Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 18.04.2016, 18:06   #1025
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 562

kroxus вне форума

IT-безопасность-свежие новости.


Короткие ссылки – большая проблема для облачных сервисов

Сервис сокращения URL – безусловно, удобство, однако он давно не дает покоя специалистам, занимающимся обеспечением интернет-безопасности, так как на практике трудно определить, куда ведет та или иная короткая ссылка. Новое исследование еще раз напомнило о рисках, связанных с использованием служб сокращения ссылок, в особенности в тех случаях, когда речь идет о хранении данных или обмене ими в облаке.

Результаты исследования представлены в аналитической статье [Ссылки могут видеть только зарегистрированные пользователи. ] («Слив за шесть секунд: короткие ссылки вредны для облачных сервисов»), опубликованной на прошлой неделе. Ее авторы независимый исследователь Мартин Георгиев (Martin Georgiev) и преподаватель Корнелльского университета Виталий Шматиков обращают внимание читателей на слабости служб сокращения ссылок, в частности, ✯✯✯✯✯✯✯ и goo.gl, с помощью которых можно отыскать приватные документы на Microsoft OneDrive или получить информацию о местонахождении пользователя через Google Maps.

При генерации коротких ссылок длинный URL сокращается до доменного имени и токена размером в 5-6 символов – к примеру, 1drv.ms.xxxxxx. «Эти токены столь коротки, что всю выборку URL можно просканировать брутфорсом, – поясняет Шматиков в [Ссылки могут видеть только зарегистрированные пользователи. ]. – Исходный, длинный URL, таким образом, можно эффективно раскрыть, было бы немного терпения и пара подручных машин».

Исследование заняло полтора года и ограничилось OneDrive и Google Maps – двумя веб-сервисами, использующими сокращенные ссылки. В своей блог-записи Шматиков отметил, что при наличии адекватных ресурсов можно просканировать все пространство коротких URL.

«Пользователи, генерирующие короткие ссылки для своих онлайн-документов и карт, полагают, что в этом случае URL надежны, так как ‘выглядят, как произвольные’ и недоступны широким массам, – пишут авторы исследования. – Наш анализ и эксперименты показали, что оба эти условия не составляют преграды противнику, задумавшему автоматизировать выявление истинных URL совместно используемых облачных ресурсов. Все ресурсы, расшаренные с помощью короткой ссылки, на самом деле становятся публичными и доступны любому пользователю в глобальной сети».

Веб-сервис OneDrive использует для сокращения ссылок ✯✯✯✯✯✯✯. Воспользовавшись соответствующими API, исследователи просканировали свыше 100 млн. ✯✯✯✯✯✯✯-ссылок, содержащих произвольные 6-значные токены, и обнаружили, что 42% этих ссылок преобразуются в реальный URL. Таким образом, на OneDrive можно отыскать около 20 тыс. файлов и папок.

Проблему в данном случае усугубляет предсказуемость структуры URL. «На основании ссылки на один из совместно используемых документов («зерно») можно создать корневой URL и просмотреть аккаунт автоматизированными средствами для выявления всех файлов и папок, расшаренных таким же образом, как и документ-зерно, или даже иначе», – комментирует Шматиков.

Сканирование в рамках исследования обнаружило на OneDrive тысячи уязвимых папок с правом на запись. «Поскольку хранимые в облаке файлы автоматически копируются на ПК и другие устройства пользователя, это готовый вектор для масштабных, автоматизированных вредоносных инъекций», – заключают исследователи.

В случае с Google Maps им удалось обнаружить около 24 млн. активных ссылок; 10% из них были привязаны к картам с указанием автомобильных маршрутов. Если, к примеру, известен пункт назначения, в публичном доступе может оказаться большое количество личной, закрытой информации. «Для многих индивидуальных пользователей это грозит раскрытием места жительства, истинного лица и визитов, тщательно скрываемых от широких масс по медицинским показаниям или финансовым соображениям», – предупреждают Георгиев и Шматиков.

О своих находках исследователи доложили в Microsoft и Google. Последняя увеличила размер токена в ссылках goo.gl до 11-12 знаков и приняла меры для ограничения сканирования существующих URL. Компания Microsoft два месяца переписывалась с авторами исследовательской работы, а в конце августа сообщила им, что не видит оснований для внутреннего расследования.

В марте OneDrive уже не предлагал опцию коротких ссылок. «После того, как мы вновь обратились в Microsoft, вендор заявил, что эти изменения никак не связаны с нашим отчетом, и еще раз подтвердил, что не считает обнаруженные проблемы уязвимостью, – сетует Шматиков. – По состоянию на момент публикации этой записи все ранее сгенерированные ссылки OneDrive остаются уязвимыми к сканированию и внедрению вредоносного кода».

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика