Sicherheitsrisiko Dropbox: Mangelhafte Authentifizierung
Alle Daten, die für die Anmeldung des Dropbox-Accounts notwendig sind, legt der Onlineservice nach Installation und erster Autorisierung in der „host_id“ der Datenbank „config.db“ ab. Schlimmstenfalls könnte beispielsweise ein Trojaner die Daten auf fremde Rechner kopieren – von dort aus wären Dritte problemlos in der Lage, auf den Inhalt der Dropbox zuzugreifen. Dieser Vorgang würde vom Nutzer unbemerkt geschehen, da Dropbox für neue zugreifende Geräte keine erneute Autorisierung verlangt und auch nicht darüber informiert. Darüberhinaus wird der Zugriff eines fremden Systems nicht in der Liste der autorisierten Geräte aufgelistet.
Dropbox geht wohl davon aus, dass es sich auf Grund der gleichen, weil kopierten, host_id um das selbe zugreifende Gerät handelt. Eine Änderung des Passworts leistet keine Abhilfe, wenn potentielle Schadsoftware einmal die host_id ergattern konnte. Um sicher zu gehen, dass die eigene Dropbox nicht ausspioniert wird, hilft nur, alle autorisierten Geräte zu löschen und neu zu autorisieren. Wer trotz des Sicherheitsrisikos nicht auf die Dropbox verzichten kann oder will, der sollte seine Daten zumindest verschlüsseln. Ob die Sicherheitslücke nur den Windows-Clienten der Dropbox betrifft, oder auch für andere Systeme relevant ist, ist zur Zeit unklar.
Daten in der Dropbox mit Boxcrypter verschlüsseln
Mit der Software Boxcryptor können Windows-Nutzer die Risiken, die aus der Dropbox Sicherheitslücke resultieren, abwehren. Boxcryptor simuliert eine virtuelle AES-verschlüsselte Festplatte. Legt man im Dropbox Ordner einen Unterordner an und gibt diesen bei Boxcryptor als Quellverzeichnis an, so sind alle Daten, die ab sofort dort abgelegt werden mit 256 Bit verschlüsselt.
Leider verbaut diese Variante der Datensicherung den großen Vorteil der Unabhängigkeit der Dropbox. Zwar kann man nach der Boxcryptor Verschlüsselung noch mit anderen Systemen auf die Dropbox zugreifen, das Lesen der Dateien ist durch die Verschlüsselung aber nicht mehr möglich. Boxcryptor läuft ausschließlich unter Windows und ist für den Privatanwender in der Basisversion mit 2 GB virtuellem Speicher kostenlos. Für unbegrenzten Speicher fallen für Privatleute 10 Euro an, für Unternehmen 30 Euro.
Weiterführende Links:
- Dropbox authentication: insecure by design - dereknewton.com
- BoxCryptor :: On-the-fly Encryption for cloud storage - boxcryptor.com
- Cloud Computing: Die Cloud der Zukunft ist mobil und privat – Was geht heute? Was kommt morgen? - t3n News
- Dropbox erreicht Version 1.0 - t3n News
von Robert Freudenreich 11.04.2011 (12:44Uhr) 1.
Eine kleine Anmerkung: Die von BoxCryptor verschlüsselten Daten können mit EncFS auch unter Linux und Mac OS X gelesen und geschrieben werden. Somit werden alle Desktop-Plattformen unterstützt. Die Unterstützung von mobilen Plattformen wie Android und iOS ist für die Zukunft geplant.
von Thomas Quensen 11.04.2011 (12:45Uhr) 2.
Naja, ein wirklich großes Problem ist das aber nicht, immerhin muss der Angreifer erstmal an die config.db und die host_id drankommen. Erraten kann man die nicht (zumindest nicht leicherter als eine Username/Passwort-Kombi).
Wenn der Angreifer aber schon zugriff auf die config.db hat (z.B. über einen Trojaner) braucht er die Daten auch nicht mehr, da er ja schon aufs System draufkommt.
Problematisch ist da schon eher die grundsätzliche Entscheidung, sensible Daten in der Cloud abzulegen, aber das ist ein anderes Thema ;)
von Jason Miles 11.04.2011 (14:10Uhr) 3.
Irgendwie sinnfreie Erkenntnis dieses Sicherheitsexperten. Wenn jemand an die besagten Dateien auf meinem Rechner kommt, dann hab ich wohl ein ganz anderes Problem.
Als "Angreifer" würde ich mir dann wohl eher Zugriff auf den E-Mail Account verschaffen. Dann hab ich dank "Passwort vergessen?" wohl ganz fix Zugriff auf alles mögliche. Eine schöne Übersicht hätte ich ja, sofern derjenige die Anmeldebestätigungen der ganzen Anbieter aufbewahrt hat :-)
von Bruno Jennrich via facebook 11.04.2011 (14:17Uhr) 4.
Wer haette das gedacht...
von Karsten Buth via facebook 11.04.2011 (14:31Uhr) 5.
Die sauberste Lösung wäre doch ein eigener Amazon S3-Account je Nutzer.
von Dustin Klein 11.04.2011 (15:21Uhr) 6.
Wenn ich diese "Experten" höre platzt mir manchmal echt der Kragen... Schon wieder Zeit das Sommerloch zu stopfen?
von Daniel J. Hanke via facebook 11.04.2011 (15:33Uhr) 7.
Unser Datenschutzbeauftragter hatte da noch einige weitere Fragezeichen hinter die professionelle Verwendung gesetzt.
von Tanja Handl 12.04.2011 (11:57Uhr) 8.
@ Dustin: Da gebe ich dir ganz recht. Letzten Endes klingen alle diese Artikel leider, als seien sie nur für (oder von?) Leute(n) geschrieben, welche die Cloud ohnehin (noch) nicht nutzen. Angst verkauft sich offenbar ganz ausgezeichnet...
Das Leben geht allerdings ganz andere Wege. Ich bin überzeugt, dass Dropbox & Co. sich trotz aller Panikmachen noch stärker durchsetzen werden. Der Trend zum <a href="http://www.beyond-9to5.de/73/ortsunabhangiges-arbeiten-jobtrend-digitale-nomaden/"digitalen Nomadentum lässt sich dadurch sicher nicht aufhalten.
Liebe Grüße,
Tanja
von Episode 54 – Ubuntu hat die Sendung ge… 27.04.2011 (20:32Uhr) 9.
[...] Dropbox-Sicherheitslücke entdeckt & Dropbox legt Daten für US-Behörden offen [...]
von Dropbox: Sicherheitslücke entdeckt - Se… 02.05.2011 (21:39Uhr) 10.
[...] wäre das Problem auch bei anderen Systemen denkbar. Als vorübergehende Lösung kann man laut t3n.de einfach die betroffene Datei, config.db, auch speziell [...]
von DropBox ändert Nutzungsbedingungen, Shi… 03.07.2011 (22:11Uhr) 11.
[...] Sicherheitslücke entdeckt, Tool bietet Lösung [...]
von DropBox ändert Nutzungsbedingungen, Shi… 04.07.2011 (13:47Uhr) 12.
[...] Sicherheitslücke entdeckt, Tool bietet Lösung [...]
von Dropbox: Die besten Apps und Erweiterung… 26.01.2012 (12:12Uhr) 13.
[...] der Datensicherheit immer wieder in der Kritik, im vergangenen Jahr warnte Sicherheitsexperte Derek Newton vor unzureichender Verschlüsselung. Wer sensible Daten in der Dropbox speichert und diese vor dem Zugriff Dritter gesichert haben [...]