¿Se pueden robar las URL de la carpeta de Dropbox?

2

Uno puede compartir carpetas con Dropbox enviando una URL con un hash.

Un artículo reciente informó que Se accedió a los archivos de los usuarios generando URL de abreviaturas de URL comunes.

Estas URL suelen ser mucho más cortas que el hash url generado por Dropbox.

Si no protege la URL con una contraseña, existe una posibilidad distinta de cero de que se pueda acceder mediante un ataque aleatorio de fuerza bruta en Dropbox.

¿Sería estadísticamente posible que alguien / botnet genere aleatoriamente las URL y encuentre cualquier contenido (no necesariamente el mío)? ¿O hay demasiadas posibilidades disponibles?

EDITAR: El artículo de noticias vinculado anteriormente hace referencia a blog post , que a su vez hace referencia al documento académico .

    
pregunta opticyclic 18.04.2016 - 23:31
fuente

2 respuestas

3

¿Puedes usar la fuerza bruta en la URL de Dropbox? Bueno, sí, también puedes usar el archivo cifrado AES256 de fuerza bruta. Creo que lo que realmente estás preguntando es, ¿tendrías éxito?

Es bastante improbable. Actualmente, la URL compartida de Dropbox tiene 11 caracteres y consiste en alfabetos y números en minúsculas (36 caracteres posibles). Esto da un espacio de claves de 36**11 ≈ 1.31621704 × 10^17 de claves posibles o ln(36**11) / ln(2) ≈ 56.869175 bits .

Ahora esto se reduce a un problema matemático: supongamos que hay m claves ocupadas en un espacio clave de 36 ** 11, si un atacante envía n conjeturas, ¿cuál es la probabilidad de que al menos una de las conjeturas coincida con una ocupada? llave.

¿Cuántos archivos hay en Dropbox que tienen una URL compartida? No creo que Dropbox haya publicado estos datos, así que voy a hacer una conjetura. Digamos que hay 1 mil millones de archivos con una URL compartida.

Si el atacante hace una única suposición, tiene una probabilidad 1000000000/36**11 = 7.59753119 × 10**-9 = de adivinar una clave en una suposición.

Supongamos que todo el equipo de respuesta de seguridad de Dropbox está de vacaciones y el atacante logró hacer 1 millón de intentos antes de que Dropbox notara que algo estaba pasando y que el atacante se detuviera. Entonces, la probabilidad de que al menos uno de los millones de conjeturas coincida con un documento existente es 1-(1-1000000000/36**11)**1000000 = 0.00756874289 .

La probabilidad de que el atacante sea capaz de recuperar un solo archivo aleatorio después de un millón de intentos es aproximadamente el 0.75%.

Sin embargo, en la práctica, Dropbox probablemente tenga medidas para detectar y bloquear solicitudes automatizadas de claves aleatorias.

    
respondido por el Lie Ryan 19.04.2016 - 16:32
fuente
2

Técnicamente, sí, sería posible intentar un ataque de fuerza bruta, pero otros controles pueden impedir que el ataque tenga éxito.

La relación de negocio a cliente para un sitio como DropBox es muy diferente de una URL más corta, lo que hace que sea mucho más fácil para un sitio como DropBox implementar también contramedidas automatizadas de ataques como bloquear o ralentizar los intentos de autenticación después de X errores. Entonces, aunque una fuerza bruta es técnicamente posible, es mucho menos probable que sea el único control de seguridad implementado para un sitio como el que tiene diferentes problemas de seguridad y un modelo de seguridad diferente.

Nota: si el atacante usó algo como Tor para hacer muchas conexiones anónimas, el proveedor del servicio puede "disminuir" todo el tráfico de los nodos de salida de Tor y todavía permitir que su negocio funcione. Del mismo modo, las propias herramientas de ataque a veces tienen indicadores en sus solicitudes o frecuencia de solicitud que a veces hacen que sean más fáciles de bloquear si es necesario.

    
respondido por el Trey Blalock 19.04.2016 - 02:38
fuente

Lea otras preguntas en las etiquetas