Tavaly májusi Internet Security Threat Reportjában a Symantec az ötödik legveszélyesebb támadási formának nevezte az ún. közbeékelődéses (MitM – Man-in-the-Middle) támadásokat. A támadástípust jó ideje ismerjük: a támadó valamilyen módon beékelődik a felhasználó számítógépe vagy mobil készüléke, valamint egy kiszolgáló közti kommunikációs csatornába (innen az elnevezés is), ahol lehallgatja és/vagy manipulálja az adatforgalmat. A módszert segítheti a titkosítatlan kommunikáció, de sokszor különféle sérülékenységeket használnak ki hozzá a hackerek.

Felhős változata: Man-in-the-Cloud

Most a módszernek már létezik felhős változata is, melyet az Imperva biztonsági kutatói írtak le egy tanulmányukban, melynek főbb megállapításait a tegnap zárul Las Vegas-i Black Hat szponzori szekciójában is ismertették. A támadási technikáról a Biztonságportál készített összefoglalót.

A felhős módszer lényeg is a közbeékelődés: ezért is nevezi a Imperva tanulmánya Man-in-the-Cloudnak (MitC), csak ez esetben a számítógépek és a felhős rendszerek közé ékelődnek be a támadók, hogy fájlokhoz, adatokhoz jussanak.

Az Imperva tanulmánya azt vizsgálta, hogy a legnépszerűbb felhős tárhelyeknél hogyan lehet ez ott tárolt, szinkronizált állományokhoz jogosulatlanul hozzáférni. Meglehetősen egyszerűen – állítják a kutatók. A tanulmányban a Google Drive-ot, a Dropboxot, az OneDrive-ot és a Boxot viszgálták meg ebből a szempontból.

A kényelem visszaüt

A legtöbb vizsgált módszer elsősorban a felhős szolgáltatásoknak azt a kényelmi lehetőségét használja ki, hogy a felhasználónak nem kell azonosítania magát minden egyes alkalommal a felhasználónevével és a jelszavával. A felhőhöz csatlakozó eszközökön ugyanis tárolódik egy biztonsági token, amelyre jelentős mértékben építkezik az azonosítási folyamat.

Csakhogy ezek a biztonsági tokenek viszonylag könnyen megszerezhetők. Ha a támadó felmásolja egy másik gépre, gyakorlatilag azonosítás nélkül hozzáfér ahhoz a felhasználói profilhoz, amihez a token tartozik.

A különböző felhős szolgáltatások más-más módszerrel tárolják ezt a tokent: regisztrációs adatbázisban, SQLite adatbázisban, konfigurációs fájlban stb. Bár ezek titkosítottak, dekódolásuk nem különösebben bonyolult. Ha pedig a támadó visszafejtette a token titkosítását, és azt a saját számítógépén bemásolja a megfelelő helyre, bármint megtehet: letölthet fájlokat a felhős tárhelyről, módosíthatja vagy megfertőzheti azokat.

Az Imperva szerint mind a négy viszgált szolgáltatás ki van téve ilyen támadásoknak.

Be kell vetni más technikákat is

Az első lépés a token megszerzése. Erre például adathalász módszereket, kémprogramokat és a felhasználók megtévesztésére apelláló (social engineering) támadási eljárásokat használhatnak.

Ha megvan a token, és sikerült visszafejteni, már csak azt kell megoldania a támadónak, hogy akkor is hozzáférjen a fiókhoz, ha a tulajdonosa megváltoztatta a jelszavát. A Dropbox esetében nincs gondja: a szolgáltatás ugyanis nem érvényteleníti a tokeneket, amikor módosítják a fiók jelszavát. A Google Drive kifinomultabban viselkedik: a jelszó módosítása után minden eszközön újra be kell jelentkezni.

A tanulmány letölthető az Imperva oldaláról, a cég blogjában pedig rövid interjút is találnak a vállalat technológiai igazgatójával, Amichai Shulmannel. Az igazgató szerint a tanulmánnyal többe között azt szerették volna bemutatni, hogy hol húzódnak a hagyományos végponti és határvédelmi biztonsági rendszerek korlátai. A ma már valós veszélyt jelentő MitC módszer elleni védekezéshez Shulman kétfázisú megközelítés javasol: egyrészt ún. cloud access security broker (CASB) eszközök alkalmazását, melyek sok esetben titkosítást, auditot, DLP védelmet, hozzáférés-ellenőrzést és anomáliadetektálást is tudnak nyújtani, másrészt – legalább az üzletileg kritikus adatok esetében – ún. DAM (Data Activity Monitoring) és FAM (File Activity Monitoring) eszközök telepítését.