Onedlho to bude už rok od kedy som navštívil oficiálne stránky online úložiska súborov DropBox. V tomto čase som napísal článok [Dropbox - pohodlné online úložisko verzus bezpečnosť], v ktorom som sa snažil poukázať na nie moc dobre zvládnutú bezpečnosť.

Vtedy som pomohol tvorcom projektu navrhnúť niekoľko bezpečnostných opatrení, ktoré, ako som dúfal, aplikujú. Ako teda je na tom projekt takmer po roku?

Od napísania prvého článku sa služba pochopiteľne rozvinula, zmenila design a bolo do nej pridaných niekoľko vylepšení. Keďže niekoľko priateľov túto službu aktívne používa, zaujímalo ma, ako je na tom s bezpečnosťou a ako moc si vzali tvorcovia moje rady k srdcu. A tak som začal pátrať. Prejsť celý web mi trvalo iba hodinu (nie je moc rozsiahly), pričom som spozoroval niekoľko príjemných vylepšení.

Tvorcovia sa snažili použiť všetky dostupné metódy pre ochranu koláčikov, aby si s nimi mohol útočník akurát tak … . Tie najchrumkavejšie koláčiky nesú vlajočky “secure” a “httpOnly“. To je skutočne skvelá správa. Taktiež pridali ochranu proti CSRF vo forme tokenov, ktoré síce nie sú bezchybné, ale aspoň tam nie sú len pre okrasu a dokážu zlámať paprčky pokušiteľom.

Nasleduje však bohužiaľ. Tvorcovia urobili niekoľko zásadných chýb, na ktoré som ich upozorňoval už vtedy a dodnes ich v podstate úplne ignorovali. Jednou z nich bola perzistentná XSS, ktorú som dokonca vtedy demonštroval v prvom videu. Táto XSS sa nachádzala v názve počítača, ktorý sa dal zmeniť priamo na webe. Tvorcovia sa uchýlili k tzv. “security through obscurity” (aj keď to nie je zrovna vzorový príklad) a zraniteľnosť považovali za zabezpečenú vďaka anti-CSRF tokenu. Ako iste viete, bez znalosti daného tokenu nemôže útočník vložiť bez vedomosti obete svoje dáta (často obsahujúce kus JavaScriptu). Teda primárnym cieľom útočníka je nájsť miesto, ako získať daný token. Ja som ho našiel behom chvíľky. Napísať jednoduchý kód, ktorý za pomoci XMLHttpRequest a Xpath získa daný token, ktorý následne použije na odoslanie týchto dát bola už maličkosť. Pridaním JavaScriptu do mena počítača, ktorý vyzerá nezmenene, pretože JavaScriptový kód nevidno, zaručí, že pri každej návšteve stránky sa skript inicializuje a znovu vykoná naprogramovanú úlohu.

Ja som si však všimol ešte jednu veľmi zaujímavú vec. DropBox umožňuje veľmi jednoducho zmeniť emailovú adresu majiteľa a to jednoduchým zadaním nového emailu. I keď služba vyžaduje pri zmene hesla zadať aj pôvodné heslo, pri emaile nevyžaduje nič. A tak bola na svete nová idea, ako získať užívateľské konto, nielen jeho dáta (i keď toto by dobrý útočník nikdy neurobil, pripraviť sa o stály prístup do konta, ktorého majiteľ o tom vôbec netuší a tak pridáva stále nové dáta). Napriek tomu sa jedna o veľmi zaujímavú a lákavú možnosť.

Celý počin si môžete pozrieť na videu nižšie. Chcel by som upozorniť, že som kontaktoval tvorcov služby a akútne chyby okamžite odstránili a podľa ich slov nasadili nejakú formu WAF (Web Application Firewall), ktorá by mala pomôcť v budúcnosti včas odhaliť akúkoľvek formu útoku.

Na záver by som chcel upozorniť, že služby ako DropBox, SugarSync, Box.net môžu byť skvelí pomocníci pri práci, hlavne ak presúvate neustále súbory medzi niekoľkými počítačmi, no je potrebné mať na pamäti aj riziko straty údajov, ako aj ich odcudzenia. Ak teda chcete na tieto úložiská vkladať citlivé súbory, vždy ich zašifrujte silnou šifrou, čim by ste mohli zaručiť ich bezpečnosť (aspoň nateraz).