Z blogov: Bezpečnosť DropBoxu po roku

Onedlho to bude už rok, čo som navštívil oficiálne stránky on-line úložiska súborov DropBox . V tomto čase som napísal článok [Dropbox - pohodlné on-line úložisko verzus bezpečnosť ], v ktorom som sa snažil poukázať na nie veľmi dobre zvládnutú bezpečnosť. Vtedy som pomohol tvorcom projektu navrhnúť niekoľko bezpečnostných opatrení, ktoré, ako som dúfal, aplikujú. Ako teda je na tom projekt takmer po roku?

Od napísania prvého článku sa služba, pochopiteľne, rozvinula, zmenila dizajn a bolo do nej pridaných niekoľko zlepšení. Keďže niekoľko priateľov túto službu aktívne používa, zaujímalo ma, ako je na tom s bezpečnosťou a ako veľmi si vzali tvorcovia moje rady k srdcu. A tak som začal pátrať. Prejsť celý web mi trvalo iba hodinu (nie je veľmi rozsiahly), pričom som spozoroval niekoľko príjemných zlepšení.


Tvorcovia sa snažili použiť všetky dostupné metódy na ochranu koláčikov, aby si s nimi mohol útočník akurát tak … . Tie najchrumkavejšie koláčiky nesú vlajočky „secure“ a „httpOnly“. To je skutočne skvelá správa. Takisto pridali ochranu proti CSRF vo forme tokenov, ktoré síce nie sú bezchybné, ale aspoň tam nie sú len na okrasu a dokážu zlámať paprčky pokušiteľom.



Nasleduje však bohužiaľ. Tvorcovia urobili niekoľko zásadných chýb, na ktoré som ich upozorňoval už vtedy a dodnes ich v podstate úplne ignorovali. Jedna z nich bola perzistentná XSS, ktorú som dokonca vtedy demonštroval v prvom videu. Táto XSS sa nachádzala v názve počítača, ktorý sa dal zmeniť priamo na webe. Tvorcovia sa uchýlili k tzv. security through obscurity (aj keď to nie je práve vzorový príklad) a zraniteľnosť považovali za zabezpečenú vďaka anti-CSRF tokenu. Ako iste viete, bez znalosti daného tokenu nemôže útočník vložiť bez vedomosti obete svoje dáta (často obsahujúce kus JavaScriptu). Teda primárnym cieľom útočníka je nájsť miesto, ako získať daný token. Ja som ho našiel za chvíľku. Napísať jednoduchý kód, ktorý za pomoci XMLHttpRequest a Xpath získa daný token, ktorý následne použije na odoslanie týchto dát, bola už maličkosť. Pridaním JavaScriptu do mena počítača, ktorý vyzerá nezmenene, pretože javascriptový kód nevidno, zaručí, že pri každej návšteve stránky sa skript inicializuje a znovu vykoná naprogramovanú úlohu.

Ja som si však všimol ešte jednu veľmi zaujímavú vec. DropBox umožňuje veľmi jednoducho zmeniť e-mailovú adresu majiteľa, a to jednoduchým zadaním nového e-mailu. I keď služba vyžaduje pri zmene hesla zadať aj pôvodné heslo, pri e-maile nevyžaduje nič. A tak bola na svete nová idea, ako získať používateľské konto, nielen jeho dáta (i keď toto by dobrý útočník nikdy neurobil, pripraviť sa o stály prístup do konta, ktorého majiteľ o tom vôbec netuší, a tak pridáva stále nové dáta). Napriek tomu ide o veľmi zaujímavú a lákavú možnosť.

Chcel by som upozorniť, že som kontaktoval tvorcov služby a akútne chyby okamžite odstránili a podľa ich slov nasadili nejakú formu WAF (Web Application Firewall), ktorá by mala pomôcť v budúcnosti včas odhaliť akúkoľvek formu útoku.

Na záver by som chcel upozorniť, že služby ako DropBox , SugarSync , Box.net môžu byť skvelí pomocníci pri práci, hlavne ak presúvate neustále súbory medzi niekoľkými počítačmi, no je potrebné mať na pamäti aj riziko straty údajov, ako aj ich odcudzenia. Ak teda chcete na tieto úložiská vkladať citlivé súbory, vždy ich zašifrujte silnou šifrou, čim by ste mohli zaručiť ich bezpečnosť (aspoň nateraz).

Zdroj: Synopsi blog

---