t3n News Hardware

Protonet: Sicherheitslücke und bedenkliches Reverse-Proxy-Konstrukt im „einfachsten Server der Welt“

Protonet: Sicherheitslücke und bedenkliches Reverse-Proxy-Konstrukt im „einfachsten Server der Welt“

Elektronische „Akten sollen den Raum nicht verlassen“ – so beschreiben die ARD-Tagesthemen ein Problem, das der Mini-Server lösen soll. Doch stimmt das auch? Wir zeigen euch, warum Protonet bisher nicht so privat und sicher war wie angekündigt.

Protonet: Sicherheitslücke und bedenkliches Reverse-Proxy-Konstrukt im „einfachsten Server der Welt“

Update vom 20. Dezember 2013:

Protonet ist auf unsere Kritk in ihrem Blog eingegangen.

„... unser Proxydienst ist eben ein solches Hilfsmittel. Die Nutzung von DynDNS, Portforwarding und eigenen Zertifikaten ist natürlich auch mit der Protonet Box möglich, bedarf allerdings manueller Umstellung - und Expertenwissen.“ Ali Jelveh

Das Reverse-Proxy bleibt also erhalten, anstatt den Benutzern bei der Absicherung mittles SSL-Zertifikat etc. unter die Arme zu greifen – damit für die Benutzer die Handhabung der Box einfacher wird. Ich hoffe, das wird in Zukunft auch so an die Kunden kommuniziert.

Die Protonet-Box ist ein privater , der die Vorteile der Cloud mit der eigenen Datenhoheit verknüpft. Wir haben über das junge Startup Protonet schon mehrfach berichtet, zuletzt, um euch „Protonet Soul“, also das Interface der Protonet-Box, zu zeigen – und haben dabei einen Blick hinter die Kulissen geworfen.

Protonet: Vermeindliche Datenhoheit

Stolz zeigt das Team hinter Protonet einen Videoclip aus den ARD-Tagesthemen die über „Datensicherheit made in Germany“ berichten. Darin wird vom Misstrauen gegenüber Rechenzentren gesprochen und ein Protonet-Kunde meint: „Als Anwalt müsse immer der sicherste Weg gegangen werden [...] die [Daten] möglichst in der eigenen Hand zu behalten“ und eine Stimme aus dem Off meint: „Seine Daten sollen den Raum nicht verlassen.“

 

Dass dem leider nicht so ist, beweist die Tatsache, dass schon bei den ersten Tests des Protonet-User-Interface Daten zuerst über das Internet bewegt wurden, bevor sie auf dem Server verfügbar waren, obwohl wir eigentlich die Daten lokal und direkt auf der Box abgespeichert hatten.

Zentraler Reverse-Proxy ermöglicht ein Ausspionieren

Lässt man die Protonet-Box wie im Auslieferungszustand konfiguriert und greift über die standardmäßig eingestellte protonet.info-Subdomain (zum Beispiel t3n.protonet.info) auf seine Protonet-Box zu, ist das zwar unheimlich bequem und der Transfer der Daten erfolgt – zumindest auf den ersten Blick – auch SSL-verschlüsselt. Was jedoch vermutlich die wenigsten Protonet-Kunden wissen können, ist die Tatsache, dass hierbei der komplette Datenverkehr zwischen dem Benutzer und der eigenen Protonet-Box über einen zentralen Reverse-Proxy-Rootserver von Protonet läuft, gehostet von hetzner.de. Schlimmer noch: Das Reverse-Proxy-Konstrukt ist aktuell so aufgebaut, dass ein Auslesen sämtlicher Daten der Protonet-Boxen durch die Firma Protonet nicht ausgeschlossen werden kann, da die eigene Box die Daten zwischen der eigenen Protonet-Box und dem Reverse-Proxy nur über ein Port-Forwarding innerhalb eines SSH-Tunnels vermittelt (siehe Grafik).

Dabei ist zu betonen, dass Protonet immer artikuliert hat, die Datenhoheit bliebe beim Kunden. Allerdings werden die Kunden bislang weder über den Reverse-Proxy aufgeklärt, noch haben sie eine Möglichkeit, dieses Konstrukt zu deaktivieren, sodass sie gezwungener Maßen – und entgegen der Ankündigungen – alle Daten automatisch durch die „Cloud“ bewegen müssen.

Nach langer Korrespondenz zwischen t3n und dem Entwickler-Team wurde heute von Protonet ein Update zur Verfügung gestellt, das eine Deaktivierung des Reverse-Proxys ermöglicht. Das Update behebt zudem einige kritische Sicherheitslücken, sodass jeder Protonet-Kunde schnellstmöglich updaten sollte.

Kritische Sicherheitslücke durch unsicheres Image-Proxy-Script

protonet-image_proxy
Einzelne Bilder konnten ausgelesen werden. (Screenshot: t3n)

Neben dem Reverse-Proxy-Konstrukt sind uns bei Tests weitere Probleme mit der Protonet-Box aufgetreten. So war es uns zum Beispiel möglich, über das eingebaute Image-Proxy-Script der Protonet-Box (das zum Beispiel die Hintergrund-Fotos beim Login zur Verfügung stellt), vergleichsweise umfangreich über simple HTTP-Requests aus dem Internet heraus Grafiken aus dem internen Netz der Protonet-Box nach außen zu tunneln. Dazu gehörte auch das Ausspionieren der internen Infrastruktur durch das Image-Proxy-Script der Protonet-Box (Herausfinden von internen Webdiensten und des eingesetzten Router-Modells). Ebenso konnte die Protonet-Box durch das Image-Proxy-Script vergleichsweise einfach überlastet werden. In der neuesten Firmware-Version wurde das Image-Proxy-Script jetzt komplett ersetzt und die Sicherheitslücken geschlossen.

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von Jenser am 17.12.2013 (19:31 Uhr)

    Guter Bericht. Vor Allem in Anbetracht des extremen Preises der Box umso ärgerlicher.

    Antworten Teilen
  2. von sven am 17.12.2013 (21:54 Uhr)

    Sehr fragwürdig. Nicht nur die technische Schwachstelle, sondern auch, dass diese nicht offen kommuniziert wurde. Das Vertrauen in diese Firma ist dahin.

    Antworten Teilen
  3. von Stephan am 17.12.2013 (23:20 Uhr)

    Danke für den etwas vertieften Beitrag! Es ist ja nicht so einfach Details zur protonet Box im Netz zu finden. Ich denke, die Qualität der Arbeit der Leute vin Protonet sehen wir in der Reaktion auf Berichte wie diese. Die este Reaktion finde ich persönlich ganz ok. Nächste Schritte sollten also sein, ein paar advanced Features zu entwickeln. Ich wünsche mir am dringendsten:

    1. Einfache Einrichtung eines eigenen Ssl-Zertifikats
    2. Festplattenverschlüsselung bei hoher Performance nach dem Vorbild von Apples Filevault
    3. Verschlüsseltes performantes Offsite-Backup, dass auf Blockebene nur die Änderungen synchronisiert, die notwendig sind
    4. Versionierung
    5. Papierkorb für versehentlich gelöschte Dateien

    Ich hoffe sehr, dass Protonet nicht der Versuchung erliegt, den Fokus auf neue Features zu setzen, die zwar Applaus bringen, aber die Kernaufgabe der Box aus dem Blick verlieren. Und bitte keine Ressourcen für eine Consumer verschwenden. Ich bin aber auch optimistisch.

    Nebenbei, ich habe so eine Box gekauft und hoffe, dass wir in unserem Unternehmen damit die nächsten Jahre produktiv arbeiten werden. Da muss sich die Box aber noch beweisen. Vielleicht berichte ich von meinen Erfahrungen demnächst mal auf meinem Blog.

    Antworten Teilen
  4. von Michael Geißler am 18.12.2013 (01:16 Uhr)

    Ich finde es wichtig, dass über solche Schwachstellen berichtet wird und auch zeugt es von gutem Stil, dass t3n die Korrespondenz mit protonet sucht - dafür ein Kompliment.

    Das Fazit des Artikels finde ich allerdings etwas brüchig. Protonet ist gem. selbst gewähltem Slogan der "einfachste Server der Welt" und nicht der sicherste. Einfachheit ist USP #1 und es sollte niemanden wundern, wenn einfachere Bedienung dann eben doch über der Sicherheit steht.

    Antworten Teilen
  5. von Jörg Grote am 18.12.2013 (09:35 Uhr)

    Der Bericht ist gut. Ich finde es allerdings ein wenig übertrieben dem Unternehmen vorzuwerfen, es habe Prioritäten vollkommen falsch gesetzt. Offensichtlich ist das Produkt für Unternehmen, die keine oder nur beschränkte IT_Ressourcen und Know-How in Ihrem Unternehmen zur Verfügung stehen haben. Für ein Start-Up ist es daher überlebenswichtig die Prioritäten dahin zu verschieben, dass genau diese Kunden es auch kaufen.
    Dennoch ist Euer Bericht natürlich sehr wichtig, da er das Unternehmen nun dazu zwingt zumindest eine Alternative anzubieten. Die prompte Reaktion des Unternehmens finde ich aber sehr sympathisch, es scheint keinesfalls so als ob da jemand etwas verschweigen wollte.

    Antworten Teilen
  6. von Jakob am 18.12.2013 (10:03 Uhr)

    Glückwunsch an Protonet: Wenn es schon Leute gibt, die dein Produkt in den Medien so kritisch diskutieren, dann hat man was geschafft – über die meisten Startups wird nicht annähernd so viel geredet wie Protonet. Das muss einen Grund haben.

    Dass Protonet zügig reagiert und auf seine Kunden und Medien hört, das hätte man sich doch von Microsoft und Apple auch gewünscht. Das ist der große Vorteil: Protonet sitzt nicht im Elfenbeinturm Infinity Loop, sondern in Hamburg. Da arbeiten noch Leute, die einfach das geilste Produkt bauen wollen. Und keiner kann sagen, dass das einfach wäre. Deswegen helfen kritische Artikel wie dieser nur, das Ziel der Datensicherheit zu erreichen.

    Und dieses Ziel ist immer ein Trade-Off zwischen Einfachheit und Sicherheit. Niemand kann erwarten, dass es von beidem immer die Perfektion geben wird. Dass Protonet hier zügig reagiert hat, zeigt mir doch als User, dass sie sich Gedanken dazu machen und fortschrittlich daran arbeiten, das Problem zu lösen. Da sehe ich als User gar kein Problem.

    (P.S.: Ich für meinen Teil kann noch sagen: Wer einmal die Protonet-Software für Kollaboration, Projektmanagement, etc. ausprobiert hat, denkt anders. Das Ding ist der Hammer.)

    Antworten Teilen
  7. von Andreas Lehr am 19.12.2013 (11:01 Uhr)

    Warum macht Protonet nicht einfach einen eigenen DynDNS Dienst hinter "t3n.protonet.info"?
    Ist doch nicht so kompliziert und man ist weiterhin einfach UND sicher unterwegs ohne Reverse-Proxy.

    Antworten Teilen
  8. von Mario Janschitz am 20.12.2013 (09:39 Uhr)

    Hallo Jakob,

    Deinen Kommentar möchte ich so nicht stehen lassen, und zwar aus den folgenden Gründen:

    1) Jemandem zu gratulieren, weil kritische Sicherheitslücken aufgedeckt wurden, halte ich für äußerst fragwürdig.
    2) Protonet hat zügig reagiert. Sie wussten, weil wir sie darauf aufmerksam gemacht haben, Bescheid. Des weiteren haben wir ihnen auch eine Deadline gegeben.
    3) „Das geilste Produkt“? Zu versuchen, „das geilste Produkt“ zu bauen, aber beim Sicherheitsaspekt so viele Schwachstellen zu produzieren und dann auch noch zu kommunizieren, dass Anwälte etc. diese Box verwenden könnten, passt einfach nicht zusammen.
    4) Was Du persönlich meinst, schön und gut. Dabei lässt Du aber offensichtlich außer acht, wie hier mit höchst sensiblen Daten von Menschen (Klienten, Patienten etc.) umgegangen wird.
    5) Die Tatsache, dass im Fernsehen von Datensicherheit und -hoheit gesprochen wird, das aber absolut nicht zutrifft, setzt dem Ganzen leider die Krone auf.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema protonet
Exklusiv: 1,6 Millionen Dollar für deutsches Server-Startup Protonet
Exklusiv: 1,6 Millionen Dollar für deutsches Server-Startup Protonet

Protonet kann erste US-Investoren für sich gewinnen. Über eine neue Finanzierungsrunde sammelte das Hamburger Startup jetzt einen frischen Millionenbetrag ein. » weiterlesen

Exklusiv: Protonet kämpft um seine Zukunft
Exklusiv: Protonet kämpft um seine Zukunft

Weil der jüngste Firmenumbau bei Protonet als Exit durchgeht, haben die Crowdinvestoren gegenüber dem deutschen Vorzeige-Startup plötzlich Anspruch auf Rückzahlungen in Millionenhöhe. » weiterlesen

Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten

Im Rahmen eines Hacking-Events wurden erneut Sicherheitslücken in vier beliebten Wordpress-Plugins aufgedeckt. Diesmal betroffen: Ninja-Forms, Icegram, Video-Player und Paid Membership Pro. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?