Dateisynchronisation

Der Angriff aus der Wolke

05.10.2015
Von 


Matthias Reinwarth ist Senior Analyst bei KuppingerCole und steuert als Lead Advisor das Beratungsgeschäft. Als Director Practice für das Identity & Access Management koordiniert er dieses Thema für alle Tätigkeitsbereiche des Unternehmens. Er veröffentlicht regelmäßig Blogbeiträge und Researchpaper zu IAM, Governance, Cybersecurity, aber auch darüber hinaus.
Anwender von Dateisynchronisationsdiensten wie Dropbox oder OneDrive sollten angesichts konkreter Bedrohungen diese Nutzung überdenken.

Praktisch jeder kennt sie, viele nutzen sie: Mit der steigenden Anzahl von parallel genutzten Geräten, etwa einem Desktop-Computer zu Hause, einem Notebook für unterwegs und dem Tablet für die Couch ist es für viele Anwender wünschenswert, dass unterschiedlichste Arten von Dokumenten auf all diesen Geräten vorliegen. Sie sollten dort auch immer den gleichen, jeweils aktuellen Stand aufweisen.

Aber auch zur Kommunikation zwischen Teammitgliedern werden solche Dienste heute gerne eingesetzt, etwa zum Austausch von gemeinschaftlich bearbeiteten Dokumenten, gerade auch bei Software-Entwicklerteams oder kleinen Unternehmen, etwa StartUps.

Speicherdienste in der Cloud versprechen einen schnellen Zugriff. Aber genauso schnell kann von Außen auch ein Zugriff auf ein Rechnersystem erfolgen, das nicht hinreichend geschützt ist.
Speicherdienste in der Cloud versprechen einen schnellen Zugriff. Aber genauso schnell kann von Außen auch ein Zugriff auf ein Rechnersystem erfolgen, das nicht hinreichend geschützt ist.
Foto: Gazlast - shutterstock.com

Die Anbieter von Diensten wie Dropbox, Box oder Google Drive stellen den Nutzern in den meisten Fällen weitestgehend ausreichende Kapazitäten im Gigabyte-Bereich zur Verfügung. Microsoft bietet seinen Abonnenten von Office365 mit einem Volumen von einem Terabyte de facto unlimitierten OneDrive-Speicher an.

Missbrauch von Zugriffsschlüsseln

Der so genannte "Man in the cloud"-Angriff wurde auf der BlackHat-Konferenz in Las Vegas im August detailliert dargestellt. Sicherheitsexperten von Imperva belegten hierbei die Bedrohung über eine Vielzahl von Diensten (OneDrive, Google Drive, Box und Dropbox) hinweg.

Die nachgewiesene Lücke beruht insbesondere auf der konzeptionellen Ermöglichung eines bequemen und transparenten Einsatzes des Synchronisations- und Speicherdienstes. Die kontinuierliche Nutzung eines Programmes, das mit dem jeweiligen Serverdienst kommunizieren kann, setzt die einmalige Authentifizierung und Autorisierung des jeweiligen Programmes und der sie ausführenden Instanz voraus. Dies kann über proprietäre Protokolle erfolgen oder über das mittlerweile weitverbreitete OAuth2-Verfahren.

Hat sich der Anwender gegenüber den Dienst erfolgreich authentifiziert und der Nutzung durch das jeweilige Programm zugestimmt, das durchaus auch der native Client zur Synchronisation sein kann, erhält die Applikation einen dauerhaften nutzbaren, wieder verwendbaren Access Token. Mit diesem weist sich das jeweilige Programm in Zukunft gegenüber dem Dienst aus. Ein erneutes Login durch den Anwender ist üblicherweise nicht mehr notwendig, der Token wird hierfür lokal gespeichert und kontinuierlich wiederverwendet. Selbst ein Passwortwechsel erfordert üblicherweise nicht die Erneuerung des Tokens, da dieser nach Erstellung unabhängig von dem Passwort agiert.

Aus der Cloud auf den Endpoint

Die Einstiegshürde für einen solchen Angriff ist zugegebenermaßen hoch, benötigt sie doch einen bereits erfolgten Einbruch in ein laufendes System. Dies kann etwa durch einen - aus Sicht des Angreifers - erfolgreichen DriveBy-Download oder eine vergleichbare Attacke erfolgen, bei der ausführbarer Code auf der Maschine des Angegriffenen installiert werden kann. Natürlich kann auch hier einmal mehr der unüberlegte Klick auf ein unsicheres Attachment in einer Mail genutzt werden.

Hat der Angreifer hierdurch Zugriff auf die Maschine, kann er im Benutzerkontext des aktuellen Anwenders den jeweiligen Token zugreifen. Bemerkenswert ist, dass hierbei kein Zugriff mehr auf den Benutzernamen oder das Passwort notwendig ist. Die jeweiligen Speicher-Orte des Tokens konnten in allen Diensten ermittelt und ausgelesen werden.