interviews Michael P. Kassner un médecin légiste numérique qui utilise Dropbox pour compromettre des réseaux ciblés - quelque chose que les méchants sans doute compris ainsi.
J'utilise Dropbox, et ainsi de faire quelque 50 millions d'autres personnes. C'est remarquable, compte Dropbox souffert par quelques
ralentisseurs embarrassantes liées à la sécurité des fichiers de l'utilisateur. Il semble que ça va prendre plus que ce genre de oops pour nous d'envisager d'abandonner la commodité offerte par Dropbox.
Une dépendance numérique comme ça soulève la question: quel genre de «problème» faudrait-il pour convaincre quelqu'un (moi par exemple) de cesser d'utiliser Dropbox?
Lorsque j'ai posé cette question à un séminaire sur la sécurité, Je ne savais pas un enquêteur slash stylo testeur numérique offrirait le parfait ralentisseur qui aura tout 50 millions d'entre nous se demandant: «Est utilisant Dropbox vaut le risque?"
Quelle est la question?
Je parcourais le site d'information du séminaire de cette année
Black Hat de l'UE , la pêche des sujets article potentiels, quand je suis tombé sur
une note d'information intitulée «DropSmack:. Comment les services de synchronisation cloud rendent votre pare-feu sans valeur» Sentant un quartet, j'ai lu le briefing . Tout de suite, j'ai su que j'ai accroché un gardien:
"Les contributions de cette présentation sont de trois ordres. Tout d'abord, nous montrons comment le nuage des solutions de synchronisation en général, et Dropbox en particulier, peut être utilisé comme un vecteur pour la livraison de logiciels malveillants auprès d'un réseau interne ".
Les deux autres contributions étaient aussi révélatrice:
- Montrer comment le service de synchronisation Dropbox peut être utilisé comme un canal de commande et de contrôle (C2).
- Démontrer comment fonctionnent les logiciels malveillants est capable d'utiliser Dropbox pour faire passer des données à partir d'ordinateurs distants exploitées.
Je voudrais vous présenter
M. Jacob Williams (@ MalwareJake). Jake est un testeur de stylo hautement qualifié et expert en criminalistique numérique employée par
RSE du Groupe . Il est le gars qui a fait la présentation de Black Hat, et c'est lui qui va provoquer l'angoisse importante chez les utilisateurs Dropbox ainsi que les types de la sécurité commerciale.
Les événements qui se sont déroulés
Comme le raconte, Jake a été recruté pour effectuer un "sans tabou" test de pénétration sur un réseau d'entreprise. Rien Jake essayé travaillé, même ingénierie sociale des salariés. Puis Jake trouvé une fissure - la société CIO. Il a obtenu une adresse email personnelle et un moyen de lance-Phish le CIO.
Il a juste eu à attendre jusqu'à ce que le CIO a utilisé son ordinateur de travail loin de réseau hautement sécurisé de la société. En moins de temps que l'on pourrait attendre (effrayant en fait), Jake propriétaire du portable.
Alors fouiner sur l'ordinateur de l'DPI, Jake ne pouvait pas croire à sa chance, il a trouvé des documents d'entreprise assis tranquillement dans un dossier de synchronisation Dropbox. Jake m'a dit: «Je savais que je pouvais utiliser Dropbox comme un conduit dans le sanctuaire d'entreprise interne. Ce que je ne savais pas comment. "
C'est parce que les bases de données Dropbox sont chiffrés et l'ingénierie inverse du logiciel Dropbox afin de lire les bases de données pourraient prendre plus longtemps que Jake avait. Ne pas être privé, Jake et ses acolytes ont fini par découvrir un chemin po Il semble d'énormes quantités de bière joué un rôle essentiel (à partir de
la présentation de Black Hat de Jake ).
L'épiphanie
De par sa conception, Dropbox permettrait Jake pour envoyer des fichiers à tous les périphériques associés au compte Dropbox du CIO, mais ce n'est pas suffisant. Jake avait besoin d'un moyen de s'infiltrer davantage dans le réseau de l'entreprise, installer des logiciels malveillants, et de trouver des documents spécifiques dans le cadre des exigences stylo-test.
Comprendre comment accomplir tout ce qui était l'épiphanie de Jake, et comme tout bon testeur de stylo vouloir se décoller, Jake créé un outil appelé DropSmack pour effectuer les étapes ci-dessus.
L'étape suivante a été l'obtenir chargé. Jake a réalisé tout ce qu'il avait à faire était de tirer le CIO pour ouvrir un fichier infecté par DropSmack dans son dossier Dropbox, et il serait installer. Voici les étapes:
- Intégrer DropSmack dans un fichier déjà synchronisé par Dropbox.
- Ajoutez un peu de bonté macro.
- Charger le fichier de retour sur l'ordinateur compromis.
- Fichier synchronise automatiquement.
- Attendez la victime à ouvrir le fichier sur le réseau interne.
Je pensais que j'avais une chasse aux sorcières, j'ai demandé Jake, «Qu'est-ce à propos de Windows 7 et qui ont besoin des droits d'administrateur pour obtenir de l'UAC" Jake m'a dit quelque chose que j'aurais connu, mais il n'a pas, «Dropbox n'a pas besoin de droits d'administrateur pour charger , parce qu'il installe dans le répertoire du profil de l'utilisateur. Donc nous avons fait la même chose avec DropSmack - nice and simple "Quelque chose d'autre que je ne comprenais pas:".? Maintenant que DropSmack est installé, comment pouvez-vous dire ce qu'il doit faire "Jake a expliqué:
DropSmack est conçu pour surveiller le dossier de synchronisation Dropbox. Nous créons un fichier avec une extension doc., Mettre un en-tête de fichier légitime sur la première ligne, et ajouter les commandes souhaitées. Nos fichiers ne seront pas ouvrir dans Word (ils disent que le fichier est corrompu), mais c'est une bonne chose, il rend le fichier moins sujette à enquête par un utilisateur snoopy.
Nous plaçons ensuite le fichier trafiqué dans le dossier Dropbox de la propriété ordinateur.Dropbox t-il magique synchroniser tous les dossiers Dropbox associés. DropSmack détecte le fichier destiné pour cela, et exécute la commande.
J'ai alors demandé à Jake pour quelques exemples de ce qui était DropSmack capable de faire:
Une fois que vous infecter une machine distante avec DropSmack, il peut être utilisé pour effectuer des actions arbitraires sur la machine. Ceci inclut pivotement à d'autres machines sur le réseau à distance (par exemple un serveur de fichiers). Utilisation de la commande PUT, vous pouvez poster de nouveaux outils dont vous aurez besoin à la machine distante. La commande exec vous permet d'exécuter ces outils. La commande GET vous permet de récupérer la sortie de toutes les commandes qui ont été écrites dans un fichier de sortie.
Pour obtenir des partages distants montés sur une machine, vous souhaitez simplement télécharger un script batch contenant la commande "net use" qui génère un fichier de sortie, EXEC le script, et de récupérer le fichier de sortie. Je l'ai démontré en direct à la conférence Black Hat de l'UE, la capture d'une liste de répertoire de l'utilisateur à la maison, les configurations IP et le répertoire Program Files (pour voir ce logiciel a été installé sur la machine).
Jake m'a frappé au poinçon sur ma prochaine question. Je me demandais si les notifications Dropbox créé semblerait étrange à l'utilisateur.
Donc, pour l'instant, Jake fait que le nom du fichier de commandes concerne les fichiers déjà présents dans Dropbox.
Contre-mesures
Ensuite, Jake et moi avons discuté de la façon de déjouer DropSmack. Jake n'a pas eu beaucoup de respect pour les méthodes de antimalware normales: comme IDS, pare-feu, les applications antivirus ou les logiciels DLP. Il se sentait un logiciel de liste blanche était la seule à coup sûrmoyen de prévenir DropSmack de chargement.
Plus important encore, Jake a suggéré que les responsables de sécurité réfléchir longuement et sérieusement avant de permettre Dropbox ou toute autre application de synchronisation de fichiers, peu importe comment ils sont pratique. Outre les raisons les plus évidentes pour interdisant applications de synchronisation de fichiers, Jake a fait allusion à la "boîte de Pandore" Les entreprises peuvent se trouver en ce qui concerne les lois sur la vie privée. Il a expliqué:
Plusieurs conseillers généraux sont plus que un peu inquiet au sujet de l'apparition de nous autoriser à un essai de plume ce qui pourrait finir par être comme des machines à la maison.Cela devient une question épineuse avec un stylo-testeurs de nos jours que les gens ouverts emails de phishing de lance livrés à l'adresse de messagerie d'entreprise sur des machines qui peuvent être propriété privée.
Jake a également souligné:
La Loi sur la fraude informatique et ne permettent pas la société d'autoriser l'essai de biens personnels d'un employé. Habituellement testeurs de pénétration résoudre ce problème (et éviter d'enfreindre la loi) en agissant uniquement sur les logiciels malveillants de machines dans la gamme IP publique de la société.
La question de la responsabilité découlant des lois sur la confidentialité affecte plus que les testeurs de stylo, les entreprises permettant aux applications de synchronisation de fichiers sont susceptibles de se laisser entraîner dans des problèmes similaires aux
implications juridiques de BYOD .
Réflexions finales
Jake et j'ai estimé qu'il était important de mentionner que Dropbox est de loin la plus sûre de toutes les applications de synchronisation de fichiers que Jake regarda. En fait, il utilise Dropbox personnellement (au moins il l'a fait avant de trouver le problème). Jake voulait aussi que je m'assure et mentionne que Dropbox n'a pas été compromise afin de réaliser son objectif pen-tests. C'était juste un conduit.
Quelques bouchées plus intéressants de Jake:
- Plus souvent qu'autrement, Dropbox est chargé sur des réseaux d'entreprise si elle est approuvée ou non - la plupart du temps il n'est pas.
- Il ya fort à parier les méchants connaissent cette technique, et l'utilisent déjà.
L'article peut donner l'impression que DropSmack s'agit plus d'un problème d'entreprise, mais ce n'est pas nécessairement le cas. Une fois les logiciels malveillants DropSmack ou similaire devient mainstream dans les milieux bad-guy, c'est l'affaire de tous.
Les Organisations de la presse et les journalistes de presse sont l'objet d'attaques , selon deux chercheurs de Google.
