exposing the lack of privacy in file hos9ng services
play

Exposing the Lack of Privacy in File Hos9ng Services - PowerPoint PPT Presentation

May 11, 2023 •512 likes •876 views

Exposing the Lack of Privacy in File Hos9ng Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide BalzaroF Sharing is

  1. Exposing ¡the ¡Lack ¡of ¡Privacy ¡in ¡ File ¡Hos9ng ¡Services ¡ Nick ¡Nikiforakis ¡ Marco ¡Balduzzi ¡ Steven ¡Van ¡Acker ¡ Wouter ¡Joosen ¡ Davide ¡BalzaroF ¡

  2. Sharing ¡is ¡caring ¡ • Internet ¡expanding ¡ ¡ – More ¡users ¡ – More ¡Web ¡services ¡ – More ¡Web ¡technologies ¡ • Users ¡need ¡to ¡share ¡files ¡ – P2P ¡is ¡not ¡always ¡the ¡answer ¡ – Emails? ¡

  3. Func9onal ¡expansion ¡of ¡the ¡Web ¡ • 15 ¡years ¡ago: ¡ – sta9c ¡content ¡ – providing ¡informa9on ¡ – coarse-­‑grained ¡access ¡control ¡ • Today: ¡ – Web ¡2.0 ¡ – Service-­‑oriented ¡WWW ¡ – fine-­‑grained ¡access ¡

  4. Func9onal ¡expansion ¡of ¡the ¡Web ¡ • Web ¡services ¡ – Tradi9onal ¡“desktop” ¡soXware ¡is ¡now ¡available ¡ through ¡your ¡browser ¡ • Office ¡suite ¡ • Media ¡edi9ng ¡tools ¡ • Collabora9ng ¡tools ¡ • …. ¡ – At ¡its ¡extreme: ¡ChromeOS ¡

  5. The ¡Good ¡news ¡ • Good ¡news: ¡ – Broad ¡selec9on ¡of ¡services ¡with ¡a ¡wide ¡variety ¡of ¡ applica9ons ¡ – Accessible ¡through ¡the ¡Web ¡from ¡anywhere ¡ – No ¡soXware-­‑bloa9ng ¡for ¡users ¡ – More ¡free ¡soXware ¡due ¡to ¡a ¡different ¡way ¡of ¡ making ¡profit ¡

  6. Bad ¡news… ¡ • A ¡user’s ¡data ¡is ¡now ¡located ¡somewhere ¡else: ¡ – Privacy ¡ – Availability ¡ – Integrity ¡ • Sad ¡story: ¡ – 2009: ¡“personal ¡informa9on ¡stored ¡on ¡your ¡device-­‑-­‑ such ¡as ¡contacts, ¡calendar ¡entries, ¡to-­‑do ¡lists ¡or ¡ photos-­‑-­‑that ¡is ¡no ¡longer ¡on ¡your ¡Sidekick ¡almost ¡ certainly ¡has ¡been ¡lost ¡as ¡a ¡result ¡of ¡a ¡server ¡failure ¡at ¡ MicrosoX/Danger” ¡

  7. File ¡Hos9ng ¡Services ¡ • Cloud-­‑storage ¡for ¡the ¡masses ¡ • Share ¡files ¡with ¡other ¡users ¡ • Security ¡through ¡obscurity ¡access-­‑control ¡ • Sharing ¡personal ¡documents ¡as ¡well ¡as ¡pirated ¡ files ¡[1] ¡

  8. Lifecycle ¡of ¡a ¡file ¡ • Alice ¡decides ¡to ¡shares ¡some ¡digital ¡content ¡ (file) ¡through ¡a ¡FHS ¡ • FHS ¡received ¡the ¡file, ¡stores ¡it ¡on ¡its ¡Cloud ¡and ¡ generates ¡an ¡iden9fier ¡which ¡it: ¡ i. binds ¡with ¡the ¡uploaded ¡file ¡ ii. returns ¡to ¡the ¡user ¡in ¡a ¡URI ¡form ¡ • URI ¡is ¡shared ¡depending ¡on ¡the ¡nature ¡of ¡the ¡ uploaded ¡file ¡

  9. File ¡Iden9fier ¡& ¡Privacy ¡ • The ¡file ¡ID ¡is ¡used ¡to ¡enforce ¡access-­‑control ¡in ¡ a ¡security-­‑through-­‑obscurity ¡way ¡ – ID ¡== ¡access ¡to ¡file ¡ • FHS ¡are ¡typically ¡not-­‑searchable ¡ – ID ¡acts ¡as ¡a ¡shared ¡secret ¡between ¡a ¡FHS ¡and ¡each ¡ user’s ¡files ¡ – Non-­‑owners ¡should ¡not ¡be ¡able ¡to ¡“guess” ¡this ¡ secret ¡

  10. Top ¡100 ¡FHS ¡ • We ¡studied ¡the ¡top ¡100 ¡FHS ¡to ¡discover, ¡ among ¡others, ¡the ¡way ¡they ¡generate ¡unique ¡ “secret” ¡iden9fiers ¡ – Uploading ¡files, ¡recording ¡the ¡given ¡ID ¡and ¡ comparing ¡ • Removed ¡12 ¡that ¡had ¡search/browse ¡ capabili9es ¡

  11. Sequen9al ¡IDs ¡ • 34/88 ¡FHS ¡were ¡genera9ng ¡sequen9al ¡iden9fiers ¡ – numeric, ¡or ¡alphanumerical ¡ • 20/34 ¡did ¡not ¡append ¡any ¡other ¡non-­‑guessable ¡ informa9on ¡ – e.g. ¡filename ¡or ¡secondary ¡ID ¡ • E.g. ¡ – hnp://vulnerable.com/9996 ¡ – hnp://vulnerable.com/9997 ¡ – hnp://vulnerable.com/9998 ¡

  12. Scraping ¡file ¡informa9on ¡ • Given ¡a ¡link ¡a ¡user ¡must ¡follow ¡a ¡set ¡of ¡steps ¡ to ¡actually ¡download ¡a ¡file ¡ – Download ¡“foo.txt” ¡-­‑> ¡“Free ¡user” ¡-­‑> ¡Wait ¡n ¡ seconds ¡-­‑> ¡“Download ¡“foo.txt” ¡ • Advantageous ¡for ¡an ¡anacker ¡ – Visit ¡first ¡page, ¡scrape ¡filename ¡and ¡file-­‑size ¡ – Download ¡only ¡the ¡files ¡of ¡interest ¡

  13. Crawling ¡20 ¡FHS ¡ • Designed ¡a ¡crawler ¡for ¡the ¡20 ¡sequen9al ¡FHS ¡ • Run ¡for ¡30 ¡days ¡ – Random ¡delays ¡to ¡avoid ¡DoS ¡and ¡blacklis9ng ¡ – Scraping ¡only ¡the ¡filenames ¡and ¡sizes ¡(privacy) ¡ • Results: ¡ – > ¡310,000 ¡file ¡records ¡

  14. Finding ¡private ¡files… ¡ • Depending ¡on ¡the ¡nature ¡of ¡a ¡file, ¡it ¡will ¡be ¡ shared ¡in ¡different ¡ways ¡ • Exploit ¡the ¡ubiquity ¡of ¡search-­‑engine ¡crawlers ¡ to ¡characterize ¡a ¡file ¡as ¡private ¡or ¡public. ¡ • Given ¡a ¡filename ¡ – 0 ¡search ¡results ¡-­‑> ¡Private ¡

  15. Private ¡Files ¡Results ¡ • Using ¡Bing: ¡ – 54.16% ¡of ¡files ¡returned ¡0 ¡search ¡results ¡ – Rough ¡approxima9on ¡of ¡private ¡files ¡due ¡to ¡close ¡ pirate ¡communi9es ¡ Filetype ¡ #Private ¡documents ¡ Images ¡(JPG,GIF,BMP) ¡ 27,711 ¡ Archives ¡(ZIP) ¡ 13,354 ¡ Portable ¡Document ¡Format ¡ 7,137 ¡ MS ¡Office ¡Word ¡ 3,686 ¡ MS ¡Office ¡Excel ¡Sheets ¡ 1,182 ¡ MS ¡Office ¡PowerPoint ¡ 967 ¡

  16. Back ¡to ¡the ¡top ¡100 ¡ • 54 ¡FHSs ¡adopt ¡non-­‑sequen9al ¡iden9fiers ¡ • len(ID) ¡

  17. Back ¡to ¡the ¡top ¡100 ¡ • 54 ¡FHSs ¡adopt ¡non-­‑sequen9al ¡iden9fiers ¡ • len(C_SET) ¡

  18. Random ¡but ¡short ¡ • Brute-­‑force ¡short ¡random ¡iden9fiers ¡ Length ¡ Charset ¡ #Tries ¡ #Files ¡Found ¡ 6 ¡ Numeric ¡ 617,169 ¡ 728 ¡ 6 ¡ Alphanumeric ¡ 526,650 ¡ 586 ¡ 8 ¡ Numeric ¡ 920,631 ¡ 332 ¡

  19. Design ¡& ¡Implementa9on ¡errors ¡ • Security ¡audit ¡of ¡a ¡popular ¡FHS ¡soXware ¡ product ¡ – Used ¡in ¡13% ¡of ¡FHSs ¡ – Directory ¡traversal ¡vulnerability ¡ – De-­‑randomiza9on ¡anack ¡for ¡dele9on ¡code ¡ • Report-­‑link ¡contained ¡the ¡first ¡10 ¡characters ¡of ¡the ¡14-­‑ charater ¡delete ¡code ¡ – 16^14 ¡-­‑> ¡16^4 ¡combina9ons ¡

  20. Status… ¡ • File ¡hos9ng ¡services ¡are ¡vulnerable ¡ – Sequen9al ¡iden9fiers ¡ – Weak ¡non-­‑sequen9al ¡iden9fiers ¡ – Bugs ¡in ¡their ¡source ¡code ¡ • Do ¡anackers ¡know ¡about ¡this? ¡ – How ¡do ¡we ¡found ¡out? ¡

  21. HoneyFiles ¡ • HoneyPot ¡for ¡FHS ¡anackers ¡ – Decoy ¡files ¡promising ¡valuable ¡content ¡ – Each ¡file ¡“called-­‑home” ¡when ¡opened ¡ • <img/> ¡in ¡HTML ¡files ¡ • embedded ¡HTML ¡in ¡doc ¡files ¡ • TCP ¡socket ¡in ¡executables ¡ • Anempt ¡to ¡open ¡page ¡in ¡pdf ¡files ¡

  22. Carding ¡forum ¡ • card3rz.co.cc ¡ – fake ¡underground ¡carding ¡community ¡ – One ¡of ¡the ¡decoy ¡files ¡contained ¡valid ¡creden9als ¡ for ¡the ¡forum ¡ • Reasons: ¡ i. Hide ¡our ¡monitors ¡ ii. Do ¡anackers ¡use ¡data ¡that ¡they ¡find ¡in ¡illegally ¡ obtained ¡files? ¡

  23. NOW ¡

  24. HoneyFiles ¡results ¡ • Monitoring ¡sequen9al ¡FHSs ¡for ¡30 ¡days: ¡ – 275 ¡honeyfile ¡accesses ¡ – more ¡than ¡80 ¡unique ¡IP ¡addresses ¡ – 7 ¡different ¡sequen9al ¡FHSs ¡ • 1 ¡had ¡a ¡catalogue ¡func9onality ¡ • 2 ¡had ¡a ¡search ¡func9onality ¡ • 4 ¡had ¡neither ¡ – Accesses ¡from ¡all ¡around ¡the ¡world ¡

  25. Geo-­‑loca9on ¡

  26. HoneyFiles ¡results ¡ • Download ¡ra9o ¡of ¡each ¡file: ¡ Claimed ¡content ¡ Download ¡ra?o ¡ Creden9als ¡to ¡PayPal ¡accounts ¡ 40.36% ¡ Creden9als ¡for ¡card3rz.co.cc ¡ 21.81% ¡ PayPal ¡account ¡ ¡Generator ¡ ¡ 17.45% ¡ Leaked ¡customer ¡list ¡ 9.09% ¡ Sniffed ¡email ¡ 6.81% ¡ List ¡of ¡emails ¡for ¡spamming ¡purposes ¡ 5.09% ¡

Recommend

File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide

File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide

Exposing the Lack of Privacy in File Hosting Services Nick Nikiforakis Marco Balduzzi Steven Van Acker Wouter Joosen Davide Balzarotti LEET 2011 Sharing is caring Internet expanding More users More Web services More Web

784 views • 30 slides
AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to

AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to

AppProfiler: A Flexible Method of Exposing Privacy-Related Behavior in Android Applications to End Users Sanae Rosen 1 Zhiyun Qian 2 Z. Morley Mao 1 1 University of Michigan Ann Arbor, MI 2 NEC Labs coe-cse-vert Motivation Implementation

384 views • 37 slides
EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp;

EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp;

EXPOSING EXPOSING A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE A FLEXIBLE, COMPOSABLE &amp; EXTENSIBLE REST API REST API Thierry Delprat td@nuxeo.com https://github.com/tiry/ AGENDA AGENDA Quick introduction provide some context API design

1.37k views • 75 slides
Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in

Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in

Schnorr Signature &amp; MimbleWimble Oct. 5, 2019 Overview of today Lack of Privacy in Bitcoin MimbleWimble cryptocurrency ECC math Schnorrs signatures scheme Pedersen Commitments Motivation Bitcoin is decentralized

430 views • 40 slides
Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith

Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith

Privacy Culture Universities &amp; Colleges Anna Tersigni Phelan, Chief Privacy/Risk/HIM Meredith Gardiner, Director of Services, Regional Brooke Young, Manager, Police Services and Mental Health &amp; Justice 1 Agenda Privacy and Mental

844 views • 50 slides
Week 10: File Management What is a file? Elements of file management File

Week 10: File Management What is a file? Elements of file management File

CPSC 410 / 611 : Operating Systems Week 10: File Management What is a file? Elements of file management File organization Directories File allocation UNIX file system Reading: Silberschatz, Chapter 10, 11

498 views • 13 slides
SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca

SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca

SKI: Exposing Kernel Concurrency Bugs through Systematic Schedule Exploration Pedro Fonseca (MPI-SWS) Rodrigo Rodrigues Bjrn Brandenburg (MPI-SWS) (NOVA University of Lisbon) OSDI 2014 SKI: Exposing Kernel Concurrency Bugs

840 views • 67 slides
What if... There is no file with the name given to the File constructor: new File

What if... There is no file with the name given to the File constructor: new File

What if... There is no file with the name given to the File constructor: new File (IDontExist.txt); Throws FileNotFoundException 1 Handling Exceptions Call that throws the exception try { File f = new File (file.txt);

804 views • 8 slides
File Management What is a file? Elements of file management File organization

File Management What is a file? Elements of file management File organization

CPSC 410 / 611 : Operating Systems File Management File Management What is a file? Elements of file management File organization Directories File allocation What is a File? A file is a collection of data elements, grouped

817 views • 38 slides
CPSC 410/611: File Management What is a file? Elements of file management File

CPSC 410/611: File Management What is a file? Elements of file management File

CPSC 410 / 611 : Operating Systems CPSC 410/611: File Management What is a file? Elements of file management File organization Directories File allocation UNIX file system Reading: Silberschatz, Chapter 10, 11

186 views • 14 slides
Cloud-Based File Synchronization Services Exploding in popularity Numerous providers:

Cloud-Based File Synchronization Services Exploding in popularity Numerous providers:

*-Box (star-box) Towards Reliability and Consistency in Dropbox-like File Synchronization Services Yupu Zhang , Chris Dragga, Andrea Arpaci-Dusseau, Remzi Arpaci-Dusseau University of Wisconsin - Madison 6/27/2013 1 Cloud-Based File

882 views • 31 slides
Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from

Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from

Privacy as a Service Raymond Cheng Build practical cloud services that protect user privacy from powerful threats 2 3 Powerful Threats to User Privacy Organized Crime Nation-State Actors 4 Powerful Threats to User Privacy Gather

1.56k views • 104 slides
Secure file transmission of PHI, RHI and sensitive information Background File Transfer

Secure file transmission of PHI, RHI and sensitive information Background File Transfer

Secure file transmission of PHI, RHI and sensitive information Background File Transfer Application (FTA) Web Application Use Outlook Plug In Use Workspace Use 2 Information Privacy &amp; Security Executive Committee

318 views • 20 slides
$ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that

$ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that

Presentation Slides $ Lesson Ten Consumer Privacy 04/09 privacy and information information privacy: privacy that involves the rights of individuals in relation to information about them that is circulating in society. why privacy is an

318 views • 13 slides
Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell

Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell

Project Roslyn Exposing the C# and Visual Basic compilers code analysis Dustin Campbell Senior Program Manager Microsoft Project Codename Roslyn Scope Managed compilers &amp; language services Code analysis APIs

338 views • 14 slides
Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in

Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in

Privacy Protection privacy notions and metrics; privacy in RFID systems; location privacy in vehicular networks; Security and Cooperation in Wireless Networks Georg-August University Gttingen Chapter outline 1 Important privacy related

1.12k views • 33 slides
Introduction to Cybersecurity Database Privacy Review: Anonymity vs. Privacy Privacy -

Introduction to Cybersecurity Database Privacy Review: Anonymity vs. Privacy Privacy -

CISPA Center for IT Security, Privacy and Accountabiltiy Introduction to Cybersecurity Database Privacy Review: Anonymity vs. Privacy Privacy - Privacy is the claim of individuals, groups, or institutions to determine for themselves when,

573 views • 26 slides
$ Lesson Fourteen Consumer Privacy 04/09 privacy and information information privacy: privacy

$ Lesson Fourteen Consumer Privacy 04/09 privacy and information information privacy: privacy

Presentation Slides $ Lesson Fourteen Consumer Privacy 04/09 privacy and information information privacy: privacy that involves the rights of individuals in relation to information about them that is circulating in society. why privacy is an

429 views • 13 slides
CS305 Topic Privacy Concept Evolution Rights to Privacy Privacy and Technologies

CS305 Topic Privacy Concept Evolution Rights to Privacy Privacy and Technologies

CS305 Topic Privacy Concept Evolution Rights to Privacy Privacy and Technologies US Privacy Laws Sources: Baase: A Gift of Fire and Quinn: Ethics for the Information Age Ethics Spring 2010 Privacy 1 Privacy The original

725 views • 45 slides
MetaSync File Synchronization Across Multiple Untrusted Storage Services Seungyeop Han, Haichen

MetaSync File Synchronization Across Multiple Untrusted Storage Services Seungyeop Han, Haichen

MetaSync File Synchronization Across Multiple Untrusted Storage Services Seungyeop Han, Haichen Shen, Taesoo Kim*, Arvind Krishnamurthy, Thomas Anderson, and David Wetherall University of Washington *Georgia Institute of Technology 1 File

704 views • 42 slides
liberate, (n): A library for exposing (tra ffi c-classification) rules and avoiding them e ffi

liberate, (n): A library for exposing (tra ffi c-classification) rules and avoiding them e ffi

liberate, (n): A library for exposing (tra ffi c-classification) rules and avoiding them e ffi ciently Fangfan Li , Abbas Razaghpanah, Arash Molavi Kakhki, Arian Akhavan Niaki, David Cho ff nes, Phillipa Gill, Alan Mislove 1 Traffic management 2

1.54k views • 115 slides
Network File System - NFS NFS Specification NFS is a distributed file system (DFS) originally

Network File System - NFS NFS Specification NFS is a distributed file system (DFS) originally

Network File System - NFS NFS Specification NFS is a distributed file system (DFS) originally The NFS specification distinguishes between the implemented by Sun Microsystems. services provided by the mount mechanism and the remote file

105 views • 9 slides
Integrating OpenID with proxy re-encryption to enhance privacy in cloud-based identity services

Integrating OpenID with proxy re-encryption to enhance privacy in cloud-based identity services

Outline Introduction Support technologies Privacy-preserving IDaaS system Conclusions Integrating OpenID with proxy re-encryption to enhance privacy in cloud-based identity services David Nu nez , Isaac Agudo, and Javier Lopez Network,

422 views • 24 slides
Database Privacy Review: Anonymity vs. Privacy Privacy - Privacy is the claim of individuals,

Database Privacy Review: Anonymity vs. Privacy Privacy - Privacy is the claim of individuals,

Introduction to Cybersecurity Database Privacy Review: Anonymity vs. Privacy Privacy - Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is

1.01k views • 76 slides

More recommend