Gå til innhold

? Dropbox kan hackes


Anbefalte innlegg

Videoannonse
Annonse

Viss man først har tilgang til brukerens pc, så kan man stort sett bryte seg inn i hva som helst den brukeren har. En enkel keylogger og man har tilgang til alt. Det eneste man trenger er litt tid. Og med en trojaner så trenger man ikke besøke pc'en flere ganger heller.

Er ikke pc'en i bruk, så har man mulighet til å bruke forhåndslagrede passord viss brukeren har det.

  • Liker 2
Lenke til kommentar

Vel, det kan virke oppsiktsvekkende, men husk at vi har de følgende lover om sikkerhet:

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more
Law #5: Weak passwords trump strong security
Law #6: A computer is only as secure as the administrator is trustworthy
Law #7: Encrypted data is only as secure as the decryption key
Law #8: An out of date virus scanner is only marginally better than no virus scanner at all
Law #9: Absolute anonymity isn't practical, in real life or on the Web
Law #10: Technology is not a panacea

 

 

 

Dette angrepet bekrefter bare lov #3; hvis man har fysisk tilgang til datamaskinen, så er det ikke din datamaskin lengre.

  • Liker 1
Lenke til kommentar

Viss man først har tilgang til brukerens pc, så kan man stort sett bryte seg inn i hva som helst den brukeren har. En enkel keylogger og man har tilgang til alt. Det eneste man trenger er litt tid. Og med en trojaner så trenger man ikke besøke pc'en flere ganger heller.

Er ikke pc'en i bruk, så har man mulighet til å bruke forhåndslagrede passord viss brukeren har det.

 

Åh, så da kommer du inn i nettbanken, og bankID også?

 

Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene.

Lenke til kommentar

 

Åh, så da kommer du inn i nettbanken, og bankID også?

 

Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene.

 

Litt forskjell på å bryte banksikkerhet og Dropbox da.

Det de viste var at du trenger ikke To-Faktor autentisering for å koble deg til dropbox via API-et. Så da trenger man bare noen verdier fra en PC som allerede har installert Dropbox, så kan man koble seg til fra en annen PC med en egen klient.

 

Altså, Dropbox bruker ikke to-faktor autentisering. Det er vel det som er mest oppsiktsvekkende.

Men mener å forstå i slutten av dokumentet at Dropbox går over til en mer avansert login prosedyre snart, som gjør at denne hacken ikke går lengre? Er det riktig forstått?

Lenke til kommentar

 

Åh, så da kommer du inn i nettbanken, og bankID også?

 

Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene.

Det er selvfølgelig litt mer komplisert, men ikke umulig. Jeg sender bare brukeren til en falsk innloggingsside og gir brukeren en feilmelding når koden er tastet inn, brukeren prøver så å logge inn en gang til og jeg sender en ny feilmelding. Er jeg heldig så får jeg 2-3 koder før brukeren gir opp. Etter det så logger jeg inn i nettbanken og tømmer den for penger. ;)

Endret av Lucifer24
Lenke til kommentar

 

Litt forskjell på å bryte banksikkerhet og Dropbox da.

Det de viste var at du trenger ikke To-Faktor autentisering for å koble deg til dropbox via API-et. Så da trenger man bare noen verdier fra en PC som allerede har installert Dropbox, så kan man koble seg til fra en annen PC med en egen klient.

 

Altså, Dropbox bruker ikke to-faktor autentisering. Det er vel det som er mest oppsiktsvekkende.

Men mener å forstå i slutten av dokumentet at Dropbox går over til en mer avansert login prosedyre snart, som gjør at denne hacken ikke går lengre? Er det riktig forstått?

Vet ikke om de bytter til noe mer avanser, men det spiller uansett ingen rolle så lenge uvedkommende har kontroll på pc'en, for da er de som bestemmer hva brukeren ser. :)

Endret av Lucifer24
Lenke til kommentar
Gjest Slettet-Pqy3rC

Dersom en først benytter tjenester som dropbox er det nok lurt med bruk av f.eks. TrueCrypt i tillegg. Ellers er jeg litt enig med kommentarene over; Dersom en først stjeler tilgang til en PC er det meste en relativt smal sak, det blir liksom ikke helt det samme som når noe kan hackes for utsiden.

Lenke til kommentar

Lagrer ingenting sensitivt i Dropbox uten at jeg har lagt det i en TrueCrypt container først.

 

 

Det er selvfølgelig litt mer komplisert, men ikke umulig. Jeg sender bare brukeren til en falsk innloggingsside og gir brukeren en feilmelding når koden er tastet inn, brukeren prøver så å logge inn en gang til og jeg sender en ny feilmelding. Er jeg heldig så får jeg 2-3 koder før brukeren gir opp. Etter det så logger jeg inn i nettbanken og tømmer den for penger. ;)

Det vil ikke fungere. Kodene i nyere kodebrikker bruker tre ting: en klokke, en unik nøkkel og en hemmelig algoritme. Med mindre du simultant logger deg inn i i brukerens bank (som brukeren) sitter du bare igjen med gamle koder uten verdi. Det betyr også i praksis at om planen er å ta penger ut av konto, må du også ha en ny gyldig kode for dette. Er du heldig prøver brukeren flere ganger, og forer deg med koder slik at du har en gyldig kode til en betaling. Men det blir mye flaks inn i bildet også.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...