Когда еще можно почувствовать себя таким уязвимым, как не во время конференции Black Hat и по ее итогам? Специалисты компании Imperva показали в Лас-Вегасе, что получить доступ к чужим файлам в облачном хранилище (будь то Microsoft OneDrive, Dropbox, Google Drive или Box) можно достаточно легко. А еще можно использовать облачные сервисы синхронизации файлов для C&C коммуникаций, заражения пользователей малварью, получения удаленного доступа и более прозаичных вещей. Но самое неприятное заключается в том, что для всего описанного исследователям не понадобилось даже компрометировать пользовательские логины и пароли. Атаку назвали man-in-the-cloud по аналогии с man-in-the-middle. Исследователи отмечают, что восстановить аккаунт и контроль над ним, после такой атаки, не всегда возможно. Атака строится на краже уникальных токенов, которые генерируются при первом использовании сервиса и для удобства хранятся на пользовательской машине. Дабы клиенту не приходилось вводить пароль каждый раз, когда происходит синхронизация данных между разными устройствами, в реестре или Windows Credential Manager лежит маленький файл. Конечно, токены зашифрованы, но если сам файл токена был украден, к примеру, в ходе фишинговой атаки или посредством применения drive-by эксплоита, дело плохо. Атакующий может обмануть облачное хранилище, прикинувшись настоящим владельцем аккаунта. После этого хакер может делать с аккаунтом что угодно, начиная от подмены пользовательских файлов на вредоносные и заканчивая банальной кражей данных, или их шифрованием с требованием выкупа. Пользователь, в свою очередь, ничего странного не заметит (если, конечно, не получит требование о выкупе). Законные владельцы аккаунтов практически бессильны в такой ситуации. Так как токены уникальны и привязаны к конкретным устройствам, смена пароля ни к чему не приведет. В частности, Dropbox вообще не обновляет токены при смене пароля. Google Drive защищен лучше и после смены пароля требует повторной авторизации на всех устройствах. Еще одно преимущество данной атаки состоит в том, что вредоносный код может находиться даже не на самой машине пользователя, а в облаке. Информация передается по стандартным зашифрованным каналам, не вызывая подозрений. Таким образом, атаку и несанкционированный доступ к данным очень трудно обнаружить. Нечто подобное недавно обнаружили специалисты компании FireEye, в ходе исследования бекдора Hammertoss. Он тоже маскируется в легитимном трафике и старается не привлекать к себе внимания.
