Исследователи рассказали об уязвимостях в сервисе Dropbox

Исследователи рассказали об уязвимостях в сервисе Dropbox

Специалисты по защите информации рассказали на симпозиуме USENIX Security о трех способах получения несанкционированного доступа к чужим данным, которые оказались возможны благодаря изъянам в системе безопасности популярной службы хранения файлов и электронных документов, основанной на "облачных" технологиях.

Необходимо сразу сказать, что атаки на Dropbox были разработаны еще в прошлом году, и исследователи сознательно не предавали результаты своих изысканий огласке до тех пор, пока отверстия в защите не были закрыты. Соответственно, на данный момент клиентам сервиса уже ничто не угрожает.

Первая атака основывалась на подмене хэш-значений, использующихся для идентификации элементов данных, которые хранятся в "облаке". Эти значения генерируются и проверяются системами Dropbox, чтобы определять, имеется ли уже в хранилище тот или иной файл - дабы не плодить дубликаты, сервис не загружает объекты повторно. До закрытия уязвимости в случае успешной проверки служба попросту устанавливала связь между учетной записью и файлом, позволяя таким образом любому случайному лицу привязать данные к своему аккаунту и свободно извлечь информацию из "облака". В силу природы систем распределенных вычислений владелец этих сведений ни о чем даже не подозревал.

Вторая атака предполагала предварительную кражу т.н. идентификатора хоста - 128-битного ключа, генерируемого сервисом для опознавания своих клиентов. При создании такого ключа используются имя пользователя, а также время и дата. Если потенциальному злоумышленнику удавалось завладеть идентификатором, он мог подменить им свой собственный - и получить от "облака" полный список принадлежащих жертве файлов с правом на их извлечение. Для этого нужно было лишь провести повторную синхронизацию учетной записи.

Третья атака эксплуатировала одну из функций Dropbox - возможность запрашивать данные по зашифрованному соединению через прямой URL. Для получения интересующего объекта злоумышленнику нужно было лишь знать хэш-значение фрагмента информации и любой существующий идентификатор хоста - не обязательно тот, который был ассоциирован с учетной записью владельца данных. Впрочем, эту последнюю атаку Dropbox все же мог распознать ввиду несоответствия файлов и аккаунтов.

Таким образом, уязвимости открывали возможности для довольно успешного и в то же время не слишком трудозатратного хищения конфиденциальных сведений, а также для сокрытия информации в распределенной среде (модифицированный Dropbox-клиент мог позволить загрузить файлы без ассоциации с каким-либо аккаунтом, и впоследствии их можно было получить из-под любой учетной записи). Все это вновь подтверждает, что "облако" может быть далеко не самым безопасным местом для хранения информации, если надлежащие меры защиты не приняты - а полагаться клиенту в этой ситуации приходится уже не на себя, а исключительно на добропорядочность и профессионализм сотрудников того или иного сервиса.

PC World

Письмо автору

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

74% малых компаний готовы усиливать киберзащиту только по требованию закона

Большинство российских компаний малого и среднего бизнеса пока не спешат инвестировать в информационную безопасность — готовы усиливать защиту в основном по требованию регуляторов. Об этом говорится во второй части исследования, проведённого ИТ-компанией «Киберпротект» совместно с платформой «Работа.ру».

Один из главных выводов: 74% компаний укрепят защиту только в случае новых требований законодательства. То есть инициативы в этом вопросе от бизнеса ждать пока не стоит.

При этом более половины опрошенных (53%) всё же планируют увеличить траты на ИБ в 2025 году, но лишь 14% — существенно. Ещё 20% не собираются ничего менять, а 18% пока не приняли решение.

На сегодня средний бюджет МСП на кибербезопасность — от 100 до 500 тысяч рублей в год. Более 5 млн рублей тратит лишь 4% компаний. За последний год у большинства (69%) расходы не изменились или выросли незначительно, а у каждой четвёртой компании (23%) — даже сократились.

Почему так происходит? Основная причина — нехватка бюджета (об этом сказали 54% участников). Также мешают сложности с выбором подходящих решений (15%) и дефицит специалистов в команде (7%).

Киберугрозы как стимул — только для некоторых

Если говорить о том, что может заставить бизнес изменить подход к ИБ, то, помимо давления со стороны государства, это:

  • требования клиентов или партнёров — 51%;
  • инциденты и негативный опыт — 25%.

При этом лишь 16% компаний стали бы срочно усиливать защиту, узнав о киберрисках. Остальные считают, что текущих мер им достаточно — особенно те, кто ещё не сталкивался с реальными атаками. Хотя, по результатам исследования, каждая третья компания МСП уже пострадала от киберинцидентов за последний год.

Комментарий эксперта

Исполнительный директор «Киберпротект» Елена Бочерова считает, что МСП — один из самых уязвимых сегментов, и часто бизнес начинает думать о защите только «после того, как случилось». По её мнению, ситуацию можно изменить только при поддержке государства и крупных игроков рынка — через обучение, стандарты и доступ к экспертизе. Без этого построить устойчивую цифровую инфраструктуру на уровне всей страны будет сложно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru