Esteu aquí

Un petit oblit

Això de treballar en seguretat és complicat. Estava jo dinant, quan em trobo un company i per afegit cap, que em diu:
- Ja saps el que els hi ha passat als de Dropbox ??
- No, que ha estat ??
- Doncs, sembla que s'han oblidat de validar les contrasenyes i qualsevol podia entrar sense saber-la. Perquè no fas una entrada al blog ??

I és clar, com que soc de seguretat després de reconèixer la meva ignorància no em queda més que fer l'article.

Del blog de Dropbox

Hi Dropboxers,

esterday we made a code update at 1:54pm Pacific time that introduced a bug affecting our authentication mechanism. We discovered this at 5:41pm and a fix was live at 5:46pm. A very small number of users (much less than 1 percent) logged in during that period, some of whom could have logged into an account without the correct password. As a precaution, we ended all logged in sessions.

We’re conducting a thorough investigation of related activity to understand whether any accounts were improperly accessed. If we identify any specific instances of unusual activity, we’ll immediately notify the account owner. If you’re concerned about any activity that has occurred in your account, you can contact us at support@dropbox.com.

This should never have happened. We are scrutinizing our controls and we will be implementing additional safeguards to prevent this from happening again.

-Arash

[Update - 10:46pm] – We’re working around the clock to gather additional data and continue to review logs for potentially unauthorized activity. We aim to notify users who had login activity during the period within the next few hours.

We are sorry for this and regardless of how many people were ultimately affected, any exposure at all is unacceptable to us. We will continue to provide regular updates.

[Update - 2:49am] – At this point, the accounts that logged in during the period have been emailed with additional activity-related details for review. If you have any questions or concerns, please contact us at support@dropbox.com.

O sigui que entre les 13:54 i les 17:41 hora del Pacífic, es a dir entre les 22:54 i les 03:41 hora espanyola (GMT +1) el servei Dropbox es va oblidar de validar la contrasenya per accedir al serveis d'hostatjament de fitxers. Diuen que hi va accedir menys d'un 1% del nombre d'usuaris registrats que tenen, imagino que per les hores devien ser bàsicament americans del nord i del sud), però tot i això un 1% és una pila considerable de persones. Imaginant que Dropbox tingui al menys registrats 5.000.000 25.000.000 d'usuaris vol dir que tirant molt a la baixa 50.000 250.000 usuaris diferents van establir una connexió amb els serveis Dropbox en aquestes cinc hores i escaig.

Més preocupant és la següent frase, on diu que van identificar una activitat anormalment alta d'algunes instàncies i que aleshores ho van notificar immediatament als seus propietaris. Bé al menys tenen controls d'activitat ben implementats i sembla que poden realitzar anàlisis forenses d'activitat d'una forma ràpida. Però, també vol dir que hi ha gent o sistemes automatitzats que estan escanejant la xarxa a la recerca d'errades o problemes dels sistemes, en aquest cas semblaria que el més habitual fora per un atac de força bruta sobre les comptes de Dropbox.

I aquest punt és el més preocupant. No pots cometre una sola errada, sobre tot si ets un lloc molt visible, com aquest cas, i on el botí que pots obtenir és a priori molt sucós. I molt menys d'una errada imperdonable com l'oblit de testejar la validació de la contrasenya. Un lloc com Dropbox és una caixa negra, però alhora potencialment molt cridanera, per a un lladre, en quant al contingut dels fitxers que s'hi emmagatzemen, i per això aquests llocs no poden cometre ni un sol error, i menys si es d'aquest calibre.

Totes les aplicacions informàtiques tenen errors i errades de seguretat, algunes més greus que les altres. La majoria d'aplicacions web tenen algun punt feble en la validació dels paràmetres d'entrada i sofreixen d'Injecció SQL o d'enverinament per XSS (Cross Site Scripting) o CSRF (Cross Site Request Forgery). De vegades costa més de trobar que d'altres i per això pot passar desapercebut, qual cosa no vol dir que més tard o més d'hora algú l'acabi trobant, així com que dependrà molt del interès que pugui tenir l'atacant i de la relació cost / benefici que li suposi (recordar la pila de números de targetes de crèdit que es van endur de Playstation Network). I per tant sembla impresentable que s'oblidessin de validar la contrasenya i això en d'altres circumstàncies és pot pagar car.
Sony PSN, no tenia responsable de seguretat en la seva plantilla i a ran del fet van fitxar a cop de talonari a un crack (llàstima ja he fet tard). No es tan important aquest fet com que no tinguessin un sistema de filtrat de paràmetres que impedís l'execució d'una comanda SQL passada per paràmetre. Es a dir els programadors de PSN no varen estar del tot amatents als requeriments de seguretat de la seva aplicació. Segurament complien amb la normativa PCI-DSS, perquè així els hi devia imposar VISA i companyia, però van descuidar les normes bàsiques de programació segura o potser ni tant sols les van tenir en compte en la fase de disseny de l'aplicació.

L'altre aspecte és la centralització de l'accés a la informació i en general del Cloud Computing. Un dels temes més controvertits pel que fa a la seguretat de la informació. I així es parla del fet de tenir "Tots els ous al mateix cistell", i que quan es trenca o cau el cistell tots els ous en pateixen les conseqüències.
Altre problema que representa el Cloud Computing és com es resolen els conflictes quan a ran d'un problema de seguretat hi ha hagut una fuita d'informació i l'usuari legítim s'ha vist perjudicat en els seus drets i la seva confidencialitat. És més que dubtós que la gent pugui assabentar-se de que ha tingut un fuita d'informació, al menys de forma ràpida, i encara més dubtós que un servei com Dropbox pugui rescabalar o indemnitzar a la persona o quantificar el nivell dels danys. A més, per un usuari de Filipines o de la República Sudafricana li serà gairebé del tot impossible, per distància o mitjans econòmics, interposar una demanda davant d'un servei i empresa com Dropbox que segurament en l'acord que fa signar previ al registre es deslliura de tota responsabilitat.

Ús deixo l'enllaç a un vídeo de Youtube que li passava al meu fill, quan era més petit. Ara comparteix fitxers amb els companys d'escola usant Dropbox.

Comentaris

Recordo haver llegit que el nombre d'usuaris de Dopbox supera els 25 milions, o sigui que el volum d'usuaris afectats és molt més alt.

Efectivament, jjmarti té raó: http://www.softwarecrew.com/2011/04/dropbox-catapults-to-25-million-user... . La magnitut de la tragedia pot ser d'un ordre de magnitud més alt.