Mega Cloud mit Sicherheitslücke
Ein Team von Kryptograf:innen der ETH Z¨¹rich hat den Cloud Service des neuseel?ndischen Anbieters Mega eingehend getestet. Dabei wurden Sicherheitsl¨¹cken entdeckt, die es dem Anbieter erm?glichen, Kundendaten zu entschl¨¹sseln und zu manipulieren.
?Mega ¨C The most trusted, best-protected Cloud Storage?, so bewirbt der neuseel?ndische Cloud-Service-Anbieter Mega seine Dienstleistungen. Wie viele Anbieter von Cloud-L?sungen verspricht auch Mega, dass nicht mal das Unternehmen selbst die gespeicherten Daten der Kunden einsehen oder ver?ndern kann. Dabei geht es nicht in erster Linie darum, ob die Kunden dem Anbieter vertrauen, sondern auch darum, dass grosse IT-Dienstleister mit Millionen von Kunden und Milliarden an gespeicherten Dateien, wie Mega, zwangsl?ufig ins Visier von Geheimdiensten, Regierungen oder Personen mit kriminellen Absichten geraten. ?Man kann bei keinem grossen Cloudanbieter ausschliessen, dass seine Systeme kompromittiert sind?, sagt Kenneth Paterson. ?Ausserdem kommt es auch immer wieder vor, dass Anbieter mit Regierungsorganisationen zusammenarbeiten.? Umso wichtiger ist es, dass einzig die Kunden ihre Cloud-Daten entschl¨¹sseln k?nnen.
Die ETH-Kryptografieexpert:innen Matilda Backendal, Miro Haller und Prof. Kenneth G. Paterson haben die Verschl¨¹sselung von Mega getestet und sind dabei auf gravierende Sicherheitsl¨¹cken gestossen. Diese erm?glichen es dem Anbieter ¨C oder Dritten, die sich Zugriff auf die Server von Mega verschaffen ¨C Kundendaten zu entschl¨¹sseln, zu ver?ndern oder gezielt Daten auf dem Speicher der Kunden zu platzieren.
Grundlegende Schwachstelle: Ein Schl¨¹ssel f¨¹r alles
Paterson und sein Team haben den Quellcode der Neuseel?ndischen Software analysiert und stiessen dabei auf mehrere kritische Sicherheitsl¨¹cken. Um die Effektivit?t der Angriffe zu testen, bauten sie die Plattform der Neuseel?nder teilweise nach und versuchten, die pers?nlichen Konten der Forschenden anzugreifen.
Wenn ein User auf sein Mega-Konto zugreift, kann durch eine Manipulation der Sitzungs-ID der private RSA-Schl¨¹ssel des Users innerhalb von maximal 512 Login-Vorg?ngen gestohlen werden. Dieser Schl¨¹ssel wird zum Austauschen von Daten benutzt. Durch eine zus?tzliche Manipulation der Mega-Software auf dem Computer des Opfers, kann das betroffene Benutzerkonto dazu gebracht werden, sich automatisch immer wieder einzuloggen. Damit wird die Dauer bis zur vollst?ndigen Offenlegung des Schl¨¹ssels auf wenige Minuten verk¨¹rzt.
Da unter anderem die Schl¨¹ssel f¨¹r die Dateiverschl¨¹sslung auf dieselbe Weise gesch¨¹tzt werden, k?nnen die Angreifer:innen aufbauend auf dem Wissen aus der ersten Attacke auch s?mtliche weiteren Schl¨¹ssel offenlegen.
Daten stehlen, manipulieren oder selbst hochladen
Nun haben die Angreifer kompletten Zugriff auf die unverschl¨¹sselten Userdaten und k?nnen diese kopieren und manipulieren. Eine zus?tzliche Angriffsvariante erm?glicht es sogar, beliebige Daten in das Cloud-Laufwerk des Opfers hochzuladen. So k?nnen die T?ter das Opfer betr¨¹gen oder erpressen, indem kontroverses, illegales oder kompromittierendes Material in dessen Dateispeicher eingef¨¹gt wird. Das Opfer wiederum hat keine Chance, nachzuweisen, dass es das Material nicht selbst hochgeladen hat.
Die Forschenden der ETH haben die gefundenen Schwachstellen gegen¨¹ber Mega offengelegt. ?Zus?tzlich haben wir Mega einen dreistufigen Massnahmenplan vorgelegt, der aufzeigt, wie die Sicherheitsl¨¹cken behoben werden k?nnten?, so Paterson. In einer ersten Phase empfahl das Team eine Reihe von Sofortmassnahmen, welche die Benutzer vor den schwerwiegendsten Sicherheitsproblemen sch¨¹tzen. Die zweite Phase sieht umfangreichere ?nderungen vor, um Angriffe effizienter abzuwehren, ohne dass kostspielige ?nderungen wie die Neuverschl¨¹sselung von Daten vorgenommen werden m¨¹ssen. Die Dritte Phase umfasst langfristige Ziele f¨¹r die Neugestaltung der kryptografischen Architektur. ?Das Unternehmen hat jedoch andere Massnahmen ergriffen als diejenigen, die wir vorschlugen?, sagt Paterson. Sie verm?gen aber den ersten Angriff ¨C also denjenigen auf den RSA-Key ¨C zu verhindern.
externe SeiteDas Paper und Details zum Vorgehen finden Sie hier.