211service.com
Dropbox und ähnliche Dienste können Malware synchronisieren
Dropbox und ähnliche Dienste sind in den letzten Jahren immer beliebter geworden, weil Benutzer es so praktisch finden, Dateien einfach auf ein Symbol zu ziehen, das diese Daten in der Cloud ablegt, mit anderen teilt und neue Versionen automatisch auf mehreren Geräten synchronisiert.
Aber Benutzerfreundlichkeit und Unsicherheit gehen oft Hand in Hand, und jetzt enthüllen Forscher eine unangenehme Wahrheit: Wird ein Computer mit Dropbox-Funktionalität kompromittiert, ermöglicht die Synchronisierungsfunktion, dass vom Angreifer installierte Malware andere Computer und Netzwerke erreicht, die den Dienst nutzen. Die Leute denken nicht, dass nach der Konfiguration von Dropbox alles, was Sie in den Synchronisationsordner legen, kostenlos durch die Firewall gelangt, sagt Jacob Williams, ein Wissenschaftler für digitale Forensik bei der CSR Group. Wir haben dies mit mehreren Diensten getestet und es werden Daten direkt durch die Firewall geleitet.
Williams sagt, dass er dies in den letzten Wochen nicht nur mit Dropbox, sondern auch mit konkurrierenden Diensten tun konnte: SkyDrive, Google Drive, SugarSync und Amazon Cloud Drive. Das sei wie E-Mail in den 90ern, sagt er. Wir wollten es, aber mit ihm kamen Spam, Malware-Befehle und -Kontrolle und Malware-Verteilung. Wir haben einfach noch keine Erkennungs- und Sicherheitstools, um Dropbox und ähnliche Dienste abzudecken.
Niemand bei Dropbox, das 2007 von Drew Houston und Arash Ferdowsi gegründet wurde (siehe Hiding All the Complexities of Remote File Storage Behind a Small Blue Box ), würde sich dazu äußern. Der Dienst hat mehr als 175 Millionen Nutzer.
Die Forschung zu Dropbox und ähnlichen Diensten trägt zu einer Reihe neuer Sicherheitsbedenken hinsichtlich der Datenspeicherung und Berechnung auf Remote- oder Cloud-Servern bei. Während solche Dienste besser sein können, als alles selbst zu betreiben (siehe Smart über Cloud-Sicherheit sein ), finden Sicherheitsforscher immer wieder neue Möglichkeiten, sie anzugreifen (siehe Sicherheitsforscher Rain in Amazons Cloud ). Mit der zunehmenden Nutzung von Cloud-basierten Diensten werden solche Angriffe wieder auftauchen, bis die Plattformen ausgereift sind, sagt Radu Sion, Informatiker und Sicherheitsforscher an der Stony Brook University. Der Angriff liegt hier tatsächlich nicht auf Dropbox, sondern auf der Nutzung von Dropbox durch die Leute. Dropbox hat gerade einen Kanal für [infizierte] Dokumente durch die Unternehmensfirewall ermöglicht. Er nannte es eine gut zusammengestellte Kombination bestehender Exploits.
Williams stolperte darüber, Dropbox als Angriffsvektor auszunutzen, als ein Kunde ihn bat, die Sicherheit eines Unternehmensnetzwerks zu testen. In einem ersten Schritt, unabhängig von Dropbox, verschaffte sich Williams eine persönliche E-Mail-Adresse für den CIO und führte erfolgreich einen Spear-Phishing-Angriff durch, als der CIO auf eine angehängte Datei mit Schadsoftware klickte. Wenn der CIO mit seinem Laptop nicht im Büro war, konnte Williams auf den Computer zugreifen – und fand Unternehmensdokumente in einem Dropbox-Synchronisierungsordner.
Dies allein war nicht die Schuld von Dropbox; alles auf dem Gerät – Passwörter, Familienfotos – wurde freigelegt. Der entscheidende nächste Schritt bestand jedoch darin, Dropbox und seine Synchronisierungsfunktionen zu verwenden, um eine Malware-Datei zu laden, die dann in Ordnern innerhalb des Unternehmensnetzwerks angezeigt wurde.
Er hat eine bösartige Datei namens DropSmack geschrieben und damit eine Datei infiziert, die sich bereits im Dropbox-Ordner des CIO befindet. Als der CIO diese Datei das nächste Mal öffnete, erlaubte das DropSmack-Tool dann, bösartige Befehle innerhalb des Unternehmensnetzwerks über von Dropbox synchronisierte Dateien zu senden – einschließlich Befehlen, die den Diebstahl von Dateien ermöglichten. Später replizierte Williams den Angriff mit mehreren anderen beliebten Synchronisierungsdiensten für Cloud-Speicher.
Obwohl keine Angriffe auf diese Weise bekannt sind, kann ich mir nicht vorstellen, dass jemand es nicht für tatsächliche Angriffe verwendet hat, sagt Williams. Es ist mit aktuellen Tools fast unmöglich zu erkennen, daher wissen wir es nicht. Tools zur Verhinderung von Datenverlust haben es mit Dropbox und Co. wirklich schwer. Sie versagen wirklich beim Schutz dieser Dienste. Er diskutierte seine Angriffe auf Cloud-Speicherdienste in einem Rede bei Black Hat früher in diesem Monat.
In einem weiteren Ergebnis der letzten Woche konnten andere Forscher den Code des Dropbox-Clients entschlüsseln – die Vorstufe eines Angriffs auf Dropbox selbst. Ich würde sagen, es war eine einfache Aufgabe – der Code wurde auf ziemlich einfache Weise geschützt, sagte Przemysław Węgrzyn, Softwareingenieur bei Codepainters, einer Sicherheitsfirma in Wroclaw, Polen, der an a Papier geliefert auf der Usenix-Sicherheitskonferenz in Washington, D.C. Grundsätzlich können Sie, wenn Sie es zurückentwickeln können, sehen, wie es kommuniziert, alles über die Kommunikation sehen, welche Art von Sicherheit es ist und welche Angriffsebene es ist.
Węgrzyn selbst spielte die Bedeutung jedoch herunter, da es sich nicht um einen wirklich erfolgreichen Angriff auf Dropbox handelte und zu keinem Datenverlust führte.