Dropbox y servicios similares pueden sincronizar software malicioso

Dropbox y servicios similares se han disparado en popularidad en los últimos años porque a los usuarios les resulta muy conveniente simplemente arrastrar archivos a un ícono que coloca esos datos en la nube, los comparte con otros y sincroniza automáticamente nuevas versiones en múltiples dispositivos.





Pero la facilidad de uso y la inseguridad a menudo van de la mano, y ahora los investigadores están revelando una verdad incómoda: si una computadora con funcionalidad de Dropbox se ve comprometida, la función de sincronización permite que cualquier malware instalado por el atacante llegue a otras máquinas y redes que usan el servicio. La gente no considera que una vez que hayas configurado Dropbox, cualquier cosa que pongas en la carpeta de sincronización pase gratis a través del firewall, dice Jacob Williams, científico forense digital de CSR Group. Lo probamos en varios servicios y obtiene los datos directamente a través del firewall.

Williams dice que en las últimas semanas, ha podido hacer esto no solo con Dropbox, sino también con servicios de la competencia: SkyDrive, Google Drive, SugarSync y Amazon Cloud Drive. Esto es como el correo electrónico en los años 90, dice. Lo queríamos, pero con él vino el spam, el comando y control de malware y la distribución de malware. Simplemente, todavía no tenemos herramientas de detección y seguridad para cubrir Dropbox y servicios similares.

Nadie en Dropbox, que fue fundado en 2007 por Drew Houston y Arash Ferdowsi (ver Ocultar todas las complejidades del almacenamiento remoto de archivos detrás de una pequeña caja azul), comentaría sobre el asunto. El servicio tiene más de 175 millones de usuarios.



La investigación sobre Dropbox y servicios similares se suma a una letanía de preocupaciones de seguridad recientes sobre el almacenamiento de datos y la realización de cálculos en servidores remotos o en la nube. Si bien estos servicios pueden ser mejores que ejecutar todo usted mismo (consulte Ser inteligente sobre la seguridad en la nube), los investigadores de seguridad siguen encontrando nuevas formas de atacarlos (consulte La lluvia de investigadores de seguridad en la nube de Amazon). Con el uso creciente de servicios basados ​​en la nube, este tipo de ataques reaparecerán hasta que las plataformas maduren, dice Radu Sion, científico informático e investigador de seguridad en la Universidad de Stony Brook. El ataque aquí no está de hecho en Dropbox, sino en el uso de Dropbox por parte de las personas. Dropbox acaba de facilitar un canal para documentos [infectados] a través del firewall corporativo. Lo llamó una combinación bien combinada de exploits existentes.

Williams se topó con la explotación de Dropbox como vector de ataque cuando un cliente le pidió que probara la seguridad de una red corporativa. Como primer paso, sin relación con Dropbox, Williams obtuvo una dirección de correo electrónico personal para el CIO y llevó a cabo con éxito un ataque de spear-phishing cuando el CIO hizo clic en un archivo adjunto que contenía malware. Cuando el CIO estaba fuera de la oficina con su computadora portátil, Williams pudo acceder a la computadora y encontró documentos corporativos en una carpeta de sincronización de Dropbox.

Esto por sí solo no fue culpa de Dropbox; todo en la máquina (contraseñas, fotos familiares) quedó expuesto. Pero el siguiente paso crucial consistió en usar Dropbox y sus poderes de sincronización para cargar un archivo de malware que luego aparecería en carpetas dentro de la red corporativa.



Escribió un archivo malicioso llamado DropSmack y lo usó para infectar un archivo que ya estaba en la carpeta de Dropbox del CIO. La próxima vez que el CIO abrió ese archivo, la herramienta DropSmack permitió que se enviaran comandos maliciosos dentro de la red corporativa a través de archivos sincronizados por Dropbox, incluidos los comandos que permitían el robo de archivos. Más tarde, Williams replicó el ataque con varios otros servicios populares de sincronización de almacenamiento en la nube.

Si bien no se sabe que se hayan producido ataques de esta manera, no puedo imaginar que alguien en algún lugar no lo haya estado usando para ataques reales, dice Williams. Es casi imposible de detectar con las herramientas actuales, así que no lo sabemos. Las herramientas de prevención de pérdida de datos tienen muchas dificultades con Dropbox y similares. Realmente fallan en la protección de estos servicios. Habló de sus ataques a los servicios de almacenamiento en la nube en un hablar en Black Hat a principios de este mes.

En un hallazgo adicional la semana pasada, otros investigadores pudieron descifrar el código utilizado por el cliente de Dropbox, el precursor de un ataque contra el propio Dropbox. Yo diría que fue una tarea fácil: el código estaba protegido de una manera bastante simple, dijo Przemysław Węgrzyn, un ingeniero de software en Codepainters, una empresa de seguridad en Wroclaw, Polonia, quien coescribió un papel entregado en la conferencia de seguridad de Usenix en Washington, D.C. Básicamente, si puede realizar ingeniería inversa, puede ver cómo se comunica, ver todo sobre la comunicación, sobre qué tipo de seguridad es y qué nivel de ataque.



El mismo Węgrzyn restó importancia a la importancia de esto, sin embargo, ya que no fue un ataque exitoso real en Dropbox y no resultó en pérdida de datos.

esconder