Исследователи рассказали об уязвимостях в сервисе Dropbox

Исследователи рассказали об уязвимостях в сервисе Dropbox

Специалисты по защите информации рассказали на симпозиуме USENIX Security о трех способах получения несанкционированного доступа к чужим данным, которые оказались возможны благодаря изъянам в системе безопасности популярной службы хранения файлов и электронных документов, основанной на "облачных" технологиях.

Необходимо сразу сказать, что атаки на Dropbox были разработаны еще в прошлом году, и исследователи сознательно не предавали результаты своих изысканий огласке до тех пор, пока отверстия в защите не были закрыты. Соответственно, на данный момент клиентам сервиса уже ничто не угрожает.

Первая атака основывалась на подмене хэш-значений, использующихся для идентификации элементов данных, которые хранятся в "облаке". Эти значения генерируются и проверяются системами Dropbox, чтобы определять, имеется ли уже в хранилище тот или иной файл - дабы не плодить дубликаты, сервис не загружает объекты повторно. До закрытия уязвимости в случае успешной проверки служба попросту устанавливала связь между учетной записью и файлом, позволяя таким образом любому случайному лицу привязать данные к своему аккаунту и свободно извлечь информацию из "облака". В силу природы систем распределенных вычислений владелец этих сведений ни о чем даже не подозревал.

Вторая атака предполагала предварительную кражу т.н. идентификатора хоста - 128-битного ключа, генерируемого сервисом для опознавания своих клиентов. При создании такого ключа используются имя пользователя, а также время и дата. Если потенциальному злоумышленнику удавалось завладеть идентификатором, он мог подменить им свой собственный - и получить от "облака" полный список принадлежащих жертве файлов с правом на их извлечение. Для этого нужно было лишь провести повторную синхронизацию учетной записи.

Третья атака эксплуатировала одну из функций Dropbox - возможность запрашивать данные по зашифрованному соединению через прямой URL. Для получения интересующего объекта злоумышленнику нужно было лишь знать хэш-значение фрагмента информации и любой существующий идентификатор хоста - не обязательно тот, который был ассоциирован с учетной записью владельца данных. Впрочем, эту последнюю атаку Dropbox все же мог распознать ввиду несоответствия файлов и аккаунтов.

Таким образом, уязвимости открывали возможности для довольно успешного и в то же время не слишком трудозатратного хищения конфиденциальных сведений, а также для сокрытия информации в распределенной среде (модифицированный Dropbox-клиент мог позволить загрузить файлы без ассоциации с каким-либо аккаунтом, и впоследствии их можно было получить из-под любой учетной записи). Все это вновь подтверждает, что "облако" может быть далеко не самым безопасным местом для хранения информации, если надлежащие меры защиты не приняты - а полагаться клиенту в этой ситуации приходится уже не на себя, а исключительно на добропорядочность и профессионализм сотрудников того или иного сервиса.

PC World

Письмо автору

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджере MAX появился цифровой ID

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru