Hackujeme Dropbox: jak vyloupit cizí data

Ono se šifruje přenos, jen identifikace stroje se dala (viz muj příspěvek) podvrhnout takže se stáhly a rozšifrovaly u vas v pc stejně jako na podvrhlém pc. Problem byl v identifikaci počítače.

Já to mám taky bloky adres a tucty serverů všude možně. FTP/WebDAV/HTTP server může mít skoro každej. Nejde o to, že ten kdo nemá IP musí používat Drobox. Naopak Drobox je o magnitudu někde jinde. Jde o to jak pefektně je Drobox integrovaný do různých OS a zařízení a vyřešená synchronizace. Udělat si něco podobného na koleni s FTP nebo WebDAV serverem není jen tak. Dropbox je v tomhle úžasnej, že je to hotové a perfektně funkční.

Skoda, ze DropBox jako takovy nelze nainstalovat a pouzivat na lokale, mysleno ze se nebude syncovat na server DB, ale na vlastni.

Přesně něco takového bych potřeboval. Neznáte někdo nějaký dobrý sw, který umí syncronizaci přes FTPS, nebo jiný šifrovaný protokol proti soukromému serveru ?

Jestli myslíš tu jednoprocentní náhražku, kterou používáš, tak na té to funguje taky.

Ano, je to průůůůůůůůůůůser jak Brno, ale když tam není co ukrást, je to v pohodě, horší je to s infikováním souborů.

Ve verzi klienta 1.0.10 jsem našl v databázi config.db jen SHADOWED_PROXY_PASSWORD uplně jiného tvaru než je na obrázku, je možné že to fungovalo jen do verze 1.0.1.? jinak si to nemužu vysvětlit.
Skryté heslo připomíná několik hash za sebou, tady je i část na mém obrázku: http://ge.tt/5fQcDXN... Na jaké verzi byly vytvořeny puvodní sceenshoty? Dá se přenášet i SHADOWED_PROXY_PASSWORD?
a co na to Jan Tleskač? - George C.Hi,The main thread and discussion for this issue is here:
http://forums.dropbox.com/topic.php... The issue is currently being voted on at:
https://www.dropbox.com/votebox/4761/add-security-measures-to-prevent-the-config-db-vulnerability
Posted 31 minutes ago #
Takže hlasujte a čtěte forum.

Názor byl 1× upraven, naposled 12. 04. 2011 16:48

Uhm, 1 password DB opravdu není v plaintextu

Je mi jedno, zda heslo dostane zakódované nebo ne. Nestačí pak db otevřít v jakémkoli 1PW? Mě připadá, že jsou v Agile prostě líní. Tolik proseb a oni se přímé synchronizaci na W7 pořád vyhýbají.

Podle mě bude potřeba master password, ale nezkoušel jsem.

A psat na ipadu v tramvaji nic moc :)

jo, ale todlencto je jak kdyby si tu kartu vokopiroval, okoukal PIN, a jeste k tomu ty penize pozdeji vybiral (pokazde kdyby tam prisla vyplata) tak ze by si majitel uctu niceho nevsim

1) Synchronizační algoritmus musí být připraven i na to, že provedu změnu na 2 počítačích offline a pak je oba připojím - tohle proti tomu prkotina. Funguje to nějak takto: Spolu se soubory je udržována i informace o jejich verzi - číslo, které se po každém uploadu inkrementuje (zvýší o 1). Pokud nemám u sebe o souboru informaci, pak se ke mě ještě nenahrál; pokud je na serveru stejná verze jakou u sebe eviduju já, můžu soubor přepsat/smazat; a do třetice: pokud je na serveru novější verze a lokální kopie byla mezi tím změněná, je to průšvih :)2) Algoritmus viz 1) není závislý na ID počítače => pravděpodobně ho vůbec neřeší => k žádnému zmatení by dojít nemělo (leda bych nezkopíroval jen to ID počítače, ale rovnou celou DB - právě tam nejspíš budou uložena ta čísla verzí lokálních kopií souborů).

To není žádná novinka, ovšem přečtete si tak i maily, které teprve přijdou?

Samozřejmě. Opíšu si zapamatované heslo v prohlížeči.

jak?

Vy si neumíte např. ve Firefoxu zobrazit uložená hesla?

nevim, firefox pouzivam jen kvuli firebugu takze tam hesla nedavam, ale pokud je neumi sifrovat globalnim heslem tak je to docela podradny kus softwaru.

Umí, ale neznám nikoho, kdo by to v tom používal. Taky Firefox prakticky nepoužívám.

javascript:alert(document.getElementById('password').value); ID elementu si treba zistit (zobrazenim zdrojaku,) ale je to robota tak na 10 sekund.

a toto napisem kde ? teda chapem, ze to ma ist nejako do html kodu stranky, ale ved ten nemam ako editovat... alebo hej ?

Z kodu zistis len nazov policka, ktoreho hodnotu chces zistit. Kod zacinajuci na javascript: das do policka s adresou a spustis enterom.Mimochodom, funguje to len, ak je heslo uz predvyplnene a ty sa potrebujes len zbavit hviezdiciek. Cize na ulozene hesla vo Firefoxe, Chromne, IE a mobilnej Opere (s trochou sikovnosti aj v desktopovej.)

jaaaj vobec ma nenapadlo, ze sa to da vlastne do toho pola s adresou napisat inak princip chapem, diky.

Pakliže bude na počítači postiženého uživatele nainstalovaný nějaký antivir (nebo si jej uživatel nainstaluje později), tak ti je keyloger (či jiná havěť) k ničemu. Tady jde o to, že díky této díře uživatel nemá absolutně šanci zjistit, že mu někdo do Dropboxu kouká. A nelze argumentovat ani tím, že když už se k počítači dostanu, tak si ta data ukradnu, protože ve chvíli kdy mám přístup k počítači tam ještě vůbec žádná zajímavá data nemusí být. Ale mohou tam být zítra, pozítří, či za měsíc. A útočník už nemusí dělat vůbec nic, jen kouká co mu přistane v "jeho" dropboxu..

Pokud by tam byl antivir už nainstalovaný, není problém mu tam ten keyloger nainstalovat i přes něj A popravdě, pokud už bych se chtěl pořádně pohrabat v nějakém počítači, tak u 80% uživatelů by nebyl problém si stáhnout všechny hesla uložené v internetovém prohlížeči, poštovním klientovi i z komunikačních klientů. Přeci jen málo uživatelů používá "hlavní" heslo pro ochranu dalších hesel. Takže tahle zpráva o Dropboxu je sice zajímavá, ale ne tolik, že by se z toho musela dělat taková "aféra".
Živě se bohužel hodně snižuje na úroveň bulvárních deníků, je to velká škoda, ale asi přirozený vývoj - přeci jen Blesk, Nova jsou nejsedovanější a živě.cz se chce asi zařadit mezi ně, bez ohledu na kvalitu - to reklamní partnery tak nezajímá

Divné. Asi máme každý jiný Dropbox (nebo nemáte žádný?), já tam totiž u svých autorizovaných zařízení vidím jejich IP adresy.

Takže na to můžete přijít - když si toho všimnete. Kontrolujete to? U všech možných služeb? Pamatujete si IP adresu té poslední kavárny, kde jste se připojil s netbookem?
Ovšem ani změna hesla tomu nezabrání, jedině zrušení toho naklonovaného počítače ze seznamu a znovu vložení - pokud ovšem se tímto změní ID.
Takže by to chtělo změnu, stačilo by, aby to ID bylo vázáno na hash nějakých údajů systému (verze+ID disku+MAC síťové karty nebo tak něco) a v případě nesouhlasu to chtělo ověřit heslem.

Tak zrovna MAC adresa síťové karty, když už se někdo dostane k počítači, jde úplně snadno zjistit a pak změnit. Ono obecně je to takový hack-nehack, protože stačí, když si někdo opíše heslo k mailu a taky tam vleze občas z jiného počítače se mrknout, co tam přibylo.

1) Šifrovat flashku je to nejmenší
2) Když ji ztratím, mám data pořád ještě v PC

1.) Dobře a teď upřímně. Kolik lidí běžně šifruje data na flashce? V okoli neznam ani jednoho.
2.) Ano, v některých případech to tak může být, ale ne vždy.

Tak to asi dost tazko dostanes flashku v ten isty cas na rozne miesta na zemi. Dropbox je hlavne o zdielani nie len archivacii

Jak připojím flešku k telefonu s Androidem?

Pokud jde jen o tohle, tak stačí normální flashka s vyndávací microSD kartou, která do telefonu půjde. Ono se tomu neříká flashka ale čtečka karet do USB .. výsledek je stejný. A jsou i takové mrňavé jen na tu microSD, třeba Kingsto​n micro SDHC reader G2. Stojí to pod stovku a s kartou se to chová jako řádná flashka.
Takže toto není argument pro online synchronizaci Ale najde se jich celá řada, pro mě je to primárně o pohodlném používání, mám tam naházených pár desítek souborů, co často měním a používám.. a kdykoliv zapnu notebook, tak je tam mám aktualizované a nemusím nic řešit, ani být v domácí síti, stačí Internet. A samozřejmě ty důležité mám zazálohované i jinde (takže i smazání "hackerem" mi neublíží).

Většina androidem postižených lidí svěří dropboxu jenom všechny svá hesla skrz keepassdroid

To sem zvědavej co budeš dělat když tu flashku zapomeneš doma:) - připojíš se vzdáleně na webku a budeš na ní koukat? :)

noc z toho neresi prepsani nebo smazani obsahu...

Tohle řeší automatický zálohování na Dropboxu, ne?