News Black Hat 2015: Angriff auf Google Drive, Dropbox, Box und OneDrive

[fethomm]

Eine „Man in the Cloud“-Attacke (MITC) machts möglich: Angreifer können auf Daten bei Filehosting-Diensten zugreifen, ohne das Passwort des Anwenders zu kennen. Das berichten Forscher der Firma Imperva auf der derzeit in Las Vegas stattfindenden Sicherheitskonferenz Black Hat 2015.

Zur News: Black Hat 2015: Angriff auf Google Drive, Dropbox, Box und OneDrive

 

[H1deAndSeek]

Ich kenn mich da nicht wirklich gut aus.
Aber wenn die Basis dieser Attacke Phishing oder Drive-By ist, dann ist es doch theoretisch eh egal, welche Sicherheitsmaßnahmen ergriffen werden?
Oder geht es hier darum, dass ein Passwortwechsle nicht hilft?

 

[Axxid]

Bleibt eigentlich nur zu hoffen, dass die Cloud-Anbieter einen solchen GAU dermaßen fürchten, dass sie einen Weg finden ihr System abzusichern.

 

[Pr0gramm]

meine verschlüsselten Container kann jeder haben

 

[Der Puritaner]

wie besch** muss man sein um cloud dienste zu nutzen? =P

Wie unglaublich dumm muss jemand sein um so einen Beitrag zu verfassen.

Man nutzt diese Dienste um Daten jemanden anderen zukommen zu lassen die Größer sind als jene die man per Email versenden kann, ich zippe und setze ein pw drauf und das zeugs was auf meiner droppbox liegt liegt dort meist auch nicht länger als 24stunden.

 

[Seiyaru2208]

wie besch** muss man sein um cloud dienste zu nutzen? =P

So beschissen wie ich Schick das man erstmal beleidigen muss ^^

Ich nutze es Produktiv da ich Standort unabhängig arbeiten kann, ob nun mit MacBook beim Kunden oder am stationären Rechner auf Arbeit, wenn man mehr als 5 Dokumente hat die man täglich braucht ist so etwas sehr angenehm

Aber will dich nicht weiter beim rum trollen stören

 

[Jesterfox]

Oder geht es hier darum, dass ein Passwortwechsle nicht hilft?

Genau darum geht es. Im Prinzip ist das wie hier bei CB die Funktion "eingeloggt bleiben" die als Cookie im Browser vermerkt wird. Wenn jemand anders an dieses Cookie kommt kann er hier in CB unter deinem Namen sich rumtreiben und z.B. deine PNs lesen. Ein Passwortwechsel hilft da auch nicht (oder doch? @CB), das Cookie umgeht ja das Login per Passwort.

Die erste Designschwäche ist da schon dass diese Tokens über einen Passwortwechsel hinaus gültig bleiben.

 

[naiv]

meine verschlüsselten Container kann jeder haben

Ja, zwar sind die rechnerisch für Jahre oder Jahrzehnte nicht knackbar - aber es kommt immer anders als man denkt.

Wie unglaublich dumm muss jemand sein um so einen Beitrag zu verfassen.

Man nutzt diese Dienste um Daten jemanden anderen zukommen zu lassen die Größer sind als jene die man per Email versenden kann, ich zippe und setze ein pw drauf und das zeugs was auf meiner droppbox liegt liegt dort meist auch nicht länger als 24stunden.

Die Dateien liegen da vermutlich weit über 24 Stunden. Wenn du sie löschst werden sie halt nicht mehr angezeigt. Allein der Sync auf allen Servern dauert da eine Weile...
Bei tumblr liegen meine Bilder noch alle auf dem Server obwohl ich vor einem Jahr den Account gelöscht habe. Bei anderen Diensten kann man gelöschte Dateien ewig wieder herstellen lassen. Metadaten werden ewig gespeichert, da ist der konkrete Inhalt gar nicht mehr so wichtig.

 

[Faust2011]

"Private Anwender sollten auf die Authentifikations-Token verzichten, um dieser Art von Angriffen vorzubeugen."

Und wie kann man bei den genannten Diensten die Erstellung des Tokens deaktivieren und/oder das Token löschen? Muss ich das jetzt ergoogeln oder weiß das jemand?

 

[Seiyaru2208]

meine verschlüsselten Container kann jeder haben

Es gab mal vor Jahren ein ganz spannenden Bericht das die NSA an einen Quantencomputer arbeitet, jede Verschlüsselung die derzeit existiert kann dadurch innerhalb von Minuten geknackt werden. Und das war vor paar Jahren

 

[Krautmaster]

Ich kenn mich da nicht wirklich gut aus.
Aber wenn die Basis dieser Attacke Phishing oder Drive-By ist, dann ist es doch theoretisch eh egal, welche Sicherheitsmaßnahmen ergriffen werden?
Oder geht es hier darum, dass ein Passwortwechsle nicht hilft?

hab ich mich auch gefragt ^^

Die News spricht schon eher für die Dienste wenn das die einzigen Schwachstellen sind die sie ausfindig machen konnten. Zu Hause durch Hardware oder Anwender Fehler Daten zu verlieren ist sicher wahrscheinlicher als in der Cloud beraubt zu werden.Manchmal frag ich mich auch was man als Privatperson für hochsensible Daten auf dem Rechner hat?

Bei Unternehmen versteh ich das Manko schon eher, die haben meist auch die Mittel um sich die Sicherheit über Redundanzen, Backup und Verschlüsselung in den Server Raum zu stellen. Zudem sind die Daten weit kritischer.

 

[tek9]

Es wird seid Jahren empfohlen nur verschlüsselte Dateien in der Wolke abzulegen. Aber kaum einer macht das.

Daher gehe ich davon aus das es wie bei Email laufen wird; jeder nutzt es, viele wissen das jeder mitlesen kann, aber kaum einer kümmert sich darum das die Mails verschlüsselt werden. Und das obwohl es wesentlich leichter ist, seine Files in der Wolke zu verschlüsseln als jedem Empfänger von Emails den öffentlichen PGP Key mitzuteilen.

 

[Seiyaru2208]

Es wird seid Jahren empfohlen nur verschlüsselte Dateien in der Wolke abzulegen. Aber kaum einer macht das.

Daher gehe ich davon aus das es wie bei Email laufen wird; jeder nutzt es, viele wissen das jeder mitlesen kann, aber kaum einer kümmert sich darum das die Mails verschlüsselt werden. Und das obwohl es wesentlich leichter ist, seine Files in der Wolke zu verschlüsseln als jedem Empfänger von Emails den öffentlichen PGP Key mitzuteilen.

Naja dann würde Microsoft derzeit in eine ziemliche Sackgasse laufen, seit 2013 kannst du ja in Word oder excel direkt auf deine Dokuemente in der Cloud zugreifen, wären diese verschlüsselt macht der ganze käse kein wirklichen sinn mehr.

 

[Krautmaster]

eben zumal es bei vermutlich 95% der Daten auch wenig Sinn macht diese explizit zu verschlüsseln. Gegen geschütze Bereiche ist nichts einzuwenden, aber ob meine Mucke oder auch meine Pics da nun encrypted drin liegen is mir eig Wurst, ich will die ja Online und von Onedrive Apps anschauen + teilen können.

 

[Pr0gramm]

Es gab mal vor Jahren ein ganz spannenden Bericht das die NSA an einen Quantencomputer arbeitet, jede Verschlüsselung die derzeit existiert kann dadurch innerhalb von Minuten geknackt werden. Und das war vor paar Jahren

Das will ich sehen. Die Entwicklung im privaten Sektor bleibt ja auch nicht stehen. Außerdem muss man die Kirche im Dorf lassen. Mir kommt es so vor, als ob die Leute (auch hier) ihr Hirn nicht nutzen. Selbst wenn die NSA das könnte, warum sollen sie meine Dokumente sehen wollen? Wenn sie viel Geld ausgeben und ihre Supercompter wegen mir füttern, von mir aus. Aber so dumme Argumente kann man sich sparen, vorher bläst ein Meteroit mir das Licht aus. Man liest immer wieder von Menschen, die in Beugehaft sitzen weil sie eben nicht das Passwort rausrücken und die Behöreden keine Chance haben. Also wer die Cloud nutzt, sollte seine Daten verschlüsseln. Ist so einfach wie sich nen Porno zu laden.

 

[Seiyaru2208]

Das will ich sehen. Die Entwicklung im privaten Sektor bleibt ja auch nicht stehen. Außerdem muss man die Kirche im Dorf lassen. Mir kommt es so vor, als ob die Leute (auch hier) ihr Hirn nicht nutzen. Selbst wenn die NSA das könnte, warum sollen sie meine Dokumente sehen wollen? Wenn sie viel Geld ausgeben und ihre Supercompter wegen mir füttern, von mir aus. Aber so dumme Argumente kann man sich sparen, vorher bläst ein Meteroit mir das Licht aus. Man liest immer wieder von Menschen, die in Beugehaft sitzen weil sie eben nicht das Passwort rausrücken und die Behöreden keine Chance haben. Also wer die Cloud nutzt, sollte seine Daten verschlüsseln. Ist so einfach wie sich nen Porno zu laden.

Bist heute etwas unenspannt oder? ^^ Und genau habe ich das ja gesagt weil jeder denkt er wird jetzt überwacht

Aber im Grunde kann der private Sektor da entwickeln wie es will da die Architektur einen Quantencomputer völlig anders ist wie die x86 Architektur. Wie war das.... Die Bunker und wichtige Gebäude der USA hatten schon DSL Verbindungen als wir in der Privatwirtschaft noch nicht mal ein Modem hatten... na Prost Mahlzeit was da von Privat kommen soll

 

[yurij]

meine verschlüsselten Container kann jeder haben

Gut, gib bitte kurz dein cloud token, ich zeig dir wie ich deine verschlüsselten container aus der cloud lösche ☺

 

[Autokiller677]

Es gab mal vor Jahren ein ganz spannenden Bericht das die NSA an einen Quantencomputer arbeitet, jede Verschlüsselung die derzeit existiert kann dadurch innerhalb von Minuten geknackt werden. Und das war vor paar Jahren

Von der Anwendung ist man aber auch heute noch im Meilenweit entfernt. QPC's sind ein extrem spannendes Thema, stecken aber noch sehr stark in den Kinderschuhen.

 

[Seiyaru2208]

Von der Anwendung ist man aber auch heute noch im Meilenweit entfernt. QPC's sind ein extrem spannendes Thema, stecken aber noch sehr stark in den Kinderschuhen.

Wie erwähnt in den 70igern verfügte das US-Militär schon über DSL wann war dies Flächendeckend für uns verfügbar? Wenn du das hoch rechnest würde ich da nicht so 100% sicher sein wie weit sie davon weg sind.

Ich denke gerade das Militär und Nachrichten Dienste haben Technologien in der Hinterhand wo wir denken das kommt erst in Jahrzehnten, nicht ohne Grund haben führende Wissenschaftler einen offenen Brief gegen den Einsatz von selbstdenkenden Robtern für militärische Zwecke verfasst.

Und nein ich trage daheim keine ALU-Mütze

 

[Pr0gramm]

@yurij

bekommst sogar meine IP, schaust mal nach meiner Cloud, aber ich glaube selbst mit IP bekommst das nicht hin.

109.192.49.139