Un serio fallo en Dropbox expone tus enlaces privados

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma "Secreta" entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.

.

Figura 1: 1.510.000 URLs de Dropbox indexadas en Google

Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. De hecho, a mí me sorprendía la cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.

Figura 2: Dropbox ha deshabilitado muchos de los Shared Links

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

- Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.

- La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.

- En el documento PDF hay un enlace que lleva a www.elladodelmal.com

- En las estadísticas de www.elladodelmal.com aparece la URL de la carpeta compartida en Dropbox.

En mi caso, como en el de millones y millones de sitios de Internet, las estadísticas de www.elladodelmal.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google. En la siguiente imagen se ven los campos HTTP-Referer donde caen las URLs de los Shared Links de DropBox.

Figura 3: Campos HTTP Referer en las estadísticas públicas de El lado del mal

Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador. ¿Quién no ha buscado sin querer una URL alguna vez en su vida?

Figura 4: Búsqueda de una URL de Dropbox que acabará en los anunciantes

Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

Figura 5: Funcionamiento de Prot-ON

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:

1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs. 

Figura 6: URLs indexadas en Bing

2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado. 

3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.

Saludos Malignos!

Dmitry Sklyravov y su detención tras hablar en DEFCON 9

Hace poco os conté la historia de Michael Lynn y el CISCOGate que acabó con la censura de la documentación en BlackHat, y hoy os quiero contar otro suceso que bien podría haber sido otra microhistoria y que es de tintes similares a la anterior, pero con otro ponente. En este caso tuvo lugar en las conferncias DEFCON. Pero dejadme que os lo cuente tal y como yo me enteré de todos los acontecimientos que os voy a narrar.

La historia comienza con la primera vez que visité las conferencias Troopers en el año 2010, donde acabé sentado en la cena al lado de un ponente de origen ruso que se presentó como Dmitry. No conocía su historia previamente, pero a lo largo de la cena y la sobremesa, a la que asistían en la misma mesa Steve Dispensa y Marsh Ray que explicarían su TLS-Renegotiation bug, me enteré de todos los problemas legales que tuvo tras pasar por DEFCON 9. 

Para aquel año de conferencias, Dmitry Sklyravov, de ElcomSoft, impartió una charla en la DEFCON que tuvo lugar el 16 de Julio de 2001 sobre básicamente cómo quitar el DRM de los e-books comprados en formato PDF, en una charla que se tituló "ebook security - theory and practice" y en la que se presentaba una herramienta llamada Advanced E-Book Processor que puede ser localizada aún en Internet.

Figura 1: Dmitry Sklyravov

Todo parecía normal, hasta que intentó salir de USA de camino a Rusia el 19 de Julio de 2001, donde fue detenido y puesto en prisión por haber violado la DMCA (Digital Millenium Copyright Act) algo que apoyó la Association of American Publishers. Por supuesto se armó una buena, y hubo manifestación hasta en la puerta de Adobe pidiendo la liberación de Dmitry. Este vídeo muestra en un pequeño reportaje estos momentos.

Dmitry fue liberado tras pagar una fianza de 50.000 USD el 6 de Agosto de 2001, pero no pudo abandonar los USA hasta Diciembre de 2001. El juicio no se realizó hasta Diciembre de 2002, donde fue declarado "No Culpable" pero la historia estuvo coleando hasta el 2008 y puedes ver todos los documentos del caso en la EFF. La secuencia de los acontecimientos está recogida en el artículo de este caso en la Wikipedia.

A día de hoy Dmitry es un reputado speaker en todas las conferencias de hacking del mundo, aunque no en las que se realizan en USA. El caso ya está cerrado, pero jamás olvidará este episodio que le llevó a pasar por la cárcel, pasar 6 meses retenido en USA y andar con problemas legales durante años. Este próximo mes de marzo tendré la suerte de volverle a ver en acción, que además habla justo detrás de mí en la agenda de la Troopers 13.

Saludos Malignos!