Így (is) ellophatják az adatainkat a felhőkből

Egy újfajta támadási módszer a felhőalapú szolgáltatások felhasználóinak adatait veszélyezteti. A OneDrive, a Dropbox, a Drive és a Box esetében is kockázatot jelent ez a fajta fenyegetettség.
 

Az úgynevezett közbeékelődéses (MitM - man-in-the-middle) támadások már régóta ismertek, és meglehetősen sok problémához járulnak hozzá. Az ilyen típusú akciók során az elkövetők célja, hogy beékelődjenek a felhasználó számítógépe vagy mobil készüléke, valamint egy kiszolgáló közé, és az adatforgalmat lehallgassák vagy manipulálják. A MitM támadási módszerek során alkalmazható technikák tárháza meglehetősen széles, de a csalók sok esetben a titkosítatlanul közlekedő adatokban rejlő lehetőségeket használják ki, vagy különféle sérülékenységekkel élnek vissza. A legújabb változatuk pedig kifejezetten egyes felhős rendszerek sajátosságait aknázza ki. 

Az Imperva biztonsági kutatói egy érdekes tanulmányt tettek közzé, amelyben a MITC (Man-in-the-Cloud) névre keresztelt támadások veszélyeire világítottak rá. Ez esetben is arról van szó, hogy az elkövetők megpróbálnak beférkőzni a számítógépek és a felhős rendszerek közé, majd ilyen módon igyekeznek fájlokhoz, adatokhoz hozzájutni. Az Imperva ezúttal a legnépszerűbb felhős tárhelyeket vette alaposabban is szemügyre, és azt vizsgálta, hogy miként lehet az ezek által kezelt, szinkronizált állományokhoz jogosulatlanul hozzáférni. A kutatás során kiderült, hogy mindez korántsem nehéz feladat.

Így működik MITC 

A biztonsági kutatók által vizsgált módszerek elsősorban a felhős szolgáltatások kényelmi lehetőségeit használják ki. Jelesül azt, hogy e tárhelyek eléréséhez és használatához a legtöbb esetben nincs arra szükség, hogy a felhasználó minden egyes alkalommal megadja a felhasználónevét és a jelszavát. Ehelyett a számítógépeken, eszközökön egy biztonsági token tárolódik, amelyre jelentős mértékben építkezik az azonosítási folyamat. A problémát az jelenti, hogy ezek a biztonsági tokenek viszonylag könnyen megszerezhetők, és egy másik számítógépre felmásolva lehetőséget adhatnak a felhasználói profilok hitelesítés nélküli elérésére. 

Az egyes szolgáltatások esetében más-más módszereket alkalmaznak a fejlesztőcégek, szolgáltatók. Van, amely a regisztrációs adatbázisban tárolja a tokent, de akad olyan is, ami SQLite adatbázisban vagy konfigurációs fájlban. A tokenek általában titkosítottak, de a dekódolásuk sokszor nem okoz különösebb bonyodalmat. Ha pedig a támadó hozzájut egy ilyen tokenhez, és azt a saját számítógépén a megfelelő helyre bemásolja, akkor azonnal hozzáférést szerezhet a felhasználó fiókjához, fájljaihoz és a szinkronizált mappák tartalmához. A felhős tárhelyről letölthet fájlokat, illetve manipulálhatja vagy éppen megfertőzheti azokat. Az Imperva szerint a módszer a OneDrive, a Dropbox, a Drive és a Box esetében is működik. 
Felmerülhet a kérdés, hogy a támadó miként tud hozzájutni a tokenhez. Erre is számos technika kínálkozik, beleértve az adathalászatot, a kémprogramokat és a felhasználók megtévesztésére apelláló támadási eljárásokat is. 

További problémát jelent, hogy egyes esetekben a támadó akkor is fenntarthatja a jelenlétét, ha a felhasználó megváltoztatja a jelszavát. Így például a Dropbox nem érvényteleníti a tokeneket egy jelszóváltoztatást követően. A Google Drive ugyanakkor ebből a szempontból kifinomultabban viselkedik, ugyanis a jelszó módosítása után minden eszközön újra be kell jelentkezni.

A fenti MITC módszerre épülő támadásokhoz az Imperva kifejlesztett egy kis eszközt, amelynek segítségével bemutathatók a kockázatok. Ugyanakkor a veszélyt igazán az jelenti, hogy a biztonsági szakértők szerint a MITC már a kiberbűnözők körében is alkalmazott technikának számít, így valós veszélyt hordoz. Védekezni leginkább biztonságtudatos internethasználattal lehet, de vállalati környezetekben a fájl- és adatbázis elérések szigorú monitorozása is segíthet a nemkívánatos tevékenységek kiszűrésében.