BIZIT 11 - prvi dan

Da li su hakovani Dropbox, Box, Google Drive i OneDrive?

U sredu je na hakerskoj konferenciji Black Hat prezentovana mogućnost hakovanja poznatih cloud servisa i to bez znanja lozinke. Tom prilikom pokazana je i nova vrsta napada MITC (Man-in-the-Cloud).

TeslaKompanija Imperva je u Las Vegasu na 18. Black Hat konferenciji prezentovala kako se može pristupiti podacima na cloud servisima Dropbox, Box, Google Drive i OneDrive. Tom prilikom nije potrebno da se zna korisnički nalog i lozinka, jer se za napad koristi MITC tehnika.

Naime, ovde se ne nastoji da se iskoriste slabosti i bezbednosni propusti u aplikacijama ili serverima za cloud servise. Jedini propust koji se ovde koristi jeste taj što je sama struktura cloud servisa takva da se ne zahteva svaki put lozinka kada se vrši sinhronizacija fajla. Tada se umesto lozinke koristi token.

Problem je u tome što se ovi tokeni čuvaju na samim uređajima sa koji se pristupa nalogu. Tokeni nisu uvek kriptovani, pa to dodatno olakšava posao hakera, a i u slučaju enkripcije zaštita nije dovoljno dobra da se onemogući nasilno otkrivanje tokena. Pomoću tokena napadač može neovlašćeno pristupiti fajlovima kako bi ih menjao, brisao ili presnimio. Takođe, može snimiti, odnosno prebaciti i nove fajlove u hakovani nalog na cloud-u, koji mogu da budu zaraženi zlonamernim kodom.

Pročitajte i:  Dropbox otpušta petinu zaposlenih

Kako se ispostavilo otkrivanje tokena takođe je veoma pogubno po korisnike kao i otkrivanje same lozinke. U pojedinim slučajevima može da bude i gore, jer se pomoću tokena može pristupiti nekim nalozima i kada se lozinka promeni, što svakako nije prijatno čuti ako koristite neki od cloud servisa.

Da li je ova mogućnost već zloupotrebljena ili nije za sada nije potvrđeno, ali pored stručnjaka u kompaniji Imperva vrlo je moguće da je još neko otkrio ovaj propust. O tome čak upozoravaju i iz same kompanije.

Autor: Luka Milinković

Facebook komentari:
Računari i Galaksija
Tagovi: , , , ,