Odkrita resna ranljivost v Dropboxu, 2. del

Mandi

26. apr 2011 ob 19:29:05

Še ni minil mesec dni, odkar so mediji poročali o resni varnostni pomanjkljivosti v popularnem sistemu za oblačno hranjenje datotek Dropbox. Prijavni podatki so se v nešifrirani obliki hranili kar v konfiguracijski datoteki config.db, zato je bilo mogoče z njeno krajo pridobiti dostop do celotnega Dropbox imenika tretje osebe. Napadalec ni potreboval posebnega tehničnega znanja, le nekaj minut za računalnikom žrtve. V podjetju objave niso vzeli pretirano resno; CTO in soustanovitelj Arash Ferdowsi je na uradnem forumu komentiral, da so uporabniki sami dolžni zavarovati svoj sistem pred fizičnim vdorom, ter da je napaka po naravi stvari zadeva vse aplikacije, ki za prijavo uporabljajo piškotke. Dober teden dni kasneje so svojem blogu napovedali popravek in še enkrat ponovili njihovo predanost varnosti in dobrim praksam.

Potem pa tole. Poljski heker Krzysztof Dziądziak je minulo nedeljo na svojem blogu objavil python skripto 'Dropship', ki omogoča uporabo dropbox imenika za p2p izmenjavo datotek, v stilu protokola bittorrent. Z rabo Dziądziakovih orodij bo imetnik datoteke (seeder) izdelal hash kodo zadevne datoteke in jo poslal prijateljem / objavil na internetu. Prijatelji bodo kodo vnesli v svoj config.db (ja, spet) in pognali dropbox. Program bo prepričan, da je seeder datoteko želel deliti z nami in jo bo prijazno prenesel iz njegovega dropboxa na naš trdi disk.

S tem je dropbox mogoče uporabiti kot p2p klient, s to razliko, da je za diskovje, pasovno širino in šifriranje prenosa že poskrbljeno. Težave, ki občasno pestijo torrent omrežje - odsotnost seederjev, počasni prenos, p2p tožarjenja s strani U.S. Copyright Group, omejevanje prenosa s strani ISP-ja - vse po spisku odpadejo. Prejeta hash koda se obnaša kot ed2k povezava oz. .torrent datoteka. Da bi bila zgodba popolna, manjka samo še spletna stran, ki bi indeksirala kode in omogočala iskanje po njih (mininova, isohunt).

Novica se je hitro znašla na Hacker News in drugih popularnih straneh. Dropbox se je tokrat odzval nekoliko hitreje. Arash je že nekaj ur po objavi Dziądziaka osebno poprosil, da kodo odstrani s svojega bloga in spletišča github, čemur je Dziądziak tudi ugodil. Seveda je tačas na githubu nastalo že kar nekaj kopij (angl. forks; ustvari se jih s klikom na gumb), nekateri uporabniki pa so začeli kodo ponujati kar v svojem javnem dropbox imeniku. Podjetje je datoteke samovoljno odstranilo in imetnikom računom poslalo opozorilo o kršitvi avtorskih pravic po ameriškem zakonu DMCA. Zadeva je seveda smešna, saj je bil program odprtokoden in ni vseboval nobene avtorsko zaščitene kode. Arash je je opravičil in dodal, da je bilo obvestilo poslano po pomoti zaradi (še ene) napake v internem sistemu.

Pričakovati je, da bo Dropbox luknjo slej ko prej zakrpal, kajti sicer tvegajo masovno uporabo njihove infrastrukture za piratske namene, to pa s sabo nosi hud račun za internet in diskovje ter morda tudi civilno tožbo zaradi vzpodbujanja kršitev avtorskih pravic po precej ohlapnem ameriškem zakonu INDUCE. Vpeljava dobrih in varnih praks za nazaj (retrofitting) pa sigurno ne bo ne hitra in ne poceni.