Vijesti za svakoga

Na simpoziju računalne sigurnosti USENIX Security Symposium stručnjaci su iznijeli čak tri načina na koje su mogli ukrasti tuđe podatke s mrežne usluge pohrane podataka, Dropbox. Rezultati su to istraživanja provedenog u posljednjih godinu dana, a svaki puta nakon otkrivanja ranjivost su prijavili Dropboxu i dopustili im da saniraju sigurnosni propust prije njegovog objavljivanja. Stručnjaci su lažiranjem odnosno pogađanjem hash vrijednosti (sažetka neke datoteke) uspjeli skinuti datoteku s proizvoljnog korisničkog računa. Znači dovoljno je pogoditi ili ukrasti sažetak podatka kojeg napadač želi ukrasti. Poslije toga stručnjaci su krađom jedinstvenog identifikacijskog broja nekog korisnika uspjeli skinuti sve njegove datoteke koje se nalaze u Dropboxu, a u oba slučaja žrtva napada uopće ne bi znala da se krađa dogodila. Nakon Dropboxovog ispravka navedenih propusta istraživači su ponovno uspjeli ukrasti podatke kombinacijom prva dva načina, odnosno poznavanjem sažetka podatka i identifikacijskog broja bilo kojeg Dropbox korisnika. Nije uopće bilo potrebno da je to broj vlasnika datoteke koju namjeravaju ukrasti. Međutim takav napad je ipak mogao proći otkriveno jer bi Dropbox primijetio neslaganje sažetka podataka i identifikacijskog broja njegovog vlasnika, ali ipak bi dozvolio pristup datoteci. Detaljnije informacije moguće je pogledati na stranicama portala COMPUTERWORLD.