Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Dropbox, der legitime Nachfolger von eMule und BitTorrent?

    Dropbox, der legitime Nachfolger von eMule und BitTorrent?

Dropbox kommt nicht zur Ruhe. Mitleid indes muss man nicht haben. Denn immerhin hat Dropbox ausschließlich hausgemachte Probleme. Zuletzt war das Bekenntnis, Daten an Regierungen weiterreichen zu wollen, ein in Nutzerkreisen ungeliebtes Thema. Nun kommt hinzu, was so mancher User schon vermutet hat. Dropbox speichert nur, wenn es muss. Was genau dahinter steckt und warum man Dropbox vielleicht sogar als legitimen Nachfolger von eMule und BitTorrent ansehen kann, wollen wir hier aufzeigen.

Dropbox Speicherkonzept: Deduplikationsstrategie nennt man sowas!

Bereits vor einigen Monaten brachte meine Dropbox mich zum Staunen. Obschon ich an meinem Arbeitsplatz lediglich über einen 3.000er Internetzugang verfüge, war das soeben in meine Dropbox geschobene Album mit MP3-Tracks angeblich innerhalb von drei Minuten hoch geladen. Später erlebte ich Ähnliches, aber noch krasser, mit einem gekauften Film, den ich auf einen meiner anderen Rechner via Dropbox schieben wollte. Hier konnte ich direkt nach dem Einkopieren in den Dropbox-Ordner auf dem anderen Rechner den Beginn des Downloads feststellen.

Spätestens da war mir klar: Dropbox speichert Dateien nur, wenn sie muss. Und sie muss nur dann, wenn die Datei nicht schon von irgendeinem anderen User hoch geladen wurde. Existiert eine Datei bereits irgendwo in den Weiten der Dropbox-Accounts, wird sie im Moment des Uploads zu Zwecken der Speicherplatzersparnis nicht erneut hoch geladen, sondern lediglich zugänglich gemacht. Das ist vom Prinzip her nicht neu und wird als Deduplikationsstrategie bezeichnet.

Dropbox: The Hashvalue Rulez

Technisch ist die Angelegenheit relativ trivial. Dropbox erzeugt für jede Datei einen Hashwert, eine Prüfsumme, die in der Lage ist, Dateien anhand eines mathematischen Inhaltsabgleichs als identisch zu identifizieren. Für Dropbox ist diese Vorgehensweise Teil des Geschäftsmodells, denn bekanntlich läuft der Dienst auf Amazons Cloud Storage, der nach Volumen bezahlt werden will. Je weniger Speicherplatz Dropbox verwendet, desto günstiger wird die Angelegenheit.

Lädt nun ein User Daten in seine Dropbox hoch, so passiert das nicht wirklich. Vielmehr lädt er zunächst lediglich den generierten Hashwert auf seinen Onlinespeicher. Dort prüft Dropbox den Hashwert auf Vorhandensein und im Falle einer Übereinstimmung wird kein weiterer Upload initiiert, sondern lediglich die sonstwo bereits vorhandene Datei im Folder des Uploadwilligen verfügbar gemacht.

Dropbox freut sich aufgrund des ersparten Speicherplatzes. Der User erfreut sich an vermeintlich rasanten Uploadraten.

Dropbox: Wenn das Konzept ausgenutzt wird

Es war nur eine Frage der Zeit, bis findige Programmierer die Problematik erkennen und ausnutzen würden. Dies geschah zuerst durch das Projekt Dropship, weitere dürften in Arbeit sein. Dropship basiert auf Python und erzeugt Hashwerte von populären Dateien, ähnlich wie einen ed2k-Link oder Torrents. Die so erzeugten Hashwerte lädt man in seine Dropbox hoch, woraufhin der Dienst die entsprechende Datei nach dem eben geschilderten Prinzip zugänglich macht. Ein ganz vorzüglicher Ersatz für eMule und BitTorrent hätte das sein können!

Mittlerweile ist Dropship bei Github nicht mehr zu finden...

Als Dropbox von dem System Wind bekommt, bittet der Chef Arash Ferdowsi persönlich den Programmierer Wladimir van der Laan das entsprechende Github-Repository offine zu nehmen. Die Anfrage soll dem Vernehmen nach sehr freundlich gewesen sein und van der Laan, der behauptet, niemals von illegalen Inhalten als Zweck seines Programmes ausgegangen zu sein, entspricht der Bitte umgehend.

Dropbox scannt mal eben den gesamten Datenbestand nach Dropship

Interessant wird der Fall, als Internetberater Dan DeFelippi beschließt, Dropship zu spiegeln und zwar innerhalb seines eigenen öffentlichen Dropbox-Ordners. Es dauert nicht lang und DeFelippi erhält eine ähnliche Mail des Dropbox-CTO Ferdowsi. DeFelippi entspricht dem Wunsch, die Dateien zu entfernen, nicht, eröffnet stattdessen wieder das Github-Repository und spiegelt das Projekt an weiteren Stellen im Web.

Internetberater DeFelippi berichtet auf seinem Blog über seine Erlebnisse mit Dropbox.

Fraglich ist an dieser Stelle, wie Dropbox bemerken konnte, dass Dropship in einem Kundenordner lag. Ganz offensichtlich wurden alle vorgehaltenen Datenbestände auf einen spezifischen Inhalt hin durchsucht. Immerhin war DeFelippi nicht etwa von Beginn an verdächtig, eine Rolle im Dropship-Projekt zu spielen. Dieses gezielte Scanning von Dropbox-Inhalten zeigt, wie sicher und vor allem wie vertraulich in einer Dropbox gespeicherte Inhalte tatsächlich sind: Nämlich gar nicht! Weder sicher, noch vertraulich!

Mittlerweile will Dropbox die durch Dropship genutzte Lücke im System geschlossen haben. Da aber nicht davon auszugehen ist, dass Dropbox künftig auf Deduplikation verzichten will, wird der Lückenschluss wohl von äußerst kurzer Dauer sein.

Wenn ich nur legale Inhalte hoch lade, kann mir das Thema dann nicht egal sein?

Eine interessante Frage, die man sich als rein rechtschaffener Dropbox-User zu Recht stellt. Die Antwort ist ebenso interessant. Denn es ist ja durchaus möglich, dass man, wie ich es weiter oben schilderte, völlig legal Inhalte in seine Dropbox schaufelt, so etwa meinen rechtmäßig erworbenen Film.

Nun aber ist möglicherweise dessen Hashtag bekannt und meine Kopie des Films wird auf dieser Grundlage potenziell Hunderttausenden zugeordnet. Schon seede ich einen illegalen Download. Kann ich das Risiko tragen und vor allem will ich das? Sicherlich nicht!

Ein weiterer Punkt: Angenommen, ich beliebe meine iTunes-Mediathek via Dropbox zu sichern. Jeder wird mir zustimmen, dass das durchaus im Bereich des Denkbaren und sicherlich auch im Bereich des Legalen ist. Nun stellt sich heraus, dass urheberrechtlich geschützte Titel, solche, die auch in meiner Mediathek befindlich sind, weiträumig gestreut wurden. Dropbox entschließt sich darauf hin, was durchaus im Rahmen des Möglichen wäre, präventiv alle diese Inhalte zu löschen. Mein Backup ist weg.

Will ich dieses Risiko tragen? Nein, ganz sicher nicht. Was ich in meine Box packe, muss auch drin bleiben!

Auf der anderen Seite des Tisches könnten sich auch Verfolgungsbehörden an die Dropbox begeben und gezielt nach bestimmten Hashwerten suchen. So existiert beispielsweise in Deutschland bei den Polizeibehörden eine Datenbank mit bekannten Hashwerten, hinter denen sich kinderpornografische Inhalte verbergen. Jetzt muss der Suchlauf nur noch fälschlich Deinen Inhalt als kinderpornografisch auswerfen und Du hast ein ganz reales Problem.

Finde einen Job, den du liebst zum Thema Dropbox, BitTorrent

16 Reaktionen
DS Köln
DS Köln

Ich fand diesen Artikel sehr aufschlussreich und sehr hilfreich.

Vielleicht werde ich Dropbox verwenden, um ein paar Fotos o.ä. eher unkritsche Daten Anderen zugänglich zu machen. Meine private Korrespondenz werde ich ganz bestimmt nicht auf Dropbox speichern. Da verzichte ich gerne auf den verführerischen Komfort zu Gunsten von Schutz der Privatsphäre.

Datensicherung betreibe ich dann doch lieber auf USB-Disks.

Antworten
Jason
Jason

Klar, die Beispiele sind nah an kriminelle Inhalte gebaut. Das muss aber auch so sein, damit die Aufmerksamkeitsschwelle der Leser überschritten wird. Sonst liest das ja keiner. Ich finde den Beitrag gut und wünsche mir mehr solcher Artikel auf t3n.

Antworten
Funatiker

Ich muss feststellen, dass der Artikel nicht reißerisch ist. Er erläutert nur die technischen Gegebenheiten und beschreibt beispielhaft mögliche Folgen. Es wäre interessant zu wissen, wie sich Dropbox vor Dropship zu schützen versucht. ich würde mich tatsächlich nicht wundern, wenn die .json-Dateien von Dropship demnächst eine ähnliche Bedeutung wie die .torrent-Dateien von BitTorrent hätten ;-)

Antworten
Christian
Christian

... wenn mann jetzt einfach mal auf gut Glück diverse Hashwerte durchprobiert kann es also gut sein das ich an private Dateien gelange ?

Antworten
Martin
Martin

Wow, schon wieder so ein reißerischer Artikel wie beim Geotracking. Damals hab ich mir den Kommentar noch verkniffen, aber jetzt muss ich echt sagen, dass ich von t3n Besseres gewohnt bin.

Antworten
Chris
Chris

@andreas: ich finde deinen hinweis mit der "meiungskennzeichnung" sehr angebracht. unter dem strich finde ich es gut das kontroverse artikel dieser art hier geschrieben und vor allem auch weiterdiskutiert werden können.

Antworten
Aleks Maksimow

"Fraglich ist an dieser Stelle, wie Dropbox bemerken konnte, dass Dropship in einem Kundenordner lag. Ganz offensichtlich wurden alle vorgehaltenen Datenbestände auf einen spezifischen Inhalt hin durchsucht. Immerhin war DeFelippi nicht etwa von Beginn an verdächtig, eine Rolle im Dropship-Projekt zu spielen. Dieses gezielte Scanning von Dropbox-Inhalten zeigt, wie sicher und vor allem wie vertraulich in einer Dropbox gespeicherte Inhalte tatsächlich sind: Nämlich gar nicht! Weder sicher, noch vertraulich!"

Warum sollte Dropbox zwingend deine Daten durchsuchen / durchsuchen können? Es reicht doch schon, das GitHub Repo in eine Dropbox zu clonen und dann zu gucken, ob irgendwo im (Dropbox) System die gleichen Hashes auftauchen?

Damit ist ja nicht zwangsläufig gesagt, dass jemand in deinen Daten schnüffelt. Möglicherweise wurden einfach alle Files gelöscht, die den entsprechenden Hashes zugeordnet wurden.

Hinzu kommt auch der Schwachsinn des geseedeten Films, wenn du legale (DRM hin oder her) Inhalte in deiner Dropbox speicherst, kann dir das doch relativ egal sein? Solange du nachweislich gekaufte Inhalte hast, kann es dir ja (aufgrund von DRM) egal sein.

Solange du deine Daten an Dritte weitergibt und dich darauf verlässt das dein Backup(!) in einem Speicher eines Drittanbieters sicher ist, bist du mehr oder weniger selber schuld wenn da etwas schief läuft :)

Antworten
Andreas
Andreas

Der zweite miese Artikel in kurzer Zeit. Viele Hits, viel Spekulation und ganz, ganz heiße rechtliche Thesen.

Dieser Artikel ist so starker Stammtisch, dass ich mich zu diesem Kommentar hingezogen fühlte. Bitte hebt die Qualität eures Portals und kennzeichnet solche wie diese als "Meinung". Ganz so wie bei den sponsored posts. Dann habe ich damit keine Probleme.

Antworten
Chris
Chris

das thema dropbox wird in USA schon länger sehr viel kritischer gesehen. obwohl ich zu beginn dropbox begeistert war, bin ich inzwischen lieber und mit einem besseren gefühl bei http://www.wuala.com.

@thorsten mau: was stört dich nun eigentlich an dem artikel?

Antworten
Andreas
Andreas

Gute Alternative zu Dropbox: Wuala

Wuala hat mehr Optionen, ein sehr interessantes Konzept, ist nicht minder einfach zu handhaben, und Privacy ist dort oberstes Gebot.

Antworten
Marco

Wie Gilly schon schrieb ist es auch ein Part des Artikels der Hinkt. Selbst Streaming Media welche recorded wurde erhält bei jedem Endclient einen anderen Datenstrom da die per RTMPE Kanal mitgelieferten Informationen jedes mal unique sind. Die einzige Möglichkeit ist hier ein Rip Tool einzusetzen was die Datenströme aufsplittet und ohne DRM neu zusammensetzt die so erhaltene Datei wird dann neu gemuxed und könnte - bei selben Mux Einstellungen - somit zum Hash Vergleich genutzt werden. Haken an der Sache: Bereits der Schritt des entfernen der DRM Daten ist nicht Legal folglich ist der Rechtsbruch schon vor einem etwaigen Upload geschehen.

Hat man indess völlig legal gekaufte Movies so ist der Hash des selbigen in der Regel unique. Ist der Film ohne DRM frei verfügbar so ist es mit Sicherheit auch einfach den Film sonst wo zu organisieren.

Klar kann man DropBox missbrauchen - aber das selbe gilt für alle Cloud Hosting Dienste - man glaubt gar nicht was man dort alles findet wenn man sich etwas mehr mit der Materie beschäftigt. Ich sage nur EC2 File Hubs.

Fast jede Technologie hat eben auch Ihre "dunkle" Verwendungsmöglichkeit.

So wieder mehr geschrieben als eigentlich gedacht aber nochmal als Kritik: Wieso dieses Bildzeitungs Niveau ? RSS Feed ist nun mal abbestellt und es wird nur noch hin und wieder reingeschaut, schade - wirklich schade. :(

@D. Petereit: Bevor du nun anfängst mich wie in deinem Apple Fanboy Artikel persönlich zu denunzieren - spar dir die Mühe ich schau eh nicht mehr in diesen Artikel :p

Antworten
Gilly

"Nun aber ist möglicherweise dessen Hashtag bekannt und meine Kopie des Films wird auf dieser Grundlage potenziell Hunderttausenden zugeordnet. Schon seede ich einen illegalen Download. Kann ich das Risiko tragen und vor allem will ich das? Sicherlich nicht!"

Den Teil verstehe ich nicht so ganz.

Wenn du dir einen Film legal herunterlädst, dann hat dieser mit Sicherheit irgend einen DRM-Mechanismus, der den Hashwert der Datei dadurch auch einzigartig macht.

Für iTunes Songs müsste IMHO das gleichen gelten.

Antworten
rbq.
rbq.

Danke für den Artikel, ich konnte herzhaft lachen.

Antworten
kre8tiv
kre8tiv

@Torsten: Ich fand diesen Artikel jetzt speziell ausgesprochen interessant. Zuletzt sind einige Artikel ja einfach nur ein wiederkäuen News aus anderen Blogs gewesen, hier trifft das m.E. aber nicht zu. Deshalb frage ich mich, was genau deine Kritik ist. Denn dein Kommentar ist auch nicht wirklich über dem Bild-Niveau, da würde mich konkreter Widerspruch interessieren :)

Antworten
michael2.0
michael2.0

Sensible Daten einfach in einem TrueCrypt-Conatiner in der Dropbox speichern.

Antworten
Torsten Maue

Ihr werdet von Tag zu Tag mehr zur Bildzeitung des Internets. :-(

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen