Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

protezione dati

Dropbox, Google Drive e il rischio “data breach”: così proteggiamo i dati

I servizi di cloud file sharing sono sempre più diffusi soprattutto in ambito aziendale con alti rischi in termini di privacy e protezione dei dati. Ecco come adottare le giuste misure di sicurezza su Dropbox e Google Drive per evitare data breach

23 Lug 2018
I

Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder, www.swascan.com


Dropbox, Google Drive e data breach: al solo sentir nominare queste parole, a molti amministratori di sistema iniziano a tremare i polsi. L’utilizzo dei servizi in cloud per la condivisione di file è ormai pervasivo e invasivo del nostro quotidiano, a livello sia personale che aziendale e soprattutto in questo ultimo ambito, con l’uso di applicazioni come Dropbox e Google Drive, il data breach è dietro l’angolo.

SkyHigh Networks ha stimato che in media, in un’azienda, sono presenti almeno 76 sevizi di cloud sharing di file. Circa il 18% di questi file contiene dati personali e sensibili.

Un mercato che prevede una crescita costante ed estremamente interessante. Il report di mercato pubblicato da MarketsandMarkets ha stimato un valore a livello mondiale pari a 3,35 miliardi di dollari per il 2018, fino ad arrivare a 10,94 miliardi di dollari per il 2023.

Servizi in cloud e compliance al GDPR

Il 25 maggio, con l’entrata in vigore della nuova disposizione legislativa sulla privacy, la GDPR, tutte le aziende hanno avuto l’esigenza di mappare, normalizzare e verificare se i requisiti di tutti questi servizi fossero compliant alla normativa.

Il nuovo regolamento sulla protezione dei dati dell’Unione europea ha di fatto obbligato le aziende a dover analizzare in dettaglio le modalità e le misure di sicurezza adottate da queste applicazioni di cloud sharing, al fine di verificare se siano conformi ed integrate/integrabili nei processi aziendali di GDPR.

La questione principale è verificare se la confidenzialità, disponibilità e integrità dei dati sia correttamente garantita.

Con questo obiettivo, nei successivi paragrafi, approfondiremo le misure di sicurezza e privacy adottate da Dropbox e Google Drive e forniremo alcune indicazioni e punti di attenzione relativamente ai possibili rischi di cyber-attacchi che potrebbero permettere e “agevolare” un malintenzionato a violare i dati gestiti da questi due servizi di cloud file sharing.

Dropbox: misure di sicurezza

La popolarità, unitamente al numero degli utenti (circa 300 milioni), è da sempre stato un obiettivo interessante per i criminal hacker. Tutte le applicazioni e servizi che dispongono di dati sono da sempre una opportunità di guadagno.

Molti ricorderanno sicuramente il data breach ai danni di Dropbox avvenuto nel 2012. Furono rubati circa 68 milioni di account. È passato un po’ di tempo e da allora sono stati rinnovati gli algoritmi di hashing e rafforzata la sicurezza interna.

Procediamo ad analizzare il ciclo di vita dei dati nel processo di file sharing di Dropbox:

  • Dropbox Trasmissione dati Uno dei punti di attenzione è sicuramente la fase di trasmissione dei dati durante la sincronizzazione. Il rischio di sniffing è sempre alto in una rete pubblica. Dropbox ha implementato diverse protezioni per contrastare questa possibile minaccia adottando Secure Sockets Layer (SSL)/Transport Layer Security (TLS), che permette la protezione dei dati durante il transito tra Dropbox e i server. Inoltre, SSL/TLS genera un “tunnel” protetto con la crittografia Advanced Encryption Standard (AES) a 128 bit.
  • File Storage Anche i file conservati in cloud sono protetti con crittografia AES, in questo caso a 256 bit. Un terzo può avere accesso ai dati resi pubblici sul server solo se è in possesso dello specifico link alla cartella o file. È inoltre previsto che gli utenti abbiano la possibilità di configurare l’autenticazione a due fattori aumentando il livello di protezione dell’account contro il rischio di hacking.
  • Dropbox Backup Dropbox storicizza le versioni precedenti dei file. Ogni volta che viene effettuata una sincronizzazione, i server salvano la versione precedente dei dati.
  • Dropbox Autenticazione Prevede la possibilità di configurare l’autenticazione a due fattori.

Google Drive: misure di sicurezza

Google Drive, che vanta circa 250 milioni di utenti, ha un modello di misure di sicurezza estremamente simile a quello di Dropbox. A differenza di Dropbox, Google è più restio a fornire pubblicamente i dettagli delle tecnologie e soluzioni di security adottate dai suoi sistemi. In linea generale sappiamo che:

  • Google Drive Trasmissione dati La trasmissione dei dati è tutelata con un sistema di crittografia standard Transport Layer Security (TLS) e lo stesso standard di crittografia viene utilizzato per le connessioni del browser per tutelare i siti Web (HTTPS).
  • Google Drive File Storage Il sistema di crittografia utilizzato da Google Drive per il salvataggio dei dati è Advanced Encryption Standard (AES) a 128 bit. Non è sicuro come quello a 256 bit utilizzato da Dropbox ma possiamo sicuramente considerarlo adatto allo scopo.
  • Google Drive Backup Google Drive adotta lo stesso modello di backup di Dropbox. Ad ogni sincronizzazione dei file, crea la nuova versione e mantiene nell’history la versione precedente.
  • Google Drive Autenticazione L’autenticazione a due fattori è supportata anche da Google Drive. Questa funzionalità è diventata ormai uno standard per quasi tutti i servizi di questo tipo al fine di garantire una maggiore tutela e protezione degli account contro il furto di identità.

Google Drive e Dropbox: cybercrime opportunity

Le misure di sicurezza adottate dai due colossi delle soluzioni di cloud file sharing di fatto si equivalgono e allo stesso tempo entrambi forniscono le stesse opportunità a possibili malintenzionati di poter effettuare una violazione dei dati.

Una delle prime criticità è relativa al fatto che i due sistemi hanno la possibilità di potersi integrare con diversi e differenti sistemi di terze parti.

Una funzionalità necessaria e indispensabile ma al contempo estremamente rischiosa.

Proprio le terze parti sono un possibile punto di accesso per i criminal hacker.

Un esempio è il data breach di Timehop avvenuto qualche settimana fa. Oltre 21 milioni di dati potrebbero essere stati violati. Timehop è un’applicazione che raccoglie le foto dei propri utenti da Facebook, Instagram, Twitter e anche da Dropbox. I criminal hacker hanno attaccato direttamente il database del social Timehop, utilizzando una credenziale di accesso compromessa. Automaticamente hanno avuto accesso a tutte le informazioni e dati presenti.

Anche Google Drive ha le stesse criticità, forse amplificate in considerazione dei diversi prodotti e servizi a disposizione di Google stessa. Secondo il Wall Street Journal di inizio mese, gli sviluppatori di applicazioni terze, che permettono la registrazione e autenticazione tramite Gmail alle proprie app, potrebbero avere accesso alle e-mail private Gmail degli utenti stessi. In uno studio di Return Path Inc. viene indicato che è possibile analizzare circa 100 milioni di e-mail ogni giorno.

Sempre Google, qualche anno fa, è stata sotto i riflettori per la vicenda relativa a Prism. La vicenda riguardava l’agenzia governativa NSA che, con la CIA e l’FBI, è responsabile della sicurezza nazionale degli Stati Uniti d’America.

Il programma Prism permetteva alla NSA di intercettare le comunicazioni e le attività sospette attraverso gli account Gmail e Facebook. Il programma Prism fu scoperto e rivelato al mondo da Snowden.

A questi esempi aggiungiamo anche i cyber attack di ransomware. Conosciamo tutti la potenza devastante di questo malware; si stima che ogni 40 secondi una azienda è sotto attacco ransomware. Sia Google Drive che Dropbox, purtroppo, non ne sono immuni.

Ma la vera opportunità per i criminal hacker di effettuare un data breach su Dropbox e Google Drive è attraverso il furto delle credenziali di accesso degli utenti stessi.

Come hackerare account Dropbox e Google drive

Come abbiamo descritto e indicato, le misure di sicurezza di Google Drive e Dropbox risultano essere efficaci e le possibilità di violare i dati delle due applicazioni di file sharing, di fatto, si basano su approcci e tecniche che richiedono una “autorizzazione e consapevolezza” da parte dei due colossi o attraverso parti terze.

Tutto abbastanza complicato o costoso in termini di tempo.

I criminal hacker sperano sempre in una disattenzione, tipo quella di Telefonica di qualche giorno fa (ha esposto migliaia di dati relativi agli utenti a causa di una semplice e banale non configurazione di URL dinamici), oppure che venga reso pubblico qualche nuovo zero day.

In realtà, la maggior parte delle violazioni dei dati su Dropbox e Google Drive avviene soprattutto perché il malintenzionato ha a disposizione gli accessi.

Il furto delle credenziali è ancora oggi il sistema maggiormente utilizzato. Le motivazioni sono molteplici a partire dal fatto che:

  • le tecniche e modalità sono ormai consolidate;
  • gli strumenti sono disponibili pubblicamente;
  • noi utenti/dipendenti e aziende spesso aiutiamo non poco i malintenzionati nel loro intento.

Tecniche e modalità per rubare accessi Dropbox e Google Drive

App trojan

Il furto delle credenziali viene effettuato utilizzando dei trojan camuffati da mobile app presenti negli app store. Nello specifico abbiamo diverse modalità:

  • APP Trojan Repacking: è la tecnica più usata nel mondo app. L’approccio è estremamente semplice. Si scarica l’app del target e si procede decompilando l’APK. Viene modificato il codice inserendo il trojan. A questo punto viene ripubblicata o direttamente negli store ufficiali o in store “alternativi” con un nome molto simile all’originale per ingannare gli utenti;
  • Trojan APP: viene sviluppata una vera e propria app relativa a funzionalità che potrebbero essere utili per i servizi in questione: Google Drive e Dropbox. Anche in questo caso viene pubblicata direttamente negli store come per l’app repacking. La presenza negli app store garantisce al vettore di attacco una presenza costante e una minaccia persistente. Un esempio è l’Anubis Malware scoperto dai ricercatori di IBM ai primi di luglio.

Phishing

Uno degli evergreen cyber attack più diffusi che tutti ormai conosciamo: il phishing. Rappresenta il 66% dei vettori di attacco malware secondo il report di Verizon Data Breach 2017. In questo caso il modello di Social Engineering più diffuso è utilizzando falsi mittenti da parte di Google Drive e Dropbox stesso.

Keylogger

I keylogger fanno parte della famiglia dei trojan. Sono conosciuti come RAT, l’acronimo di Remote Access Trojan. I trojan di accesso remoto sono ormai di uso comune ed estremamente utilizzati. Permettono al criminal hacker di avere accesso alle principali funzionalità del dispositivo, mobile o computer. Nella hall of fame dei Remote Access Trojan abbiamo OmniRAT, Dendroid e SpyNote.

Per onor di cronaca dobbiamo anche menzionare gli INFOSTEALER, una sorta di parente stretto dei Remote Access Trojan. Gli Infostealer non sono efficaci come i RAT, sono hacking tool minimali con caratteristiche e funzionalità specifiche per scopo e obiettivo. Sono di fatto dei keylogger, uno spyware che permette di “registrare” ed inviare al Criminal Hacker tutto quello che l’utente digita sulla tastiera. Ovviamente se la vittima usa un mobile, nessun problema. In questo caso l’Infostealer registra le “coordinate” della battitura e in base al modello di dispositivo mobile recupera il testo digitato.

Estensioni browser

Una tecnica diffusa è utilizzare estensioni di web browser. Stiamo parlando di plugin costruiti ad hoc per i principali browser. La tecnica è praticamente simile, se non identica, a quella descritta per l’APP Trojan. La differenza è solo nello strumento e vettore di attacco. Per intenderci, un malintenzionato può facilmente rubare le credenziali di accesso alle applicazioni, in questo caso anche a Dropbox e Google Drive. La procedura è semplice; si posizionano negli store plugin con nomi simili al plugin originale oppure relativi a servizi che possono aiutare gli utenti ad essere più efficaci ed efficienti nella gestione delle applicazioni cloud di file sharing. Un caso simile è avvenuto ad aprile 2018. In questo caso il plugin era stato configurato per LinkedIn.

Vulnerabilità del browser

Gli attacchi ai siti web sono all’ordine del giorno. Uno studio di Positive Technologies ha rivelato che il 100% dei siti web e delle web application ha almeno una vulnerabilità. L’aspetto preoccupante è l’altra evidenza che viene fornita da questo studio: il 70% dei siti web e web application analizzate ha una vulnerabilità con alta criticità. Se consideriamo che mediamente dopo qualche giorno gli exploit delle vulnerabilità sono spesso disponibili direttamente su GitHub, è abbastanza chiaro come hackerare un sito o una applicazione sia veramente semplice e facile. Oggi siamo spesso preda facile non di criminal hacker ma di kid hacker, tenuto conto che l’esperienza tecnica necessaria per sfruttare questa tipologia di attacchi è pari ad un video tutorial che potremmo trovare su wiki.

Self XSS

XSS, meglio conosciuto come Cross Site Scripting, è una vulnerabilità del sistema che permette a un hacker di inserire una stringa di JavaScript malevolo, fornendogli un controllo pressoché totale. XSS è tra le top 10 OWASP vulnerabilità. I casi di attacco tramite XSS sono innumerevoli.

Il Self XSS è una forma di attacco di tipo social engineering che sfrutta la vulnerabilità del portale.

Di fatto, l’utente si auto-hackera. È progettata per fare in modo che gli utenti forniscano loro stessi l’accesso al loro account Dropbox o di Google Drive. Il vettore dell’attacco è sempre l’intramontabile phishing.

Dark Web

Spesso non è necessario ingegnarsi troppo e non c’è bisogno di cercare strumenti o scegliere una tecnica. Nel Dark Web c’è sempre tutto al giusto prezzo. Un Suq digitale che permette di trovare tutto quello che serve. Se non si trova su Google si riesce sicuramente a trovarlo sul Dark Web.

Il Dark web è un’enorme rete “privata” dove acquistare di tutto, per intenderci “Immagina… ce l’ho”: pornografia, armi, soldi contraffatti e ovviamente anche strumenti di hacking, malware, exploit e zero-day.

Uno dei mercati sul Dark Web è l’RDP SHOP. Un e-commerce che permette di acquistare attraverso l’accesso con protocollo desktop remoto (RDP).

La notizia è che durante una analisi dei diversi negozi RDP del Dark Web, i ricercatori di sicurezza del team McAfee hanno scoperto che è in vendita l’account per l’accesso remoto ai sistemi di un aeroporto internazionale.

Il prezzo? Solo 10 dollari.

Nel Dark web la maggior parte dei database che sono stati violati sono a disposizione gratuitamente o a pagamento (non sempre a buon mercato come nel caso citato).

Vale la pena ricordare che in questo momento sono disponibili gratuitamente circa 68 milioni di account Dropbox, frutto dell’attacco hacker del 2012.

Dropbox e Google Drive: proteggiamo il nostro account

La maggior parte dei problemi relativi al rischio hacking degli account delle applicazioni cloud file sharing è dovuto principalmente al nostro comportamento.

Ecco alcuni suggerimenti per ridurre, in generale, il rischio di data breach e per evitare che le credenziali di accesso ai sistemi di cloud file sharing siano compromesse.

È necessario predisporre un piano di Cyber Security Framework che preveda di:

  • Cambiare regolarmente la password;
  • Utilizzare password complesse;
  • Controllare gli indirizzi IP dell’ultimo dispositivo che si è connesso agli account;
  • Non ignorare le mail di avviso che ti inviano Google o Dropbox quando rilevano accessi sospetti (ovviamente presta attenzione alle email di phishing);
  • Controllare e monitorare i dispositivi che sono connessi all’applicazione;
  • Controllare e verificare quali applicazioni stanno utilizzando il tuo account;
  • Impostare l’autenticazione a due fattori in due passaggi;
  • Aggiornare costantemente gli antivirus;
  • Aggiornare costantemente i propri sistemi;
  • Effettuare regolarmente attività di Vulnerability Assessment;
  • Effettuare regolarmente attività di Network Scan;
  • Prevedere attività di Patching e Fixing;
  • Pianificare attività di Incident Management;
  • Predisporre un piano di Disaster Recovery;
  • Prevedere policy di Secure Software development;
  • Effettuare regolarmente attività di Code review delle applicazioni;
  • Effettuare regolarmente attività di Formazione;
  • Adottare strumenti SIEM;
  • Dotarsi di Security operation Center;
  • Pianificare Attività di Risk Management.

Dropbox, Google Drive e data breach: come mitigare il rischio

I due leader di cloud file sharing di fatto garantiscono un livello di sicurezza adeguato e le misure che hanno impostato sono abbastanza valide da scongiurare un possibile data breach… ma sono esposti alle criticità tipiche del nostro nuovo mondo della Digital Innovation dove si incontrano, o forse dovremmo dire si scontrano, la necessità di integrazione e la cultura.

L’integrazione delle due cloud application (Dropbox e Google Drive) con altri sistemi di fatto li espone a possibili rischi. Questi rischi sono collegati alle vulnerabilità delle terze parti o alle vulnerabilità e criticità delle API.

Dall’altra parte abbiamo un problema culturale. Per intenderci questa veloce evoluzione ha sicuramente portato e sta portando alla ribalta nuove soluzioni e quindi servizi, ma noi non siamo riusciti a cambiare il nostro mindset.

Il vero rischio di data breach per Google Drive e Dropbox è di fatto il fattore umano.

L’errore ci dona semplicemente l’opportunità di iniziare a diventare più intelligenti.

(Henry Ford)

Informazioni sull’autore:
Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder

“La Cybersecurity e la Digital Innovation sono da sempre la mia passione che ho trasformato in lavoro creando diverse startup tra cui Swascan, la prima piattaforma di Cybersecurity in cloud, SaaS e Pay for use. La mia frase è: ognuno di noi è le risposte alle domande che si pone”

@RIPRODUZIONE RISERVATA

Articolo 1 di 5