Puoi inserire Brute Force nella cartella Dropbox URL?

2

È possibile condividere cartelle con Dropbox inviando un URL con un hash in esso.

Un articolo recente ha riferito che i file utente sono stati acceduti generando url dai più comuni URL shorters.

Questi URL sono in genere molto più brevi dell'URL hash generato da Dropbox.

Se non proteggi con password l'URL, esiste una probabilità non nulla di poter accedere a un attacco casuale di forza bruta su Dropbox.

Sarebbe statisticamente possibile per qualcuno / botnet generare casualmente gli URL e trovare qualsiasi contenuto (non necessariamente il mio). O ci sono troppe possibilità disponibili?

EDIT: l'articolo di notizie collegato sopra fa riferimento a post di blog , che a sua volta fa riferimento al documento accademico .

    
posta opticyclic 18.04.2016 - 23:31
fonte

2 risposte

3

Riesci a forzare bruscamente l'URL di Dropbox? Bene, sì, è anche possibile eseguire la crittografia forzata del file crittografato AES256. Penso che quello che stai veramente chiedendo sia, avresti successo?

È piuttosto improbabile. Attualmente, l'URL di condivisione di Dropbox è composto da 11 caratteri composti da lettere minuscole e numeri (36 caratteri possibili). Questo dà uno spazio chiave di 36**11 ≈ 1.31621704 × 10^17 chiavi possibili o ln(36**11) / ln(2) ≈ 56.869175 bits .

Ora questo si riduce a un problema di matematica: supponiamo che ci siano m tasti occupati in uno spazio chiave di 36 ** 11, se un attaccante invia n ipotesi, qual è la probabilità che almeno una delle ipotesi corrisponda a un occupato chiave.

Quanti file ci sono in Dropbox con URL condiviso? Non penso che Dropbox abbia pubblicato questi dati, quindi farò un'ipotesi. Supponiamo che ci siano 1 miliardo di file con URL di condivisione.

Se l'attaccante fa una singola ipotesi, ha una probabilità di 1000000000/36**11 = 7.59753119 × 10**-9 = di indovinare una chiave in una ipotesi.

Supponiamo che l'intero team di risposta alla sicurezza di Dropbox sia in vacanza e che l'autore dell'attacco sia riuscito a fare 1 milione di ipotesi prima che Dropbox si accorga di qualcosa e chiude l'aggressore. Quindi la possibilità che almeno uno dei milioni di tentativi corrisponda a un documento esistente è 1-(1-1000000000/36**11)**1000000 = 0.00756874289 .

Che è circa lo 0,75% di probabilità che l'autore dell'attacco sia in grado di recuperare un singolo file casuale dopo un milione di tentativi.

In pratica però, Dropbox probabilmente ha misure per rilevare e bloccare le richieste automatizzate di chiavi casuali.

    
risposta data 19.04.2016 - 16:32
fonte
2

Tecnicamente sì, sarebbe possibile tentare un attacco di forza bruta ma altri controlli potrebbero impedire che l'attacco abbia successo.

La relazione business to customer per un sito come DropBox è molto diversa da un URL-shortner che rende molto più facile per un sito come DropBox anche distribuire contromisure di attacco automatizzate come bloccare o rallentare i tentativi di autenticazione dopo il numero X di errori. Quindi, anche se una forza bruta è tecnicamente possibile, è molto meno probabile che sarebbe l'unico controllo di sicurezza in atto per un sito come quello che ha diversi problemi di sicurezza e un diverso modello di sicurezza.

Nota: se l'autore dell'attacco ha utilizzato qualcosa come Tor per effettuare molte connessioni anonime, il fornitore di servizi può "rallentare" tutto il traffico dai nodi di uscita di Tor e consentire comunque al loro business di operare. Allo stesso modo gli stessi strumenti di attacco a volte hanno indicatori nelle loro richieste o richieste di frequenza che a volte li rendono più facili da bloccare se necessario.

    
risposta data 19.04.2016 - 02:38
fonte

Leggi altre domande sui tag