Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Az on-line backupok biztonsága

2008.05.23. 16:10 | buherator | 8 komment

Mindenki szeretné fontos adatait biztonságban tudni, egy hirtelen érkező diszkhalál, de akár egy mostanában erre felé is egyre gyakrabban előforduló vihar, ne adj' Isten tornádó felbecsülhetetlen károkat okozhat az egyszeri ember digitálisan tárolt adataiban, és csak kevesek engedhetik meg maguknak, hogy a híres-neves Kürt Kft-vel támasztassák fel halodd adathordozóikat.
Logikusnak tűnik, hogy fontos munkáinkat, levelezésünket, pornógyűjteményünket rendszeresen elmentsük, lehetőleg egy távoli, jól védett helyre, bízva abban, hogy nem ugyanakkor éri atomtámadás a mentési pontot, mikor belecsap a gépünkbe a villám. Ezen igény kielégítésére több internetes szolgátlatás is indult, melyek legtöbbje hatalmas tárhelyet, alacsony árakat, és kivételes biztonságot ígér. Nos, a Heise-Online és a német c't magazin tesztje szerint ez utóbbi igéret legfeljebb akkor teljesül, ha a "kivételes" kategóriába a "kivételesen rossz" is beletartozik.
Az online lap munkatársai hat on-line backup szolgáltatást vizsgáltak meg, melyek közül négy, bár titkosított kommunikációs csatornát használt, védtelen volt az ún. közbeékelődéses (man-in-the-middle) támadásokkal szemben:
(A képzettebbek átugorhatják ezt a bekezdést...) Tegyük fel, hogy Alíz Bobbal szeretne kommunikálni egy nyilvános kulcsú titkosítási protokoll segítségével. Orália kicsit meg szeretné kavarni a kakit Alíz és Bob között, ráadásul lehetősége van elfogni mindkét fél üzeneteit sőt, új üzeneteket is beszúrhat a kommunikációba (ez a helyzet áll fennt pl. egy nyilvános vezetéknélküli hotspot esetén). Ahhoz hogy Alíz és Bob biztonságosan tudjanak eszmét cserélni,  Alíznak szüksége lesz Bob nyilvános kulcsára, ezért megkéri Bobot, hogy küldje el azt neki. Azonban a gonosz Orália a kérés lehallgatása után elküldi a saját nyilvános kulcsát Alíznak úgy, mintha az Bobtól érkezett volna. Alíz ezután titkosítja az üzenetét Orália nyilvános kulcsával, kiküldi a hálózatba, ahol orália azt elfogja, megfejti (hiszen az ő kulcsával van titkosítva), innentől pedig jórészt úgy téveszti meg a legitim feleket ahogy neki jól esik.
A MITM típusú támadások ellen többféle protokollt is kidolgoztak, sajnálatosan ezek azonban elkerülték több szolgáltató figyelmét is. A Steady-Backup protokolljában egy sikeres beékelődés után titkosítatlanul láthatjuk a felhasználó jelszavát, és mivel az átküldött adatok is ezzel a kulccsal vannak titkosítva, az összes átküldött adathoz is hozzáférhetünk. További hajtépésre adhat okot, hogy a szolgáltató a kínai (tudjátok, kis sárga emberek, nagy botnetekkel és rengeteg károkozóval) Ashay cég backup szoftverét használja több mint száz társával együtt, csak Európában! 
Valamivel jobb a helyzet az iDrive esetében, itt az átvitt adatokat megfejteni nem, de letörölni azért sikerült. A BullGuarddal történő játszadozás is hasonló eredményre vezetett, igaz, itt a jelszavak végig hashelve közlekedtek, így azokhoz közvetlenül nem lehetett hozzáférni.
A tesztet sikeresen teljesítő két szolgáltató közül is csak a Mozy hívta fel a figyelmet arra, hogy a felhasználó veszélyes helyzetbe került, a Carbonite egy egyszerű "szerver nem elérhető" hibaüzenettel rendezte le a kérdést. Persze ez még mindig jobb, mintha az összes adatomat odadobta volna az első Cainnel felszerelt szkriptkölyöknek.

Részletesebb elemzés jövő hétfőre várható (részemről inkább a hét második felében).

Címkék: backup kriptográfia man in the middle

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nézelődő ember 2008.05.24. 09:13:56

"A Steady-Backup protokolljában egy sikeres beékelődés után titkosítatlanul láthatjuk a felhasználó jelszavát, és mivel az átküldött adatok is ezzel a kulccsal vannak titkosítva, az összes átküldött adathoz is hozzáférhetünk."

Ez gyonyoru, de hova ekelodom be, oszinten? Max LANon ekelodok, de a dzsungelben hova?

Nézelődő ember 2008.05.24. 09:15:50

"Persze ez még mindig jobb, mintha az összes adatomat odadobta volna az első Cainnel felszerelt szkriptkölyöknek."

Ezt is imadom..

Jelzem: MINDENKI skiddie valamilyen szinten. Nem fogom ujra feltalalni a kereket, ha ott van a tool a szerszamosladamban...

buherator · http://buhera.blog.hu 2008.05.24. 12:52:35

@Nézelődő ember

Látom bal lábbal keltél...
1) Igen, ahogy leírtam, pl. LAN-on, lehet ilyet csinálni, és ugye nem mennek ritkaság számba a rosszul beállított SOHO wLAN routerek, de akkor már beszélhetünk a pharmingról is... A júzer azt látja, hogy 128-bites kulcs, meg "kormányzati szintű", "100%-os védelem", sztem nem árt, ha tisztázzuk a dolgokat...

2) Félreértesz, nem azt írtam, hogy mindenki aki Caint használ az kiddie, hanem azt, hogy egy ilyen támadást akár egy ilyen egyszerűen használható, klikk-klikk pogram segítségével meg lehet valósítani. A Caint egyébként az egyik legjobb Windowsra kitalált eszköznek tartom, én is szívesen használom ha úgy adódik.

úúúúúúúúúúúú 2008.05.24. 15:22:09

a chellonál pl. egész házak vannak egy lanon...

EQ · http://rycon.hu 2008.05.25. 00:31:33

csellónál az érdekes :D lehet megosztani a netet de az illegális és a chellohoz nincs köze, vagy pedig alhálóra gondolhatsz, ami nem egy wan, de nem is lan.

informatus · http://www.hohh.org/ 2008.05.25. 11:03:42

Én személy szerint nem tárolnám az adataimat egy backup szolgáltatónál. Farkasokra bízni a bárányokat? Egyrészt ki szavatolja, hogy nem történik semmi az akaratom ellenére az adataimmal. Legyenek azok képek vagy egyéb fájlok. Milyen cégek és milyen háttérrel üzemeltetik ezeket a szolgáltatásokat? Netalán állami fedőszervek, akiknek önként adjuk át az életünk kulcsát?

Amit én teszek, az ennél sokkal egyszerűbb. A lényeges adatokat egy PGP diszkben tárolom, amelynek méretét 4 giga környékén (kicsit kevesebb) határozom meg. A diszkek így mindig ráférnek egy DVD-re és a PGP sem küszködik. Bizonyos időszakonként a titkosított diszkekből kap egy-egy másolatot egy vagy két ismerős a publikus kulcs nélkül. Amikor valamilyen gond van, akkor elég, ha csak az ISO visszakerül hozzám és az adatokat könnyen visszanyerem. Mellesleg ezeket a lemezeket aztán nyugodt szívvel küldöm akár postán is (már megtettem párszor).

Persze most lehetne kompromittáló kulcsok gyártásáról beszélni, meg hasonlókról, de ez nem hordoz valós veszélyt.

A másik alternatíva, hogy nem érdekel minket az adataink elvesztése (erre is hajlok), mert minden adat pótolható. Ebben az esetben nem árt, ha rengeteg információt képesek vagyuk fejben tárolni.

Aki pedig továbbra is bizonyos szolgáltatókra bízza az "életét", az készüljön fel a bejegyzésben is említett kísérletekre. Amit ember megalkotott, azt ember el is pusztíthatja. Legyen szó adatokról, védelmi rendszerekről vagy a biztonságba vetett hitünkről.

Insane 2008.05.25. 13:16:30

Alíz Bob és Trudy :) ha jol emléxem...
Akár hogy is nézzük, egyenlöre még az öskorban élünk, és hogyan is lehetne valami biztonságos a végletekig ameddig az egyik felhasználó az ember és a tuloldalon embere irják a programokat, ami még ha jol is van megirva... hehe... más emberek configurálják álltalában a kényelmet elötérbe helyezve a biztonságnál. Minden rendszer védelme a végletekig fokozható a teljes használhatatlanságig...