Как стать автором
Обновить

Комментарии 124

1b. Не держать на Dropbox-е «очень секретную» информацию.
Секретную информацию можно шифровать…
… нужно…
А лучше, по возможности, скрывать сам факт наличия таковой.
Этот метод более устойчив к методикам терморектального криптоанализа, столь популярным в России, ближнем и дальнем зарубежье.
да, например, писать секретные данные белым шрифтом %)
Кто-то еще пытался выделить полностью сообщение alemiks'а? Я думал там будет текст белого цвета :)
или использовать Dropbox на Линуксе :)
Думаете проблема украсть config.db на линуксе? Люди получают рут доступ до систем взламывая их, а тут всего лишь скопировать один файл, чтобы получить доступ до файлов аккаунта пользователя Dropbox?
… думаю что намного тяжелее украсть с линукса чем с винды
В массовом плане этого просто никто делать не будет, но если атака индивидуальная, то не думаю что есть большая разница.
Это зависит не от ОС, а от пользователя этой ОС.
НЛО прилетело и опубликовало эту надпись здесь
chmod 600 ~/.dropbox/* && chmod 700 ~/.dropbox
Страно что они по умолчанию не такие
Если не ошибаюсь, может помочь
umask 0077
скорее всего у этого кого-то также рутовый акк или он в судоерах убунты…
Если стырить config.db — легко, то какая проблема в том, чтобы стырить и файлы в папке дропбокса? Тогда и статья ниочем
В статье есть ответ:
фаил в несколько килобайт проще передать чем 2 гб из папки dropbox
Вы не дочитали статью.
После того как вы стырили config.db, у вас всегда будет свежий контент жертвы.
Для прочтения самого файла необязательно даже права root-пользователя, достаточно «r» в правах доступа к файлу.
Проблема в том что многие бэкапы там держат, и смысл его использовать если как раз таки бэкапы под угрозой?
А аккаунт от любого другого обменника, хранилища уже взломать нельзя? Точно также всё уязвимо. Шифровать информацию надо, вот и всё.
я отвечал на: «1b. Не держать на Dropbox-е «очень секретную» информацию.»
У меня дропбокс был на рабочем компе и на буке. Потом починил домашний старый комп, завел и там бокс, забыл пароль, восстановил и удивился, что на буке и рабочем компе бокс не запросил новый пароль…
Вот тут-то и надо было начинать панику :)
вы на редкость спокойный человек :)
Вот так продашь ноутбук, просто удалив dropbox и данные, или, скажем, накатив новую установку поверх старой без форматирования, а новый владелец, установив dropbox, получит сюрприз.
Вы не поверите, сколько сюрпризов я встретил на 5 продаваемых ноутах с залоченой виндой, загрузившись на них с флешки с линуксом… Дропбокс отдыхает.
НЛО прилетело и опубликовало эту надпись здесь
Вообще мне кажется вполне логичным при продаже ноутбука полностью ворматировать жесткий диск и переустановить систему. Жаль, об этом думают мало людей.

ЗЫ: В одном ноутбуке я кстати даже нашел в приводе диск с портэйбл-версией программы банкинга и ключами авторизации… ) Но, так как я честный, диск был уничтожен. )
Даже если подумают, то этого может оказаться недостаточно — дефолтное форматирование винта в винде быстрое, если склероз не изменяет…
Отвратительно.
НЛО прилетело и опубликовало эту надпись здесь
— Пруфпик или не было!
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
А там еще и подруги были? :)
НЛО прилетело и опубликовало эту надпись здесь
> «Чего ты улыбаешься, видишь, ты мне нравишься»

Девочки решили подзаработать в интернете?
Никто не мешает удалить этот хост из списка прилинкованных на сайте дропбокса.
Почему Дропбокс должен это делать за нас? Нужно тоже нести некую ответственность за свои действия.
Будем надеяться, что отреагируют и привяжут ключи к железу.
:)
Каждого представителя сони к игре? Бред! К приставке нужно.
Еще можно пропатчить код дропбоксового клиента, чтоб он лез за файлом с другим именем и искал в нем не host_id, а тоже что-то другое. Это несложно и вполне эффективно. Правда, повторять придется после каждого обновления — это минус.
Элегантный способ заколотить шуруп утюгом.
Ну или не делать ничего и ждать, пока они там в своем дропбоксе соблаговолят дать отвертку.
Микроскопом, шеф, микроскопом!!!
>… Также обращайте внимание на поле “Last Activity” в списке “My Computers” в веб-интерфейсе
> дропбокса. Если увидите, что к файлам был доступ тогда, когда его быть не должно —
> сразу удаляйте эту систему из доверенных
На этот случай DropBox даже RSS предлагает. Подписываемся и контролируем.
М-да, не ожидал такой халатности в плане безопасности от разработчиков популярного сервиса.
Односторонняя подача информации. То что вы перевели заметку Дерека, это хорошо. Но там самое интересное — это обсуждение, в котором высказываются (в том числе и компетентными людьми, включая разработчиков Dropbox) аргументы «за» и «против» того, можно ли считать это серьезной уязвимостью.

В итоге Дерек признает, что здесь, подобно многим онлайн-приложениям, имеет место компромисс между безопасностью и удобством для массового пользователя. И если бы разработчики сместили этот баланс в сторону безопасности, многиие сценарии использования стали были бы невозможны, благодаря которым Dropbox и стал популярным. То есть он просто не выжил бы.
Компромисс между безопасностью и удобством — это обычное явление. Но, извините, не до такой же степени…
Ну прочтите оригинал до конца и предложите свой вариант.
В Ubuntu большинство паролей хранится в key-менеджере и разлочиваются при логоне в систему. Dropbox может, например, использовать key-менеджер если он доступен. В Ubuntu так делают многие программы.
Ну а host_id может быть зашифрован уже тем паролем, который хранится в key-менеджере или же не использовать host_id совсем, а вместо него опять же пароль в key-менеджере.
насколько я понимаю, проблема в кроссплатформенности, подобные же системы есть и в винде и думаю в macOS, но для каждой операционки придется писать свой мето аундификации…
Хахах, а вы видели заголовки *.h кроссплатформенных приложений или библиотек? :)
В винде тоже так можно. Так каков ваш сценарий, «при каждой авторизации спрашивать пароль у пользователя»?
Такой сценарий многих не устроит; а для многих будет менее безопасным. Вы все-таки не прочитали.
Например при успешной авторизации заново генерировать host_id. Если они совпадать не будут — спрашивать пароль. Тогда после первой же авторизации злоумышленника host_id сменится. Жертве придется ввести пароль. После успешного ввода пароля жертвой host_id опять поменяется. Злоумышленнику придется снова его тырить.
Почитайте оригинал, ну пожалуйста.
"… хранится в key-менеджере и разлочиваются при логоне в систему" — это значит что пароль набирается один раз при входе в систему и это не пароль Dropbox-а, а пароль вашей учётной записи в ОС.
Если он разлочен, то его можно вытащить так же, как host_id из config.db? Это аналогично текущей ситуации.
Так же логично, как если вы зашли в свою почту, то человек севший за ваш компьютер сможет её прочитать. Тут главный вопрос не в этом, а в том, что сейчас я могу скачать получить ваг config.db просто загрузившись с LiveCD или LiveUSB. Много времени это не займёт.
Так сами файлы же рядом лежат, зачем это все тогда? :) Для вас это может и главный вопрос, а Дерек об этом сценарии и не упоминал.
Имея id вы сможете следить за данными этого человека в течении долгого времени даже если он будет менять свой пароль, и это до тех пор, пока он этот id не деактивирует.

Ещё один важный момент про key-менеджер я не упомянул. key-менеджер знает какой программе к какому паролю можно давать доступ (так же как Firefox знает какому сайту какой давать пароль). Если пароль запросить какая-то другая программа, то система спросит разрешения дать доступ к такому-то паролю такой-то программе.
т.е. произвольная программа не будет иметь доступ к ID
А как этот key-менеджер идентифицирует программу? Дайте ссылок почитать.
В тонкостях я не разбираюсь, но вроде бы вот эта программа за хранение паролей отвечает в Ubuntu: live.gnome.org/GnomeKeyring
Там же есть полное описание API.
Упс...
What types of attacks does Keyring protect against?

* Stealing passwords from inactive (locked) keyrings.

What types of attacks are still possible?

* Passwords in an unlocked keyring being read by a malicious application that is running on the user's desktop.

Если вы хотели сказать «ага, вы были не правы!», то у вас получилось. Постараюсь удержать этот тред в конструктивном русле.
Только что проверил в Ubuntu 10.10 — система не задаёт лишних вопросов и отдаёт пароли при разлоченой системе, т.е. сейчас это не работает. Несколько версий назад Ubuntu спрашивала «разрешить доступ к брелоку вот этой программе?». Появились риторические вопросы. 1. Непонятно куда это делось и почему это убрали. 2. В API Keyring-га есть ACL. Опять же непонятно, почему он не используется.
Нет, сказать «вы не правы» не было моей целью, мне тоже было интересно, я ведь пользуюсь Ubuntu.

Как пишут сами гномовцы, чтобы реализовать такое, только их усилий недостаточно. Нужна поддержка со стороны других подсистем. И хотя работа в этом направлении ведется, на сегодня этот момент архитектурно не продуман.

Запрос на разблокировку брелока я видел, но названия программы там не указывалось (10.04).
Ежедневно пользуюсь брелоком (10.10), спрашивает на выбор:
— блокировать после логоффа
— блокировать после N минут
— блокировать после N минут простоя

либо вообще автоматом разблокировать при логине и, видимо, до логоффа.

Имя приложения никак не завязано, у меня два ежедневно используются, спрашивает только при запуске первого, не важно гуишное или консольное (в терминале)
Также обращайте внимание на поле “Last Activity” в списке “My Computers” в веб-интерфейсе дропбокса. Если увидите, что к файлам был доступ тогда, когда его быть не должно — сразу удаляйте эту систему из доверенных.

Как же его увидеть, если
и даже не внося новую систему в список доверенных в веб-интерфейсе (даже если новая система имеет другое имя).

Как они так промахнулись, что даже после смены пароля аккаунт не выбивает. Вот это фейл.
Ваши компы были выключены, например, ночью, а доступ с одного из них типа был.
Пойду напишу скрипт который будет брутфорсить этот ключик пока случайно не попадет в чужой аккаунт, авось «повезет».
Ппц. Ребята видят OAuth авторизацию и удивляются, что после получения тикета, этот тикет можно скомутызить и отзывать его надо особым образом…
Во-первых, %APPDATA% «защищена» средствами NTFS.
Во вторых, вы всегда можете перемонтировать папку на защищённый девайс.
В третьих, при таком «ФГМ» политики — интернета быть не должно, т.к. Fx (Opera, IE) все пароли держит в таких же файликах.
В четвёртых, все «важные» документы должны, даже на «закрытом» компе, храниться в криптоконтейнерах…
ЗЫ КГ/АМБФГМ
В третьих, при таком «ФГМ» политики — интернета быть не должно, т.к. Fx (Opera, IE) все пароли держит в таких же файликах.

У броузеров есть такая фича, как master password

В четвёртых, все «важные» документы должны, даже на «закрытом» компе, храниться в криптоконтейнерах…

Есть документы средней важности. Утечка коих не критична, но неприятна. И они должны быть доступны из любого места, где скорее всего не будет вашего любимого шифровальщика.
Master password, по моему, есть не у всех (ie, chrome) по умолчанию не установлен, а если и установлен, то легко обходится.

В чём проблема установить ваш любимый шифровальщик, положив его в dropbox. Тот же rar архив запароленный уже очень устойчивый криптоконтейнер.
Я обычно у таких папок, защищенных владельцем, меняю владельца и дело сделано.
Я и написал «защищена» в кавычках. ;-)
EFS никто не отменял.
У вас раздел с Users хранится в EFS? А если монтировать только папку %APPDATA%\Dropbox, то это уже второй способ…
Вы путаете BitLocker и EFS.
Приношу извинения, вы правы. :)
— Не думай.
— Если думаешь – не говори.
— Если думаешь и говоришь – не записывай.
— Если думаешь, говоришь и записываешь – не подписывай.
— Если думаешь, говоришь, записываешь, подписываешь – не удивляйся.
Ну да, не шифруете данные, хранимые черти где — ССЗБ.
Полностью согласен. Юзайте TrueCrypt и все будет хорошо.
Желательно вместе с токеном и параноидальным 256 символьным паролем.
Это, я может чего-то не понимаю, но зачем хранить секретные данные на каком-то там непонятногде дропбоксе? Я даже в гуглдокс ничего секретного не держу… ибо доступ к моим данным есть теоритически у каждого сотрудника отдела гуглдокс. Также обстоит дело и с дропбоксом.
Мы храним документы по некоторым хозяйственным (домашним) делам в Dropbox, т.к. это удобно. Но мне не хотелось бы, чтобы кто-то мог их прочитать, поэтому они зашифрованы.
Есть данные не секретные, но, скажем, личные. Для постороннего человека (сотрудников гугла например) они никакого интереса не представляют, а вот чтобы кто-то знакомый видел в принципе не хочется, но не настолько чтобы их шифровать нестандартными средствами ОС (а стандартными тут, насколько я понял, бесполезно). Вот для таких данных это серьезная уязвимость.
Кто бы подобный анализ для Wuala провел…
А напишите host_id для примера — чтобы посмотреть вообще как он выглядит.
Ваша фамилия случайно не Митник?
Выглядит как md5 хеш 32 значный. Мой host_id например такой: fa124dbf0… стоп… чего это я…
НЛО прилетело и опубликовало эту надпись здесь
Прикольно, быстро они это доделали на Хабре — а ну, вот мой:

***************
Ух ты, работает! О_О
По виду — хеш md5.
Всё бы хорошо, если бы не оставленный в ссылке референс-код :) Думаю, что если бы прямо написали об этом («заодно мне места добавите»), то реакция была бы у людей не такой отрицательной =]
Линукс не держит, только винду и макось :(
ну, кто первый напишет перебиралку host_id?
Тоже подумал о том, что же мешает сделать перебор md5-хэшиков? Думаю, что перебирать можно быыыыстро, с highload'ом в Дропбоксе всё в порядке :)
Я бы на их месте ограничивал количество запросов на аутентификацию с одного ип-а в единицу времени.
НЛО прилетело и опубликовало эту надпись здесь
Жесть. У меня с 2009 года сессии висят неэкспайрнутые, перебор вполне может сработать.
Автор ещё забыл отметить, что из значка в трее можно зайти на сайт и поглазеть на айпи владельца. Пароль с мыло, правда, поменять не получится.
НЛО прилетело и опубликовало эту надпись здесь
система write-only-once?
НЛО прилетело и опубликовало эту надпись здесь
тем не менее
уже интересно!
иак какой ваш хост ид?
Мне лично, не страшно что информация попадёт в третьи руки:
1) Файлы помещены в зашифрованные контейнеры на флешку.
2) Флешка помещена в свинцовый контейнер с десятизначным кодом
3) Контейнер закопан на глубину 10м в мариинской впадине
4) Сверху присыпано китовыми какашками для отвода глаз.

Упустил несколько пунктов, да и выглядит всё не совсем так приятно как описал.
Самое важное — не заляпаться в какашках :)
НЛО прилетело и опубликовало эту надпись здесь
а какой смысл менять расширения, если о большинстве форматов можно узнать из заголовков?
У меня в Dropbox для важных данных лежат шифрованные файлы-контейнеры для TrueCrypt.
Да и нет у меня такой информации, которую будет жалко потерять или раскрыть.
НЛО прилетело и опубликовало эту надпись здесь
Заманчиво. Пользовались? Может напишете топик?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.