DropBox: furto di dati? easy!

-
Che Dropbox sia utile non ci piove. Che sia sicuro, non tanto. Ci speravamo tutti, ma sapevamo che prima o poi qualcuno avrebbe scoperto qualche cosa e allora sarebbero stati dolori. Il momento è arrivato!

Dropbox presenta una vulnerabilità di sicurezza dovuta ad un errore di progettazione del software. Non è un'errata implementazione e quindi un bug che implica una vulnerabilità. No, è proprio un errore di progettazione!

Il client dropbox, infatti, una volta installato (dopo aver immesso le proprie credenziali) registra nella home dell'utente (diverse se su Linux, Windows, Mac) dei file di configurazione, che sono sostanzialmente dei DB SQLite

Un ricercatore americano ha però scoperto, navigando in questi DB con gli innumerevoli software di browsing per SQLite, che l'autenticazione dei client dropbox è basata unicamente su un parametro (in chiaro) presente nel file "config.db". Tale parametro si chiama HOST_ID.

Lo so che adesso state pensando "non mi dirai che copiando il file....". E invece sì! 

Basta conoscere questo "host_id", installarsi il client DropBox con una nuova utenza, aprire il file "config.db" e modificare l'host_id (lasciando invariati tutti gli altri campi), oppure sostituire in toto il file config.db, ed il gioco è fatto! 
DropBox sincronizzerà il contenuto della cartella della vittima nella vostra nuova e immacolata cartella vuota. Il tutto in modo trasparente. Inoltre avrete automaticamente accesso all'interfaccia Web, così da poter cambiare le credenziali e buttar fuori il leggittimo utente, o magari risalire a vecchie versioni dei file (DropBox fa anche versioning). Insomma un vero e proprio furto di dati. Se poi nella cartella avete anche le password in chiaro, allora siete rovinati ;-)

Per essere più espliciti: se riesco ad entrare in possesso di host_id/config.db,  ho automaticamente tutti i dati della cartella di DropBox della vittima! 

Presupposto per l'attacco è ovviamente l'accesso fisico al PC, Mac, o quello che sia. Però essendo il file in questione nella home dell'utente, basta poter leggere tale contenuto, e magari in una rete locale amministrata non è poi così difficile! Metti poi che il sysadmin sia un po' ficcanaso, il gioco è fatto.

Si potrebbe osservare che se qualcuno ha accesso al tuo sistema, sei nelle mani del nemico. Vero! Però c'è modo e modo di arrendersi. Un conto è consegnarsi con il petto scoperto pronti per la fucilazione, un conto è resistere fino alla fine e magari scamparla, no?

Le critiche che piovono su Dropbox sono molteplici, perché ha di fatto generato un token statico che non cambia mai: se cambiate le vostre credenziali di accesso non cambia, se cambiate macchina non cambia, etc. Un possibile worm potrebbe utilizzare questa vulnerabilità per rubare il file config.db e quindi tutti i vostri dati.

Di seguito elenco alcune contromisure che possono essere implementate da DropBox per mitigare il rischio (non si può ovviamente azzerare visto l'accesso fisico alla macchina):

  • l'host_id deve essere legato alle credenziali utente: in questo modo quando si cambiano le credenziali il token viene rigenerato e gli attaccanti sono estromessi (ma i vecchi dati li hanno trafugati); dropbox deve rinegoziare necessariamente il nuovo token su tutte le macchine sincronizzate;
  • l'host_id deve avere un expire-time: in questo modo l'utente è obbligato a reinserire le credenziali dopo un po' di tempo;
  • l'host_id, ed in generale tutti i dati necessari per l'autenticazione, devono essere offuscati per evitare facili attacchi: ricordatevi che Skype è un esempio clamoroso di offuscamento, anzi potremmo dire che ha fatto scuola;
  • rinegoziazione forzata degli host_id da parte di dropbox a tempi prestabiliti: certo l'utente dovrà rimettere la password ma che importa?

Per noi poveri utenti invece, visto che l'attacco è abbastanza semplice, vi consiglio di monitorare i computer sincronizzati (lo potete fare dall'interfaccia Web) e di fare attenzione a ciò che mettete nelle cartella DropBox. Magari potete mettere dei volumi Truecrypt (non troppo grandi perché ad ogni minima modifica risincronizza tutto) o comunque informazioni con un livello aggiuntivo di cifratura.

Buona fortuna!

Commenti

  1. abell16 aprile 2011 alle ore 03:13

    C'è una morale generale che viene confermata da questo episodio: quando si affidano i propri dati ad altri, la garanzia che questi dati rimangano riservati diminuisce sensibilmente. Si può contare sulla correttezza e competenza di un'azienda (ottimismo molto spesso fuori luogo), sull'uso di strumenti crittografici (ma dobbiamo essere sicuri della loro corretta implementazione, vedi disastro openssl debian, e farne un uso competente), ma per dati che davvero vogliamo rimangano personali evitare di farli andare in giro per la rete in qualsiasi forma rimane la strategia più sicura.

    RispondiElimina
  2. Gianluca26 maggio 2011 alle ore 05:20

    io ho creato un volume cifrato con truecrypt dentro la cartella dropbox. Non me ne frega un tubo se mi sniffano il token id.

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere