Hackujeme Dropbox: jak vyloupit cizí data

Dropbox je populární úložiště se synchronizací napříč počítači. Má ale i svá potenciální rizika. Pokud totiž z cizího počítače vydolujete jeho identifikátor, získáte přístup ke všemu.

Používáte synchronizační webdisk Dropbox? Pak je tu článek přesně pro vás. Dnes si s ním trochu pohraji a „zahackuji“. Rovnou ale přiznám barvu. Vše, co se dnes dozvíte, nedávno objevil Derek Newton, bezpečnostní analytik Time Warner Cable. Jeho blogový zápisek se mi stal předlohou.

Jak funguje Dropbox

Nejprve řečnická otázka. Jak funguje Dropbox? Neustále synchronizuje soubory i celé adresáře mezi počítačem, na kterém běží speciální klient, a webovým úložištěm služby. Pokud tedy něco zkopírujete (zpravidla) do adresáře C:\Users\<uživatelské jméno>\Dropbox, na pozadí se data nahrají na váš webový účet, kde je máte archivovaná a kdykoliv k dispozici skrze webové rozhraní. Když si pak třeba pořídíte nový disk nebo prostě jen přeinstalujete systém, stačí opět stáhnout klient, přihlásit se a za pár okamžiků budete mít svá data opět na počítači.

Dropbox s tímto scénářem funguje výborně, ještě více ho ale oceníte v případě, kdy máte více počítačů. Pak můžete snadno synchronizovat data třeba mezi domácím a pracovním počítačem, notebookem a ostatně i mezi mobilem. Stačí se s klientem na každém z počítačů přihlásit pod vaším účtem a mašinu připojit do služby.

Jak tomu není...

Po nudných formalitách přichází na řadu konečně zábava. Každý počítač s klientem Dropbox je identifikovaný pomocí nějakého unikátního ID a vašeho účtu. Při komunikaci tedy sdělí serveru, že počítač má ID třeba 123456789 a patří uživateli s loginem jarmila.chroustova@seznam.cz. Proběhne autentizace a data se přesunou z jedné hromady na druhou.

... a jak tomu naopak je

Ne! Vše z předchozího odstavce okamžitě zapomeňte. Počítač je totiž v systému identifikovaný pouze a jedině skrze ID mašiny. Autentizaci pomocí vašeho přihlašovacího jména a hesla provádíte pouze při nastavení klientu, kdy se na serveru vygeneruje „tajný“ ID počítače. Při další komunikaci, tedy při samotné synchronizaci a přenášení souborů sem a tam, používá Dropbox už jen ID mašiny. Předpokládá totiž, že pokud je už stroj jednou zaregistrovaný – získal ID, vše je v pořádku.

Ono by i bylo, kdyby… Kdybyste tento ID snadno nezjistili a ještě snadněji nevložili do úplně cizího účtu Dropboxu. Bystří čtenáři už tuší, kam to vše povede, já to ale opět pro názornost rozvedu. Dejme tomu, že získám ID počítače se jménem JeanBabtistePocitac. Každý počítač by totiž měl mít pro vaši přehlednost i nějakou tu přezdívku. Může to být mašina třeba kolegy v práci, který si zrovna zašel na kávu a nechal spuštěný počítač. Jean má na svém počítači zajímavé dokumenty a pro jejich archivaci používá právě Dropbox. V tuto chvíli tam sice nic nemá, my ale víme, že večer si skrze službu něco přepošle domů.

dropbox web.png
Webové rozhraní Dropboxu se seznamem propojených počítačů – tento má jen jednu mašinu, JeanBabtistePocitac

Neznáme jeho heslo ke službě a nedozvíme se ho ani z webového rozhraní, kam se z desktopového Dropboxu dostanete i bez znalosti loginu a hesla. Dropbox totiž používá pouze hashe hesel. Mohli bychom Jeanovi samozřejmě změnit heslo a pomocí něho se pak později připojit k jeho účtu a podívat se, jaké dokumenty přibyly. Toho by si ovšem Jean všimnul a my bychom ke všemu museli mít přístup k jeho poště. Tak jak?

Pokud čtete bedlivě, dobře víte, že sice nemáme Jeanovo heslo do Dropboxu, známe ale ID mašiny (zatím se neptejte, kde jsem ho vzal). Jelikož jsou počítače autentizované pouze skrze toto ID (to už víte), stačí Jeanův ID vložit do nastavení našeho Dropboxu. Co se pak stane? Nastane totální schizofrenie – doslova naklonujeme Jeanův počítač. Náš počítač se bude pro server Dropboxu jevit úplně stejně jako originál a cokoliv tedy Jean zkopíruje do svého Dropboxu, dostaneme i my. V podstatě tu budou dva úplně identické počítače se stejným ID a tím zmateme i Dropbox samotný. Vše bude úplně v pořádku, Jeanovi nedojde žádný e-mail, že je s jeho účtem propojený další počítač nebo že se snad děje něco nekalého. Vše bude naprosto košer.

dropbox.png  dropbox slozka.png
Dva různé počítače se stejnou složkou Dropbox – nejedná se přitom o dvé připojené
mašiny nebo snad oficiální sdílení. Jedna z těchto mašin díky bezpečnostní díře zrcadlí tu
druhou a Dropbox o nějakém zdvojení nemá ani potuchy.

Jak jsem získal ID mašiny (a jak jsem ho vložil na druhý počítač)

A teď už konečně k jádru věci – kde jsem vzal Jeanův ID a jak jsem ho vložil do nastavení vlastního Dropboxu? Je to poměrně snadné. ID počítače je uložený v SQLite databázi config.db v adresáři %appdata%\Dropbox (appdata je makro Windows, skutečná cesta na Windows by tedy mohla vypadat třeba takto: C:\Users\<uživatelské jméno>\AppData\Roaming\Dropbox\config.db)..

dropbox.png
V tomto souboru je schovaný identifikátor mašiny

SQLite databáze sice není žádný textový soubor, kterému porozumíte v Poznámkovém bloku, ale netřeba se ničeho obávat, na webu totiž najdete desítky nejrůznějších editorů SQLite. Stáhnout si můžete třeba multiplatformní SQLite Database Browser. Stačí ho rozbalit – neinstaluje se, a pak v něm otevřít kýžený soubor. V záložce Browse Data najdete vše potřebné, tedy položku host_id. To je přesně to, co potřebujeme. Unikátní identifikátor autorizovaného počítače.

Zkopírujte hodnotu a v editoru SDB ji vložte do databáze na vašem počítači. Dropbox se okamžitě synchronizuje s účtem Jeana a obsah složky Dropbox bude vypadat úplně stejně na obou počítačích..

database editor.png
Databáze config.db v editoru a kýžený ID mašiny

Koho pustíte do svého mráčku?

Je to bezpečnostní riziko? Samozřejmě je. Kritici sice argumentují tím, že Dropbox nemůže být zodpovědný za to, že se vám někdo dostane do počítače a uloupí nechráněnou databázi config.db – už v té chvíli by totiž musel mít přístup do celého počítače a data si prostě zkopíruje, ale o tom to právě není. Bezpečnostní riziko spočívá v tom, že i když záškodník opustí počítač, díky neměnnému a dále již nekontrolovanému ID získá přístup i k dalším dokumentům, které na Dropbox nahrajete později.

Dejte tedy pozor, kdo všechno má přístup k vašemu počítači. Nejedná se přitom pouze o zlobivé kamarády – o nezabezpečený soubor a nešifrovanou hodnotu ID počítače by totiž mohl mít zájem i nějaký budoucí virus. Tímto způsobem totiž můžete pomocí unikátního ID klonovat počítače jedna báseň a jako jedna mašina se pak může chovat celá armáda tichých posluchačů, o kterých nemají autoři služby ani ponětí.

Koho pustíte do svého mráčku?

Článek patří do rubrik: Software, Bezpečnost, Dropbox

60 komentářů

Diskuze

  • ZapikZ , 7. 4. 2012 11:44:43
    Pokud chcete v dropboxu 500 MB (250 Mb) navíc registrujte se přes můj...
  • xzine , 13. 4. 2011 18:54:01
    Používám tuto službu a jsem s ní nadmíru spokojen. Také mám zkušenosti s...
  • acrux , 13. 4. 2011 13:17:00
    Osobně se divím, že v těchto službách se by design nešifruje všechno, co...

Určitě si přečtěte


Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

** Microsoft se roky snažil prosadil Windows na telefonech ** Nepomohla mu ale ani Nokia ** Gartner nyní potvrzuje nekončící propad prodejů

21.  8.  2016 | Jakub Čížek | 287

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

** Máte stále horší paměť? Může za to chytrý telefon a internet ** Důvodem je snaha mozku ušetřit vlastní výkon ** Odkládání na „externí zařízení“ má pozitivní, ale i negativní důsledky

20.  8.  2016 | Karel Javůrek | 31

Nová úprava Li-Ion akumulátorů jim zdvojnásobí kapacitu, na trhu již letos

Nová úprava Li-Ion akumulátorů jim zdvojnásobí kapacitu, na trhu již letos

** Z mnoha nenaplněných futuristických vizí o lepších bateriích tato vypadá opravdu nadějně ** Neslibuje zázrak, ale nemalý pokrok na základě současných technologií ** Při stejném objemu získá baterie dvojnásobnou kapacitu, výroba může přitom probíhat na stávajících linkách

19.  8.  2016 | Tomáš Holčík | 48

Nejlepší nástroje pro úpravu sportovních aktivit v GPX

Nejlepší nástroje pro úpravu sportovních aktivit v GPX

** Trackování sportovních aktivit patří ke stále oblíbenějším ** Pokud zapomenete záznam vypnout, hodí se jeho následná úprava ** Pomoci mohou desktopové i webové aplikace

20.  8.  2016 | Stanislav Janů | 8

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

** Linux je tu už 25 let ** Z malého projektu se proměnil v nejdůležitější program ** Řídí superpočítače, servery, Android a nejspíše i váš Wi-Fi router

23.  8.  2016 | Jakub Čížek | 125


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.