Che Dropbox sia utile non ci piove. Che sia sicuro, non tanto. Ci speravamo tutti, ma sapevamo che prima o poi qualcuno avrebbe scoperto qualche cosa e allora sarebbero stati dolori. Il momento è arrivato!
Dropbox presenta una vulnerabilità di sicurezza dovuta ad un errore di progettazione del software. Non è un'errata implementazione e quindi un bug che implica una vulnerabilità. No, è proprio un errore di progettazione!
Il client dropbox, infatti, una volta installato (dopo aver immesso le proprie credenziali) registra nella home dell'utente (diverse se su Linux, Windows, Mac) dei file di configurazione, che sono sostanzialmente dei DB SQLite.
Un ricercatore americano ha però scoperto, navigando in questi DB con gli innumerevoli software di browsing per SQLite, che l'autenticazione dei client dropbox è basata unicamente su un parametro (in chiaro) presente nel file "config.db". Tale parametro si chiama HOST_ID.
Lo so che adesso state pensando "non mi dirai che copiando il file....". E invece sì!
Basta conoscere questo "host_id", installarsi il client DropBox con una nuova utenza, aprire il file "config.db" e modificare l'host_id (lasciando invariati tutti gli altri campi), oppure sostituire in toto il file config.db, ed il gioco è fatto!
DropBox sincronizzerà il contenuto della cartella della vittima nella vostra nuova e immacolata cartella vuota. Il tutto in modo trasparente. Inoltre avrete automaticamente accesso all'interfaccia Web, così da poter cambiare le credenziali e buttar fuori il leggittimo utente, o magari risalire a vecchie versioni dei file (DropBox fa anche versioning). Insomma un vero e proprio furto di dati. Se poi nella cartella avete anche le password in chiaro, allora siete rovinati ;-)
Per essere più espliciti: se riesco ad entrare in possesso di host_id/config.db, ho automaticamente tutti i dati della cartella di DropBox della vittima!
Presupposto per l'attacco è ovviamente l'accesso fisico al PC, Mac, o quello che sia. Però essendo il file in questione nella home dell'utente, basta poter leggere tale contenuto, e magari in una rete locale amministrata non è poi così difficile! Metti poi che il sysadmin sia un po' ficcanaso, il gioco è fatto.
Si potrebbe osservare che se qualcuno ha accesso al tuo sistema, sei nelle mani del nemico. Vero! Però c'è modo e modo di arrendersi. Un conto è consegnarsi con il petto scoperto pronti per la fucilazione, un conto è resistere fino alla fine e magari scamparla, no?
Le critiche che piovono su Dropbox sono molteplici, perché ha di fatto generato un token statico che non cambia mai: se cambiate le vostre credenziali di accesso non cambia, se cambiate macchina non cambia, etc. Un possibile worm potrebbe utilizzare questa vulnerabilità per rubare il file config.db e quindi tutti i vostri dati.
Di seguito elenco alcune contromisure che possono essere implementate da DropBox per mitigare il rischio (non si può ovviamente azzerare visto l'accesso fisico alla macchina):
- l'host_id deve essere legato alle credenziali utente: in questo modo quando si cambiano le credenziali il token viene rigenerato e gli attaccanti sono estromessi (ma i vecchi dati li hanno trafugati); dropbox deve rinegoziare necessariamente il nuovo token su tutte le macchine sincronizzate;
- l'host_id deve avere un expire-time: in questo modo l'utente è obbligato a reinserire le credenziali dopo un po' di tempo;
- l'host_id, ed in generale tutti i dati necessari per l'autenticazione, devono essere offuscati per evitare facili attacchi: ricordatevi che Skype è un esempio clamoroso di offuscamento, anzi potremmo dire che ha fatto scuola;
- rinegoziazione forzata degli host_id da parte di dropbox a tempi prestabiliti: certo l'utente dovrà rimettere la password ma che importa?
Per noi poveri utenti invece, visto che l'attacco è abbastanza semplice, vi consiglio di monitorare i computer sincronizzati (lo potete fare dall'interfaccia Web) e di fare attenzione a ciò che mettete nelle cartella DropBox. Magari potete mettere dei volumi Truecrypt (non troppo grandi perché ad ogni minima modifica risincronizza tutto) o comunque informazioni con un livello aggiuntivo di cifratura.
Buona fortuna!
Come (ex) ultilizzatore di Dropbox, vorrei raccomandare un servizio simile, che permette di fare backup e sincronizzazione online su PC, Mac, Android, iOS e Symbian. Si chiama Sugarsync e a me piace di più perchè permette di selezionare quali cartelle utilizzare in tutto il disco fisso, e non solo nella cartella creata dal programma. Inoltre l'account gratis è da 5GB.
RispondiEliminaSe qualcuno fosse intenzionato a provarlo, vi lascio il mio link di referral, che aggiunge (a voi ed a me) ulteriori 500MB bonus.
https://www.sugarsync.com/referral?rf=do5qm2rpjareh
Grazie!
grazie del consiglio. Lo proverò.
RispondiEliminaInteressante questo post che mette in luce un altro aspetto, non solo di DropBox, della "deduplication".
RispondiEliminahttp://paranoia.dubfire.net/2011/04/how-dropbox-sacrifices-user-privacy-for.html
Non è detto che le conclusioni dell'articolo siano tutte necessariamente corrette.
" If the company didn't have access to the encryption keys, it wouldn't be able to detect duplicate files."
Questo non è vero, perché basta che DropBox determini prima della cifratura l'hash del file ed invii al server il file cifrato insieme all'hash della versione non cifrata.
DropBox deve invece conoscere la chiave di cifratura per servire ad un altro utente lo stesso contenuto. Qui ha ragione l'autore del post!
Forse è il caso di scegliere un altro servizio che non fa deduplication, o al massimo che lo fa solo per i nostri contenuti ;-)
C'è una morale generale che viene confermata da questo episodio: quando si affidano i propri dati ad altri, la garanzia che questi dati rimangano riservati diminuisce sensibilmente. Si può contare sulla correttezza e competenza di un'azienda (ottimismo molto spesso fuori luogo), sull'uso di strumenti crittografici (ma dobbiamo essere sicuri della loro corretta implementazione, vedi disastro openssl debian, e farne un uso competente), ma per dati che davvero vogliamo rimangano personali evitare di farli andare in giro per la rete in qualsiasi forma rimane la strategia più sicura.
RispondiEliminaconcordo con Abell!
RispondiEliminaio ho creato un volume cifrato con truecrypt dentro la cartella dropbox. Non me ne frega un tubo se mi sniffano il token id.
RispondiEliminaGianluca però così togli tutta la magia :-)
RispondiElimina