Forskere avslørte Dropbox-svakheter

Forskere avslørte Dropbox-svakheter

Stjal brukerdata og skjulte data hos Dropbox uten å bli identifisert.

Dropbox har nå tettet igjen sikkerhetshullene som en gruppe forskere oppdaget i fjor. Forskerne har holdt feilene hemmelig helt til nå for at Dropbox skulle få tid til å fjerne svakhetene før nyheten om dem ble offentliggjort.

Dropbox er som kjent en av de mest populære lagringstjenestene «i skyen», med over 25 millioner brukere i mer enn 175 land. Hver dag lagres det over 200 millioner filer på tjenermaskinene til Dropbox. Den er ukjent hvor mange brukere Dropbox har i Norge, men tjenesten har ry på seg for å være populær.

PC World Norge ga Dropbox terningkast 5 i en test i fjor høst.

Data som ikke kan spores

Foruten å bane seg adgang til andre brukeres data hos Dropbox greide forskerne også å lagre egne data hos Dropbox på en slik måte at brukerens identitet ikke lot seg spore. Dette er kontroversielt, for aktuelle hendelser har jo vist at det i enkelte miljøer er stor interesse for å kunne lagre og dele data på nettet uten å bli sporet opp.

Det var på konferansen Usenix Security Symposium i San Francisco at forskerne nylig sto frem med sine oppdagelser, melder Macworld USA, som siterer fra et oppslag i IDG-publikasjonen Network World.

Der fremgår det at Dropbox nå har lykkes i å tette hullene som sikkerhetsforskerne oppdaget i fjor etter å ha lykkes med tre angrep mot Dropbox.

Forfalsket nøkkelverdier

Forskerne sørget for å forfalske såkalte hash-verdier i datatabeller som benyttes til å identifisere samlinger av data lagret hos Dropbox.

I Dropbox-systemet sjekkes disse verdiene for å finne ut om dataene allerede er lagret på serverne til Dropbox, og hvis det er tilfelle, blir dataene linket til den aktuelle brukeren.

Ved å forfalske disse verdiene greide sikkerhetsforskerne å skaffe seg adgang til tilfeldige deler av andre kunders data, ifølge forskere fra det østerrikske sikkerhetsfirmaet SBA Research.

De påpekte at ettersom den uautoriserte adgangen ble gitt «i skyen», merket ikke eierne av de aktuelle dataene noe til det som hadde skjedd.

Det andre angrepet besto i å stjele Dropbox-id-en til en av kundene. Dette er en 128-bitsnøkkel som Dropbox-systemet genererer ved å bruke elementer fra brukernavn, klokkeslett og dato. Deretter kunne angriperen erstatte sin egen id-nøkkel med offerets, og ved neste synkronisering mot Dropbox ville også alle dataene som offeret har lagret der, bli med i synkroniseringen.

Det tredje angrepet ble gjort for å sjekke hvor trygt det er å bruke muligheten som Dropbox byr på til å hente ned data via SSL (Secure Sockets Layer) til en bestemt nettadresse.

Man trenger bare hash-verdien til den aktuelle datamengden samt en hvilken som helst gyldig id-nøkkel, ikke nødvendigvis id-en som er knyttet til de aktuelle dataene, ifølge forskerne. Deretter kan de tilknyttede dataene hentes ned fra hvor som helst i verden.

Under radaren

Forskerne hevder at de tre angrepsmetodene de lyktes med, viser hvor enkelt det er å komme utenom beskyttelsen som skal hindre at man smugler data ut gjennom et sikkerhetsbeskyttet bedriftsnettverk.

Fra et godt beskyttet bedriftsnettverk er det vanligvis vanskelig å få med seg større mengder uautoriserte data, men derimot ganske lett å få med seg den lille datamengden som hash-verdiene i en datatabell består av.

Forskerne satte også inn et fjerde angrep mot Dropbox, men dette ble avslørt av Dropbox-systemet.

Som sagt har altså Dropbox-folkene nå greid i å stenge igjen de aktuelle sikkerhetshullene.