop do celotnega Dropbox imenika tretje osebe. Napadalec ni potreboval posebnega tehničnega znanja, le nekaj minut za računalnikom žrtve. V podjetju objave niso vzeli pretirano resno; CTO in soustanovitelj Arash Ferdowsi je na uradnem forumu komentiral, da so uporabniki sami dolžni zavarovati svoj sistem pred fizičnim vdorom, ter da je napaka po naravi stvari zadeva vse aplikacije, ki za prijavo uporabljajo piškotke. Dober teden dni kasneje so svojem blogu napovedali popravek in še enkrat ponovili njihovo predanost varnosti in dobrim praksam.

Potem pa tole. Poljski heker Krzysztof Dziądziak je minulo nedeljo na svojem blogu objavil python skripto 'Dropship', ki omogoča uporabo dropbox imenika za p2p izmenjavo datotek, v stilu protokola bittorrent. Z rabo Dziądziakovih orodij bo imetnik datoteke (seeder) izdelal hash kodo zadevne datoteke in jo poslal prijateljem / objavil na internetu. Prijatelji bodo kodo vnesli v svoj config.db (ja, spet) in pognali dropbox. Program bo prepričan, da je seeder datoteko želel deliti z nami in jo bo prijazno prenesel iz njegovega dropboxa na naš trdi disk.

S tem je dropbox mogoče uporabiti kot p2p klient, s to razliko, da je za diskovje, pasovno širino in šifriranje prenosa že poskrbljeno. Težave, ki občasno pestijo torrent omrežje - odsotnost seederjev, počasni prenos, p2p tožarjenja s strani U.S. Copyright Group, omejevanje prenosa s strani ISP-ja - vse po spisku odpadejo. Prejeta hash koda se obnaša kot ed2k povezava oz. .torrent datoteka. Da bi bila zgodba popolna, manjka samo še spletna stran, ki bi indeksirala kode in omogočala iskanje po njih (mininova, isohunt).

Novica se je hitro znašla na Hacker News in drugih popularnih straneh. Dropbox se je tokrat odzval nekoliko hitreje. Arash je že nekaj ur po objavi Dziądziaka osebno poprosil, da kodo odstrani s svojega bloga in spletišča github, čemur je Dziądziak tudi ugodil. Seveda je tačas na githubu nastalo že kar nekaj kopij (angl. forks; ustvari se jih s klikom na gumb), nekateri uporabniki pa so začeli kodo ponujati kar v svojem javnem dropbox imeniku. Podjetje je datoteke samovoljno odstranilo in imetnikom računom poslalo opozorilo o kršitvi avtorskih pravic po ameriškem zakonu DMCA. Zadeva je seveda smešna, saj je bil program odprtokoden in ni vseboval nobene avtorsko zaščitene kode. Arash je je opravičil in dodal, da je bilo obvestilo poslano po pomoti zaradi (še ene) napake v internem sistemu.

Pričakovati je, da bo Dropbox luknjo slej ko prej zakrpal, kajti sicer tvegajo masovno uporabo njihove infrastrukture za piratske namene, to pa s sabo nosi hud račun za internet in diskovje ter morda tudi civilno tožbo zaradi vzpodbujanja kršitev avtorskih pravic po precej ohlapnem ameriškem zakonu INDUCE. Vpeljava dobrih in varnih praks za nazaj (retrofitting) pa sigurno ne bo ne hitra in ne poceni.

9 komentarjev

lukaz ::

In to je res hudo resna ranljivost, ki mene kot uporabnika prizadane na nenormalno krut način. :))

gendale ::

It's not a bug it's a feature
seznam zanč moderatorjev in razlogov da so zanč
http://pastebin.com/QiWny5dV
gor je mavrik apple uporabniček (mali možgani in mali penis)

Zgodovina sprememb…

  • polepsal: madviper ()

ahac ::

Oh, em, gee! Dropbox omogoča sharanje datotek! Shit ej..., to pa je res orenk ranljivost!
Slo-Tech Discord - https://discord.gg/ppCtzMW

poweroff ::

Bolj zanimivo je nekaj drugega.

Če prav razumem, lahko jaz naredim hash POLJUBNE datoteke in potem na ta način pogeldam, če se nahaja v Dropboxu?

Ker če to drži, se postavi vprašanje, če lahko potegnem dol tudi privatne datoteke katerih hash sem uganil... 8-)
sudo poweroff

RejZoR ::

Verjetnost, da boš hash uganil je skoraj nemogoče, lahko ga pa skreiraš iz obstoječega fajla, kar pa potem pomeni, da ta fajl že imaš :P
Angry Sheep Blog @ www.rejzor.com

WarpedGone ::

Kot smo se naučili iz avtoštoparskega vodnika je za vse "skoraj nemogoče" stvari potrebno le zračunat kako točno neverjetne so in puf - jih že držiš v roki ...
Zbogom in hvala za vse ribe

Senitel ::

Pa saj ga ne zanima kako dobit en konkreten file... Enostavno ribariš in greš recimo od 00000000000000000000000000000000 do ffffffffffffffffffffffffffffffff in gledaš kaj vse dobiš. Ključno vprašanje je tukaj kolk hitro lahko posamezne neobstoječe hashe mečeš stran.

RejZoR ::

WarpedGone je izjavil:

Kot smo se naučili iz avtoštoparskega vodnika je za vse "skoraj nemogoče" stvari potrebno le zračunat kako točno neverjetne so in puf - jih že držiš v roki ...


"Skoraj nemogoče" pomeni, da ni nemogoče. Pa tle je še stvar praktičnega vidika. Veš koliko kombinacij ima en tak hash, da bi ga šel iskat z brute force načinom? Ne vem če je smiselno.
Angry Sheep Blog @ www.rejzor.com

MrStein ::

Ni smiselno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Oddelek: Novice / Zasebnost
146654 (4627) Ashrack
»

Dropbox preiskuje potencialno krajo e-poštnih naslovov

Oddelek: Novice / Varnost
55816 (5146) Jst
»

Warner Bros. priznal obsežne zlorabe DMCA takedown postopka

Oddelek: Novice / Avtorsko pravo
2912051 (9934) noraguta
»

Odkrita resna ranljivost v Dropboxu (strani: 1 2 )

Oddelek: Novice / Varnost
6027481 (22900) ginekolog

Več podobnih tem