exposing the lack of privacy in file hos9ng services
play

Exposing the Lack of Privacy in File Hos9ng Services - PowerPoint PPT Presentation

May 11, 2023 •512 likes •876 views

Exposing the Lack of Privacy in File Hos9ng Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide BalzaroF Sharing is

  1. Exposing ¡the ¡Lack ¡of ¡Privacy ¡in ¡ File ¡Hos9ng ¡Services ¡ Nick ¡Nikiforakis ¡ Marco ¡Balduzzi ¡ Steven ¡Van ¡Acker ¡ Wouter ¡Joosen ¡ Davide ¡BalzaroF ¡

  2. Sharing ¡is ¡caring ¡ • Internet ¡expanding ¡ ¡ – More ¡users ¡ – More ¡Web ¡services ¡ – More ¡Web ¡technologies ¡ • Users ¡need ¡to ¡share ¡files ¡ – P2P ¡is ¡not ¡always ¡the ¡answer ¡ – Emails? ¡

  3. Func9onal ¡expansion ¡of ¡the ¡Web ¡ • 15 ¡years ¡ago: ¡ – sta9c ¡content ¡ – providing ¡informa9on ¡ – coarse-­‑grained ¡access ¡control ¡ • Today: ¡ – Web ¡2.0 ¡ – Service-­‑oriented ¡WWW ¡ – fine-­‑grained ¡access ¡

  4. Func9onal ¡expansion ¡of ¡the ¡Web ¡ • Web ¡services ¡ – Tradi9onal ¡“desktop” ¡soXware ¡is ¡now ¡available ¡ through ¡your ¡browser ¡ • Office ¡suite ¡ • Media ¡edi9ng ¡tools ¡ • Collabora9ng ¡tools ¡ • …. ¡ – At ¡its ¡extreme: ¡ChromeOS ¡

  5. The ¡Good ¡news ¡ • Good ¡news: ¡ – Broad ¡selec9on ¡of ¡services ¡with ¡a ¡wide ¡variety ¡of ¡ applica9ons ¡ – Accessible ¡through ¡the ¡Web ¡from ¡anywhere ¡ – No ¡soXware-­‑bloa9ng ¡for ¡users ¡ – More ¡free ¡soXware ¡due ¡to ¡a ¡different ¡way ¡of ¡ making ¡profit ¡

  6. Bad ¡news… ¡ • A ¡user’s ¡data ¡is ¡now ¡located ¡somewhere ¡else: ¡ – Privacy ¡ – Availability ¡ – Integrity ¡ • Sad ¡story: ¡ – 2009: ¡“personal ¡informa9on ¡stored ¡on ¡your ¡device-­‑-­‑ such ¡as ¡contacts, ¡calendar ¡entries, ¡to-­‑do ¡lists ¡or ¡ photos-­‑-­‑that ¡is ¡no ¡longer ¡on ¡your ¡Sidekick ¡almost ¡ certainly ¡has ¡been ¡lost ¡as ¡a ¡result ¡of ¡a ¡server ¡failure ¡at ¡ MicrosoX/Danger” ¡

  7. File ¡Hos9ng ¡Services ¡ • Cloud-­‑storage ¡for ¡the ¡masses ¡ • Share ¡files ¡with ¡other ¡users ¡ • Security ¡through ¡obscurity ¡access-­‑control ¡ • Sharing ¡personal ¡documents ¡as ¡well ¡as ¡pirated ¡ files ¡[1] ¡

  8. Lifecycle ¡of ¡a ¡file ¡ • Alice ¡decides ¡to ¡shares ¡some ¡digital ¡content ¡ (file) ¡through ¡a ¡FHS ¡ • FHS ¡received ¡the ¡file, ¡stores ¡it ¡on ¡its ¡Cloud ¡and ¡ generates ¡an ¡iden9fier ¡which ¡it: ¡ i. binds ¡with ¡the ¡uploaded ¡file ¡ ii. returns ¡to ¡the ¡user ¡in ¡a ¡URI ¡form ¡ • URI ¡is ¡shared ¡depending ¡on ¡the ¡nature ¡of ¡the ¡ uploaded ¡file ¡

  9. File ¡Iden9fier ¡& ¡Privacy ¡ • The ¡file ¡ID ¡is ¡used ¡to ¡enforce ¡access-­‑control ¡in ¡ a ¡security-­‑through-­‑obscurity ¡way ¡ – ID ¡== ¡access ¡to ¡file ¡ • FHS ¡are ¡typically ¡not-­‑searchable ¡ – ID ¡acts ¡as ¡a ¡shared ¡secret ¡between ¡a ¡FHS ¡and ¡each ¡ user’s ¡files ¡ – Non-­‑owners ¡should ¡not ¡be ¡able ¡to ¡“guess” ¡this ¡ secret ¡

  10. Top ¡100 ¡FHS ¡ • We ¡studied ¡the ¡top ¡100 ¡FHS ¡to ¡discover, ¡ among ¡others, ¡the ¡way ¡they ¡generate ¡unique ¡ “secret” ¡iden9fiers ¡ – Uploading ¡files, ¡recording ¡the ¡given ¡ID ¡and ¡ comparing ¡ • Removed ¡12 ¡that ¡had ¡search/browse ¡ capabili9es ¡

  11. Sequen9al ¡IDs ¡ • 34/88 ¡FHS ¡were ¡genera9ng ¡sequen9al ¡iden9fiers ¡ – numeric, ¡or ¡alphanumerical ¡ • 20/34 ¡did ¡not ¡append ¡any ¡other ¡non-­‑guessable ¡ informa9on ¡ – e.g. ¡filename ¡or ¡secondary ¡ID ¡ • E.g. ¡ – hnp://vulnerable.com/9996 ¡ – hnp://vulnerable.com/9997 ¡ – hnp://vulnerable.com/9998 ¡

  12. Scraping ¡file ¡informa9on ¡ • Given ¡a ¡link ¡a ¡user ¡must ¡follow ¡a ¡set ¡of ¡steps ¡ to ¡actually ¡download ¡a ¡file ¡ – Download ¡“foo.txt” ¡-­‑> ¡“Free ¡user” ¡-­‑> ¡Wait ¡n ¡ seconds ¡-­‑> ¡“Download ¡“foo.txt” ¡ • Advantageous ¡for ¡an ¡anacker ¡ – Visit ¡first ¡page, ¡scrape ¡filename ¡and ¡file-­‑size ¡ – Download ¡only ¡the ¡files ¡of ¡interest ¡

  13. Crawling ¡20 ¡FHS ¡ • Designed ¡a ¡crawler ¡for ¡the ¡20 ¡sequen9al ¡FHS ¡ • Run ¡for ¡30 ¡days ¡ – Random ¡delays ¡to ¡avoid ¡DoS ¡and ¡blacklis9ng ¡ – Scraping ¡only ¡the ¡filenames ¡and ¡sizes ¡(privacy) ¡ • Results: ¡ – > ¡310,000 ¡file ¡records ¡

  14. Finding ¡private ¡files… ¡ • Depending ¡on ¡the ¡nature ¡of ¡a ¡file, ¡it ¡will ¡be ¡ shared ¡in ¡different ¡ways ¡ • Exploit ¡the ¡ubiquity ¡of ¡search-­‑engine ¡crawlers ¡ to ¡characterize ¡a ¡file ¡as ¡private ¡or ¡public. ¡ • Given ¡a ¡filename ¡ – 0 ¡search ¡results ¡-­‑> ¡Private ¡

  15. Private ¡Files ¡Results ¡ • Using ¡Bing: ¡ – 54.16% ¡of ¡files ¡returned ¡0 ¡search ¡results ¡ – Rough ¡approxima9on ¡of ¡private ¡files ¡due ¡to ¡close ¡ pirate ¡communi9es ¡ Filetype ¡ #Private ¡documents ¡ Images ¡(JPG,GIF,BMP) ¡ 27,711 ¡ Archives ¡(ZIP) ¡ 13,354 ¡ Portable ¡Document ¡Format ¡ 7,137 ¡ MS ¡Office ¡Word ¡ 3,686 ¡ MS ¡Office ¡Excel ¡Sheets ¡ 1,182 ¡ MS ¡Office ¡PowerPoint ¡ 967 ¡

  16. Back ¡to ¡the ¡top ¡100 ¡ • 54 ¡FHSs ¡adopt ¡non-­‑sequen9al ¡iden9fiers ¡ • len(ID) ¡

  17. Back ¡to ¡the ¡top ¡100 ¡ • 54 ¡FHSs ¡adopt ¡non-­‑sequen9al ¡iden9fiers ¡ • len(C_SET) ¡

  18. Random ¡but ¡short ¡ • Brute-­‑force ¡short ¡random ¡iden9fiers ¡ Length ¡ Charset ¡ #Tries ¡ #Files ¡Found ¡ 6 ¡ Numeric ¡ 617,169 ¡ 728 ¡ 6 ¡ Alphanumeric ¡ 526,650 ¡ 586 ¡ 8 ¡ Numeric ¡ 920,631 ¡ 332 ¡

  19. Design ¡& ¡Implementa9on ¡errors ¡ • Security ¡audit ¡of ¡a ¡popular ¡FHS ¡soXware ¡ product ¡ – Used ¡in ¡13% ¡of ¡FHSs ¡ – Directory ¡traversal ¡vulnerability ¡ – De-­‑randomiza9on ¡anack ¡for ¡dele9on ¡code ¡ • Report-­‑link ¡contained ¡the ¡first ¡10 ¡characters ¡of ¡the ¡14-­‑ charater ¡delete ¡code ¡ – 16^14 ¡-­‑> ¡16^4 ¡combina9ons ¡

  20. Status… ¡ • File ¡hos9ng ¡services ¡are ¡vulnerable ¡ – Sequen9al ¡iden9fiers ¡ – Weak ¡non-­‑sequen9al ¡iden9fiers ¡ – Bugs ¡in ¡their ¡source ¡code ¡ • Do ¡anackers ¡know ¡about ¡this? ¡ – How ¡do ¡we ¡found ¡out? ¡

  21. HoneyFiles ¡ • HoneyPot ¡for ¡FHS ¡anackers ¡ – Decoy ¡files ¡promising ¡valuable ¡content ¡ – Each ¡file ¡“called-­‑home” ¡when ¡opened ¡ • <img/> ¡in ¡HTML ¡files ¡ • embedded ¡HTML ¡in ¡doc ¡files ¡ • TCP ¡socket ¡in ¡executables ¡ • Anempt ¡to ¡open ¡page ¡in ¡pdf ¡files ¡

  22. Carding ¡forum ¡ • card3rz.co.cc ¡ – fake ¡underground ¡carding ¡community ¡ – One ¡of ¡the ¡decoy ¡files ¡contained ¡valid ¡creden9als ¡ for ¡the ¡forum ¡ • Reasons: ¡ i. Hide ¡our ¡monitors ¡ ii. Do ¡anackers ¡use ¡data ¡that ¡they ¡find ¡in ¡illegally ¡ obtained ¡files? ¡

  23. NOW ¡

  24. HoneyFiles ¡results ¡ • Monitoring ¡sequen9al ¡FHSs ¡for ¡30 ¡days: ¡ – 275 ¡honeyfile ¡accesses ¡ – more ¡than ¡80 ¡unique ¡IP ¡addresses ¡ – 7 ¡different ¡sequen9al ¡FHSs ¡ • 1 ¡had ¡a ¡catalogue ¡func9onality ¡ • 2 ¡had ¡a ¡search ¡func9onality ¡ • 4 ¡had ¡neither ¡ – Accesses ¡from ¡all ¡around ¡the ¡world ¡

  25. Geo-­‑loca9on ¡

  26. HoneyFiles ¡results ¡ • Download ¡ra9o ¡of ¡each ¡file: ¡ Claimed ¡content ¡ Download ¡ra?o ¡ Creden9als ¡to ¡PayPal ¡accounts ¡ 40.36% ¡ Creden9als ¡for ¡card3rz.co.cc ¡ 21.81% ¡ PayPal ¡account ¡ ¡Generator ¡ ¡ 17.45% ¡ Leaked ¡customer ¡list ¡ 9.09% ¡ Sniffed ¡email ¡ 6.81% ¡ List ¡of ¡emails ¡for ¡spamming ¡purposes ¡ 5.09% ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide

File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide

Exposing the Lack of Privacy in File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide Balzarotti LEET 2011 Sharing is caring Internet expanding More users More Web services More Web

784 views • 30 slides
AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to

AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to

AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to End Users Sanae Rosen 1 Zhiyun Qian 2 Z. Morley Mao 1 1 University of Michigan Ann Arbor, MI 2 NEC Labs coe-cse-vert Motivation Implementation

384 views • 37 slides
EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp;

EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp;

EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE REST API REST API Thierry Delprat td@nuxeo.com https://github.com/tiry/ AGENDA AGENDA Quick introduction provide some context API design

1.37k views • 75 slides
Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in

Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in

Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in Bitcoin MimbleWimble cryptocurrency ECC math Schnorrs signatures scheme Pedersen Commitments Motivation Bitcoin is decentralized

430 views • 40 slides
Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith

Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith

Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith Gardiner, Director of Services, Regional Brooke Young, Manager, Police Services and Mental Health &amp; Justice 1 Agenda Privacy and Mental

844 views • 50 slides
Week 10: File Management What is a file? Elements of file management File

Week 10: File Management What is a file? Elements of file management File

CPSC 410 / 611 : Operating Systems Week 10: File Management What is a file? Elements of file management File organization Directories File allocation UNIX file system Reading: Silberschatz, Chapter 10, 11

498 views • 13 slides
SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca

SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca

SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca (MPI-SWS) Rodrigo Rodrigues Bjrn Brandenburg (MPI-SWS) (NOVA University of Lisbon) OSDI 2014 SKI: Exposing Kernel Concurrency Bugs

840 views • 67 slides
What if... There is no file with the name given to the File constructor: new File

What if... There is no file with the name given to the File constructor: new File

What if... There is no file with the name given to the File constructor: new File (IDontExist.txt); Throws FileNotFoundException 1 Handling Exceptions Call that throws the exception try { File f = new File (file.txt);

804 views • 8 slides
File Management What is a file? Elements of file management File organization

File Management What is a file? Elements of file management File organization

CPSC 410 / 611 : Operating Systems File Management File Management What is a file? Elements of file management File organization Directories File allocation What is a File? A file is a collection of data elements, grouped

817 views • 38 slides
CPSC 410/611: File Management What is a file? Elements of file management File

CPSC 410/611: File Management What is a file? Elements of file management File

CPSC 410 / 611 : Operating Systems CPSC 410/611: File Management What is a file? Elements of file management File organization Directories File allocation UNIX file system Reading: Silberschatz, Chapter 10, 11

186 views • 14 slides
Cloud-Based File Synchronization Services Exploding in popularity Numerous providers:

Cloud-Based File Synchronization Services Exploding in popularity Numerous providers:

*-Box (star-box) Towards Reliability and Consistency in Dropbox-like File Synchronization Services Yupu Zhang , Chris Dragga, Andrea Arpaci-Dusseau, Remzi Arpaci-Dusseau University of Wisconsin - Madison 6/27/2013 1 Cloud-Based File

882 views • 31 slides
Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from

Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from

Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from powerful threats 2 3 Powerful Threats to User Privacy Organized Crime Nation-State Actors 4 Powerful Threats to User Privacy Gather

1.56k views • 104 slides
Secure file transmission of PHI, RHI and sensitive information Background File Transfer

Secure file transmission of PHI, RHI and sensitive information Background File Transfer

Secure file transmission of PHI, RHI and sensitive information Background File Transfer Application (FTA) Web Application Use Outlook Plug In Use Workspace Use 2 Information Privacy &amp; Security Executive Committee

318 views • 20 slides
$ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that

$ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that

Presentation Slides $ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that involves the rights of individuals in relation to information about them that is circulating in society. why privacy is an

318 views • 13 slides
Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell

Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell

Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell Senior Program Manager Microsoft Project Codename Roslyn Scope Managed compilers &amp; language services Code analysis APIs

338 views • 14 slides
Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in

Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in

Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in vehicular networks; Security and Cooperation in Wireless Networks Georg-August University Gttingen Chapter outline 1 Important privacy related

1.12k views • 33 slides
... and other open source software April 17, 2019 Data Council San Francisco, CA Greg

... and other open source software April 17, 2019 Data Council San Francisco, CA Greg

Running Apache Airflow reliably with Kubernetes ... and other open source software April 17, 2019 Data Council San Francisco, CA Greg Neiheisel, CTO On Deck Quick Airflow / Kubernetes overview Running Airflow at Scale Major

475 views • 47 slides
Data Collection Duen Horng (Polo) Chau Assistant Professor Associate Director, MS Analytics

Data Collection Duen Horng (Polo) Chau Assistant Professor Associate Director, MS Analytics

http://poloclub.gatech.edu/cse6242 CSE6242 / CX4242: Data &amp; Visual Analytics Data Collection Duen Horng (Polo) Chau Assistant Professor Associate Director, MS Analytics Georgia Tech Partly based on materials by

331 views • 12 slides
Using Prometheus with InfluxDB for metrics storage Roman Vynar Senior Site Reliability Engineer,

Using Prometheus with InfluxDB for metrics storage Roman Vynar Senior Site Reliability Engineer,

Using Prometheus with InfluxDB for metrics storage Roman Vynar Senior Site Reliability Engineer, Quiq September 26, 2017 About Quiq Quiq is a messaging platform for customer service. https://goquiq.com We monitor all our infrastructure with 1

620 views • 38 slides
Efficient Literature Searches using Python Blair Bilodeau May 30, 2020 University of Toronto

Efficient Literature Searches using Python Blair Bilodeau May 30, 2020 University of Toronto

Efficient Literature Searches using Python Blair Bilodeau May 30, 2020 University of Toronto &amp; Vector Institute Workshop Motivation - Me trying to read all the new papers posted on arXiv Workshop Goals Workshop Goals Discuss the goal

628 views • 58 slides
An Introduction to Prometheus Brian Brazil Founder Who am I? Engineer passionate about running

An Introduction to Prometheus Brian Brazil Founder Who am I? Engineer passionate about running

An Introduction to Prometheus Brian Brazil Founder Who am I? Engineer passionate about running software reliably in production. Core developer of Prometheus Studied Computer Science in Trinity College Dublin. Google SRE for 7 years, working

431 views • 42 slides
READING DATA FROM THE WEB Jeff Goldsmith, PhD Department of Biostatistics 1 Two major paths

READING DATA FROM THE WEB Jeff Goldsmith, PhD Department of Biostatistics 1 Two major paths

READING DATA FROM THE WEB Jeff Goldsmith, PhD Department of Biostatistics 1 Two major paths Theres data included as content on a webpage, and you want to scrape those data Table from Wikipedia Reviews from Amazon

154 views • 12 slides
Power-law revisited: A large scale measurement study of P2P content popularity Gyrgy Dn

Power-law revisited: A large scale measurement study of P2P content popularity Gyrgy Dn

Power-law revisited: A large scale measurement study of P2P content popularity Gyrgy Dn Niklas Carlsson School of Electrical Engineering Department of Computer Science KTH, Royal Institute of Technology University of Calgary Stockholm,

453 views • 18 slides
video demo End-User Web Scraping: Google Scholar Edition Sarah Chasins data scraping tool

video demo End-User Web Scraping: Google Scholar Edition Sarah Chasins data scraping tool

video demo End-User Web Scraping: Google Scholar Edition Sarah Chasins data scraping tool input demonstration of how to collect the first row of a relational dataset F r o m h i g h l y s t r u c t u r e d w e b p a

837 views • 63 slides

More recommend