Nieuws
image

Dropbox was hemel voor datadieven

donderdag 18 augustus 2011, 11:00 door Redactie, 6 reacties

Online dataopslag Dropbox stond wagenwijd open voor datadieven, aldus Oostenrijkse onderzoekers van SBA Research. Die onthulden tijdens het USENIX Security Symposium drie aanvallen waardoor aanvallers toegang tot bestanden van anderen konden krijgen. Daarnaast was het mogelijk om documenten clandestien op te slaan en vanaf een ander Dropbox-account te benaderen. De problemen zijn inmiddels verholpen.

De exploits van het Oostenrijkse beveiligingsbedrijf waren vorig jaar al gereed, maar de beveiliger gaf Dropbox de tijd om de problemen te verhelpen, voordat het de exploits publiek maakte. Het lukte de onderzoekers om de hash-waarden te spoofen, van al bij Dropbox opgeslagen bestanden. Dropbox controleert deze waarden en als ze bestaan, koppelt ze aan het account van de gebruiker die de hash verstuurt. Door de hashes te spoofen konden de onderzoekers toegang tot willekeurige bestanden van andere gebruikers krijgen, zonder dat de oorspronkelijke eigenaar dit doorheeft.

Sleutel
Bij de tweede aanval werd het Dropbox host ID van het slachtoffer gestolen, een 128-bit sleutel die Dropbox aan de hand van gebruikersnaam, tijd en datum genereert. Zodra een aanvaller het host ID heeft bemachtigd, kan hij die door het ID van hemzelf vervangen. Als hij dan zijn account opnieuw synchroniseert, kan hij alle bestanden van het slachtoffer downloaden.

Bij de derde aanval maakten de onderzoekers gebruik van een feature waarmee Dropbox-gebruikers bestanden via SSL via een bepaalde URL konden opvragen. Het enige dat nodig is, zijn de hashwaarde van het bestand en een willekeurige geldige host ID. Het was niet nodig om de Host ID van de gebruiker te weten aan wiens account de opgevraagde gegevens zijn gekoppeld. Deze aanval kon Dropbox volgens de onderzoekers detecteren, omdat de opgevraagde bestanden en accounts niet overeenkwamen.

Forensisch onderzoek
De aanvallen waren ook te gebruiken om gegevens in de Dropbox cloud te verbergen. Het was mogelijk om bestanden te uploaden, zonder dat die aan het account van de aanvaller waren gekoppeld. Om de gegevens weer te downloaden, volstond het sturen van een hash door de aanvallers alsof ze het bestand wilden uploaden. Aangezien de hashwaarde al in de cloud aanwezig is, koppelde Dropbox de gegevens aan het account dat de hash verstuurde.

Een aanvaller zou zodoende via een Linux live CD gegevens kunnen uploaden vanaf een computer zonder harde schijf, waardoor er voor forensische onderzoekers geen sporen zouden achterblijven. Meer informatie in het rapport 'Dark Clouds on the Horizon: Using Cloud Storage as Attack Vector and Online Slack Space'.

Reacties (6)
18-08-2011, 13:46 door Anoniem
Wat ben ik blij dat ik Dropbox heb vervangen door Wuala (http://www.wuala.com/) zeg.
18-08-2011, 13:57 door wizzkizz
Aanval 1:
Dropbox controleert deze waarden en als ze bestaan, koppelt ze aan het account van de gebruiker die de hash verstuurt. Door de hashes te spoofen konden de onderzoekers toegang tot willekeurige bestanden van andere gebruikers krijgen, zonder dat de oorspronkelijke eigenaar dit doorheeft.
Veel plezier met het gokken van de hashes van bestanden! Hoewel potentieel gevaarlijk, lijkt mij dat voor een praktisch bruikbare (gerichte) aanval de aanvaller toegang moet hebben tot de computer waarop het bestand staat óf een MitM aanval uitvoeren om de hash te verkrijgen. In beide gevallen heb je toegang tot het bestand zelf, dus waarom dan de omweg via Dropbox? Toekomstige versies automatisch verkrijgen is het enige wat ik daarover zo snel kan bedenken.

Aanval 2:
Bij de tweede aanval werd het Dropbox host ID van het slachtoffer gestolen,
vereist fysieke toegang of een remote exploit met rechten om bestanden uit te lezen. Dan kun je net zo goed alle gewenste bestanden direct vanaf het slachtoffer downloaden.

Aanval 3:
Bij de derde aanval maakten de onderzoekers gebruik van een feature waarmee Dropbox-gebruikers bestanden via SSL via een bepaalde URL konden opvragen. Het enige dat nodig is, zijn de hashwaarde van het bestand en een willekeurige geldige host ID.
Wederom is de hashwaarde nodig, zie aanval 1. Bovendien is deze eenvoudig te detecteren.

Het te slim af zijn van forensisch onderzoekers is goed gevonden! Van de drie aanvallen lijkt me dit de meest praktisch haalbare. Alleen kun je dan weer niet gegevens van gebruikers downloaden, maar alleen je eigen uploads verbergen.

Bottomline: de kop van het artikel die Security.nl ervan heeft gemaakt, slaat nergens op!
19-08-2011, 11:20 door Anoniem
Door Anoniem: Wat ben ik blij dat ik Dropbox heb vervangen door Wuala (http://www.wuala.com/) zeg.

Wat ben ik blij dat ik Sparkleshare gebruik en alles zelf in de hand houdt! (btw veel respect voor het jonge knaapie die dit project support!)
19-08-2011, 11:23 door RichieB
Door Anoniem: Wat ben ik blij dat ik Dropbox heb vervangen door Wuala (http://www.wuala.com/) zeg.
Van de Wuala site:
Download Wuala and follow the instructions below. We support Windows XP SP3, Vista and 7.
*zucht*
21-08-2011, 18:16 door TD-er
Door RichieB:
Door Anoniem: Wat ben ik blij dat ik Dropbox heb vervangen door Wuala (http://www.wuala.com/) zeg.
Van de Wuala site:
Download Wuala and follow the instructions below. We support Windows XP SP3, Vista and 7.
*zucht*
Je kunt ook 5 sec langer kijken op de download-pagina en rechts de linkjes zien naar Linux en Mac en voor de mobiele variant de iphone/ipad en Android.

Maar het is natuurlijk makkelijker om gelijk te mopperen als 'ie niet gelijk op jouw OS als default staat.
23-08-2011, 13:35 door Anoniem
Dan ga ik toch eerder voor Spideroak (https://spideroak.com/) / Het maakt gebruik van zero-knowledge password proof voor gebruikerautenticatie, een combinatie van 2048 bit RSA and 256 bit AES voor data-encryptie en streeft ernaar om Open Source te worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search