Исследователи рассказали об уязвимостях в сервисе Dropbox

Исследователи рассказали об уязвимостях в сервисе Dropbox

Специалисты по защите информации рассказали на симпозиуме USENIX Security о трех способах получения несанкционированного доступа к чужим данным, которые оказались возможны благодаря изъянам в системе безопасности популярной службы хранения файлов и электронных документов, основанной на "облачных" технологиях.

Необходимо сразу сказать, что атаки на Dropbox были разработаны еще в прошлом году, и исследователи сознательно не предавали результаты своих изысканий огласке до тех пор, пока отверстия в защите не были закрыты. Соответственно, на данный момент клиентам сервиса уже ничто не угрожает.

Первая атака основывалась на подмене хэш-значений, использующихся для идентификации элементов данных, которые хранятся в "облаке". Эти значения генерируются и проверяются системами Dropbox, чтобы определять, имеется ли уже в хранилище тот или иной файл - дабы не плодить дубликаты, сервис не загружает объекты повторно. До закрытия уязвимости в случае успешной проверки служба попросту устанавливала связь между учетной записью и файлом, позволяя таким образом любому случайному лицу привязать данные к своему аккаунту и свободно извлечь информацию из "облака". В силу природы систем распределенных вычислений владелец этих сведений ни о чем даже не подозревал.

Вторая атака предполагала предварительную кражу т.н. идентификатора хоста - 128-битного ключа, генерируемого сервисом для опознавания своих клиентов. При создании такого ключа используются имя пользователя, а также время и дата. Если потенциальному злоумышленнику удавалось завладеть идентификатором, он мог подменить им свой собственный - и получить от "облака" полный список принадлежащих жертве файлов с правом на их извлечение. Для этого нужно было лишь провести повторную синхронизацию учетной записи.

Третья атака эксплуатировала одну из функций Dropbox - возможность запрашивать данные по зашифрованному соединению через прямой URL. Для получения интересующего объекта злоумышленнику нужно было лишь знать хэш-значение фрагмента информации и любой существующий идентификатор хоста - не обязательно тот, который был ассоциирован с учетной записью владельца данных. Впрочем, эту последнюю атаку Dropbox все же мог распознать ввиду несоответствия файлов и аккаунтов.

Таким образом, уязвимости открывали возможности для довольно успешного и в то же время не слишком трудозатратного хищения конфиденциальных сведений, а также для сокрытия информации в распределенной среде (модифицированный Dropbox-клиент мог позволить загрузить файлы без ассоциации с каким-либо аккаунтом, и впоследствии их можно было получить из-под любой учетной записи). Все это вновь подтверждает, что "облако" может быть далеко не самым безопасным местом для хранения информации, если надлежащие меры защиты не приняты - а полагаться клиенту в этой ситуации приходится уже не на себя, а исключительно на добропорядочность и профессионализм сотрудников того или иного сервиса.

PC World

Письмо автору

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Количество фишинговых доменных имен выросло на 38%

Согласно данным регулярного исследования Phishing Landscape Report компании Interisle, количество доменных имён, связанных с фишингом, в период с мая 2024 по апрель 2025 года выросло на 38% по сравнению с предыдущим годом.

В основу отчёта (PDF) легли объединённые данные о фишинговых атаках от Anti-Phishing Working Group (APWG), OpenPhish, PhishTank и Spamhaus. Всего Interisle проанализировала более 4 млн жалоб на фишинговые ресурсы.

Одной из новых тенденций стало сокращение числа фишинговых сайтов в доменах COM/NET и в национальных доменных зонах: их доля снизилась с 37% до 32% и с 15% до 11% соответственно.

Этот спад компенсировался активным ростом фишинга в новых доменных зонах. Там было сосредоточено 51% фишинговых сайтов, при том что на их долю приходилось лишь 11% всех легитимных ресурсов. В домене XIN почти 100% сайтов оказались фишинговыми. Высокая концентрация подобных ресурсов зафиксирована также в доменных зонах BOND, CFD, TODAY и LOL. По мнению Interisle, причина в низкой стоимости регистрации в этих зонах.

Тем не менее в абсолютных цифрах лидирует домен COM, где выявлено более 455 тыс. фишинговых ресурсов. Это объясняется его популярностью и крупнейшим количеством регистраций в мире.

Среди регистраторов наибольшая доля фишинговых доменов пришлась на компании NiceNic, Aceville, Dominet, Webnic и OwnRegistrar, что также связывают с их ценовой политикой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru