Dropbox en vergelijkbare services kunnen malware synchroniseren

Dropbox en soortgelijke services zijn de afgelopen jaren enorm populair geworden omdat gebruikers het zo handig vinden om bestanden eenvoudig naar een pictogram te slepen dat die gegevens in de cloud plaatst, deze met anderen deelt en automatisch nieuwe versies op meerdere apparaten synchroniseert.





Maar gebruiksgemak en onveiligheid gaan vaak hand in hand, en nu onthullen onderzoekers een ongemakkelijke waarheid: als een computer met Dropbox-functionaliteit wordt gecompromitteerd, zorgt de synchronisatiefunctie ervoor dat malware die door de aanvaller is geïnstalleerd, andere machines en netwerken kan bereiken die de service gebruiken. Mensen denken niet dat als je Dropbox eenmaal hebt geconfigureerd, alles wat je in de synchronisatiemap plaatst, gratis door de firewall gaat, zegt Jacob Williams, een digitaal forensisch wetenschapper bij CSR Group. We hebben dit op verschillende services getest en het krijgt gegevens dwars door de firewall.

Williams zegt dat hij dit de afgelopen weken niet alleen met Dropbox heeft kunnen doen, maar ook met concurrerende services: SkyDrive, Google Drive, SugarSync en Amazon Cloud Drive. Dit is als e-mail in de jaren ’90, zegt hij. We wilden het, maar daarbij kwamen spam, malware-commando's en -controle en malware-distributie. We hebben alleen nog geen detectie- en beveiligingstools voor Dropbox en soortgelijke services.

Niemand bij Dropbox, dat in 2007 werd opgericht door Drew Houston en Arash Ferdowsi (zie Alle complexiteiten van externe bestandsopslag verbergen achter een kleine blauwe doos), zou commentaar geven op de kwestie. De dienst heeft meer dan 175 miljoen gebruikers.



Het onderzoek naar Dropbox en vergelijkbare services draagt ​​bij aan een reeks recente beveiligingsproblemen over het opslaan van gegevens en het uitvoeren van berekeningen op externe of cloudservers. Hoewel dergelijke services beter kunnen zijn dan alles zelf te doen (zie Slim zijn over cloudbeveiliging), blijven beveiligingsonderzoekers nieuwe manieren vinden om ze aan te vallen (zie Beveiligingsonderzoekers Rain on Amazon's Cloud). Met het toenemende gebruik van cloudgebaseerde services zullen dit soort aanvallen opnieuw verschijnen totdat de platforms volwassen zijn, zegt Radu Sion, een computerwetenschapper en beveiligingsonderzoeker aan de Stony Brook University. De aanval hier is eigenlijk niet op Dropbox, maar eerder in het gebruik van Dropbox door mensen. Dropbox heeft zojuist een kanaal voor [geïnfecteerde] documenten gefaciliteerd via de bedrijfsfirewall. Hij noemde het een goed samengestelde combinatie van bestaande exploits.

Williams ontdekte het misbruiken van Dropbox als aanvalsvector toen een klant hem vroeg om de beveiliging van een bedrijfsnetwerk te testen. Als eerste stap, los van Dropbox, verkreeg Williams een persoonlijk e-mailadres voor de CIO en voerde met succes een spear-phishing-aanval uit toen de CIO op een bijgevoegd bestand met malware klikte. Toen de CIO met zijn laptop niet op kantoor was, kon Williams toegang krijgen tot de computer en vond hij bedrijfsdocumenten in een Dropbox-synchronisatiemap.

Dit was op zich niet de schuld van Dropbox; alles op de machine - wachtwoorden, familiefoto's - was zichtbaar. Maar de cruciale volgende stap was het gebruik van Dropbox en zijn synchronisatiemogelijkheden om een ​​malwarebestand te laden dat vervolgens in mappen binnen het bedrijfsnetwerk zou verschijnen.



Hij schreef een kwaadaardig bestand genaamd DropSmack en gebruikte het om een ​​bestand te infecteren dat al in de Dropbox-map van de CIO stond. Toen de CIO dat bestand de volgende keer opende, stond de DropSmack-tool toe dat kwaadaardige commando's binnen het bedrijfsnetwerk werden verzonden via bestanden die door Dropbox werden gesynchroniseerd, inclusief commando's waarmee bestanden konden worden gestolen. Later repliceerde Williams de aanval met verschillende andere populaire synchronisatieservices voor cloudopslag.

Hoewel er geen aanvallen bekend zijn die op deze manier hebben plaatsgevonden, kan ik me niet voorstellen dat iemand het ergens niet voor daadwerkelijke aanvallen heeft gebruikt, zegt Williams. Het is bijna onmogelijk om te detecteren met de huidige tools, dus we weten het niet. Hulpprogramma's voor het voorkomen van gegevensverlies hebben het erg moeilijk met Dropbox en dergelijke. Ze slagen er echt niet in om deze diensten te beschermen. Hij besprak zijn aanvallen op cloudopslagdiensten in een: praten bij Black Hat eerder deze maand.

Vorige week bleek dat andere onderzoekers de code konden ontsleutelen die werd gebruikt door de Dropbox-client, de voorloper van een aanval op Dropbox zelf. Ik zou zeggen dat het een gemakkelijke taak was - de code werd op een vrij eenvoudige manier beschermd, zei Przemysław Węgrzyn, een software-engineer bij Codepainters, een beveiligingsbedrijf in Wroclaw, Polen, die mede een papier geleverd op de Usenix-beveiligingsconferentie in Washington, D.C. Kortom, als je het kunt reverse-engineeren, kun je zien hoe het communiceert, alles zien over de communicatie, over wat voor soort beveiliging het is en op welk niveau je het moet aanvallen.



Węgrzyn zelf bagatelliseerde het belang hiervan, aangezien het geen daadwerkelijke succesvolle aanval op Dropbox was en geen gegevensverlies tot gevolg had.

zich verstoppen