Dropbox och liknande tjänster kan synkronisera skadlig programvara

Dropbox och liknande tjänster har exploderat i popularitet de senaste åren eftersom användarna tycker att det är så bekvämt att helt enkelt dra filer till en ikon som placerar denna data i molnet, delar den med andra och automatiskt synkroniserar nya versioner över flera enheter.





Men användarvänlighet och osäkerhet går ofta hand i hand, och nu avslöjar forskare en obekväm sanning: om en dator med Dropbox-funktioner äventyras, tillåter synkroniseringsfunktionen all skadlig programvara som installerats av angriparen att nå andra maskiner och nätverk som använder tjänsten. Folk anser inte att när du väl har konfigurerat Dropbox, får allt du lägger i synkroniseringsmappen ett gratispass genom brandväggen, säger Jacob Williams, en digital kriminaltekniker på CSR Group. Vi har testat detta på flera tjänster, och det får data direkt genom brandväggen.

Williams säger att han under de senaste veckorna har kunnat göra detta inte bara med Dropbox utan också med konkurrerande tjänster: SkyDrive, Google Drive, SugarSync och Amazon Cloud Drive. Det här är som e-post på 90-talet, säger han. Vi ville ha det, men med det kom skräppost, kommando och kontroll av skadlig programvara och distribution av skadlig programvara. Vi har helt enkelt inte detekterings- och säkerhetsverktyg för att täcka Dropbox och liknande tjänster ännu.

Ingen på Dropbox, som grundades 2007 av Drew Houston och Arash Ferdowsi (se Hiding All the Complexities of Remote File Storage Behind a Small Blue Box ), skulle kommentera saken. Tjänsten har mer än 175 miljoner användare.



Forskningen om Dropbox och liknande tjänster bidrar till en mängd nya säkerhetsproblem när det gäller att lagra data och göra beräkningar på fjärr- eller molnservrar. Även om sådana tjänster kan vara bättre än att köra allt själv (se Being Smart about Cloud Security ), fortsätter säkerhetsforskare att hitta nya sätt att attackera dem (se Säkerhetsforskare regnar på Amazons moln ). Med den ökande användningen av molnbaserade tjänster kommer den här typen av attacker att dyka upp igen tills plattformarna mognar, säger Radu Sion, datavetare och säkerhetsforskare vid Stony Brook University. Attacken här är faktiskt inte på Dropbox utan snarare i människors användning av Dropbox. Dropbox har precis underlättat en kanal för [infekterade] dokument genom företagets brandvägg. Han kallade det en väl sammansatt kombination av befintliga bedrifter.

Williams snubblade över att utnyttja Dropbox som en attackvektor när en klient bad honom att testa säkerheten i ett företagsnätverk. Som ett första steg, utan samband med Dropbox, skaffade Williams en personlig e-postadress till CIO:n och genomförde framgångsrikt en spear-phishing-attack när CIO:n klickade på en bifogad fil som innehöll skadlig programvara. När CIO var borta från kontoret med sin bärbara dator kunde Williams få tillgång till datorn – och hittade företagsdokument i en Dropbox-synkroniseringsmapp.

Detta i sig var inte Dropboxs fel; allt på maskinen – lösenord, familjebilder – exponerades. Men det avgörande nästa steget var att använda Dropbox och dess synkroniseringsförmåga för att ladda en skadlig programvara som sedan skulle dyka upp i mappar i företagets nätverk.



Han skrev en skadlig fil som heter DropSmack och använde den för att infektera en fil som redan fanns i CIO:s Dropbox-mapp. När CIO:n öppnade den filen nästa gång, tillät DropSmack-verktyget att skicka skadliga kommandon inuti företagets nätverk via filer som synkroniserades av Dropbox – inklusive kommandon som gjorde att filer kunde stjälas. Senare replikerade Williams attacken med flera andra populära synkroniseringstjänster för molnlagring.

Även om inga attacker är kända för att ha inträffat på detta sätt, kan jag inte föreställa mig att någon någonstans inte har använt det för faktiska attacker, säger Williams. Det är nästan omöjligt att upptäcka med nuvarande verktyg, så vi vet inte. Verktyg för förebyggande av dataförlust har riktigt svårt med Dropbox och liknande. De misslyckas verkligen med att skydda dessa tjänster. Han diskuterade sina attacker på molnlagringstjänster i en prata på Black Hat Tidigare den här månaden.

I ytterligare ett fynd förra veckan kunde andra forskare dekryptera koden som används av Dropbox-klienten – föregångaren till en attack mot Dropbox själv. Jag skulle säga att det var en ganska lätt uppgift – koden skyddades på ett ganska enkelt sätt, sa Przemysław Węgrzyn, en mjukvaruingenjör på Codepainters, ett säkerhetsföretag i Wroclaw, Polen, som var med och skrev en papper levererad på Usenix säkerhetskonferens i Washington, D.C. I grund och botten, om du kan omvända den, kan du se hur den kommunicerar, se allt om kommunikationen, om vilken typ av säkerhet det är och vilken nivå du ska attackera den.



Węgrzyn själv tonade dock ner betydelsen av detta, eftersom det inte var en faktisk framgångsrik attack på Dropbox och inte resulterade i någon dataförlust.

Dölj