Sicherheitslücke in Dropbox ermöglicht Dateizugriff

Sicherheitslücken Eigentlich wollte Derek Newton überprüfen, ob die Software Dropbox, mit der sich beliebige Daten über verschiedene Plattformen synchronisieren lassen, forensisch verwertbare Daten hinterlässt. Dabei fand er eine Sicherheitslücke, die er nun ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Winfuture, ihr seid zu langsam. Diese News wurde bereits auf einschlägigen Seiten am Wochenende veröffentlicht. ;)
 
@testacc: diese "einschlägigen" seiten lese ich aber nicht und bin daher froh, wenn winfuture es hier nochmal bekannt gibt... auch wenn später ist.
 
@testacc:
besser spät als nie
 
@testacc: Seit wann darf eine News denn immer nur von der jeweils ersten Seite berichtet werden? Danke Winfuture für diese sehr interessante News!
PS: Übrigens ein guter Grund TrueCrypt auch in seinem Dropbox-Ordner zu nutzen!
 
@bowflow: TrueCrypt oder Boxcryptor
http://www.golem.de/1104/82680.html
 
@testacc: Die Langsamkeit des Seins.
 
Dann lies doch andere Newsseiten. Mal auf die Idee gekommen?
 
@Crod: Mal nachgedacht, das ich nicht nur eine Newsseite lese??
 
@testacc: Ging aus deinem Kommentar sogar hervor, glaub ich. Nur wie viele andere User auch beschwert du dich darüber, dass WF zu langsam ist bzw. irgendwo abschreibt. Aber lesen tuen es dennoch alle.
 
@Crod: fast wie mit der BILD Zeitung ^^
 
Wem es gelingt die config.db zu stehlen der kann sich die Daten auch gleich so vom Rechner ziehen und braucht dazu kein Dropbox.
 
@Mudder: Der Vorteil ist das in der Dropbox die Daten vorhanden sind und du weniger suchen musst.
 
@Mudder: ich geh mal davon aus, dass die größte gefahr in zugänglichen bereichen ist, wie z.b. firmen. sofern hier jemand mal kurz unbeobachtet ist und sich den schlüssel rausziehen kann, kann er jederzeit von egal wo drauf zugreifen. das kann grad bei ausgeschiedenen mitarbeitern gefährlich werden. ist jetzt aber auch nur ein szenario..
 
@def: Selbst schuld wenn du, keine Zeit hast Windows Taste + L zu drücken.
 
@Jimie: ich sag ja nicht ,dass es mir passiert ist :D ich sprech nur allgemein von einem beispielszenario. wie viele personen gibt es denn in firmen, die nichtmals wissen wie word bedient wird? da ist doch die potenzielle gefahr
 
@def: Diese "potenzielle Gefahr" hast du dann aber bei jeder Software. Wer sein REchner nicht sperrt bei Abwesenheit ist Fahrlässig und verstöst in vielen Firmen gegen die Datenschutzrichtlinien.
 
@def: Tut mir leid. Wollte die Leute ansprechen, die es nicht machen ;)
 
@Mudder: Nur ist die config.db wohl in der Regel sehr viel kleiner als die Daten die syncronisiert werden. Und du hast mit der config.db auch Zugriff auf Dateien die in Zukunft erst in den Ordnern landen. Auch nach Passwortänderungen.
 
@Mudder: ouzo hat recht. Es geht nicht darum, dass der Angreifer auf die Daten Zugriff hat. Denn das hat er - wie du richtig gesagt hast - sowieso. Das Problem ist, dass er lediglich die config.db auf seinen PC kopieren muss und damit auch in Zukunft bequem auf deine Dropbox zugreifen kann. Das Opfer bekommt dies nicht einmal mit.
 
@Big_Berny: Klar aber es ist trotzdem so, dass er erst mal auf den Rechner gelangen muss. Ich halte es bei der Newsaussage nicht für richtig zu sagen: Dropbox ist Schuld das ich dir Dateien klauen kann. Dann sind auch Outlook, Firefox und Word Schuld das man E-Mails weiterleiten, Passwörter einsehen oder Bewerbungen lesen kann. Das der User aber weder ein Antiviren-Tool noch ne Firewall verwendet ist auf einmal irrelevant.
 
@Mudder: Es ist fahrlässig von Dropbox, dass selbst eine Passwortänderung nichts nützt, wenn jemand die Datei hat.
 
@Mudder: Deshalb nutze ich WUALA ^_° die Konkurrenz
 
Als gute alternative zu Dropbox wäre Wuala zu empfehlen.
Finde das dortige Sicherheitskonzept besser/ausgereifter.
 
@mark264: Und du weißt wie das Sicherheitskonzept dahinter aussieht? Dann erklär mal ;)
 
@PowerRanger: Der größte Vortreil ggü. Dropbox ist, das bei Wuala alle Dateien auf dem eigenem Rechner mit Hilfe eines privaten Key verschlüsselt und danach erst hochgeladen werden.
Dropbox übermittelt dagegen alle Dateien unverschlüsselt.
 
@mark264: und das hilft auch gegen das in dieser news beschriebene problem?
 
@krauthead:
Zumindest ist diese Sicherheitlücke bei Wuala nicht bekannt.
Mir ging es auch eher um das gesammte Sicherheitzkonzept dieser beiden Dienste.
 
@mark264: "Dropbox übermittelt dagegen alle Dateien unverschlüsselt." Das ist falsch. Dropbox sendet mit SSL Verschlüsselung. Die Daten selbst liegen bei Dropbox in AES256 verschlüsselt rum. Da SSL und AES256 noch als Sicher gelten ist es egal ob die Daten erst Lokal verschlüsselt und dann übertragen werden, oder in einer verschlüsselten Session adhoc übertragen werden.
 
@mark264: Leider würde eine das Verschlüsseln mit einem privaten Key bei diesem Problem gar nicht bringen. Bei anderen Sicherheitsproblemen ist die clientseitige Verschlüsselung allerdings tatsächlich ein Vorteil.
 
@ThreeM: Ok, da hab ich mich wohl etwas falsch ausgedrückt, mir ist bekannt das Dropbox verschlüsselte Verbindungen nutzt, die eigentlichen Dateien selber sind bei der Übertragung aber erstmal nicht verschlüsselt und können zumindest von den Dropbox Anbietern eingesehen werden.
Bei Wuala ist das wie gesagt anders, dort können auch die Anbieter von wuala selber nicht auf die Daten zugreifen.
Wuala selber bezeichnet sich als "zero knowledge service provider", das drückt es wohl am besten aus.
Mir ist natürlich auch klar das man sich wie bei jeden closed source Program, nicht zu 100% darauf verlassen kann das keine Hintertür existiert.
 
@ThreeM: Und die ganze Verschlüsselung nutzt überhaupt nichts wenn sich der Dienst so leicht aushebeln lässt. Vielleicht gibts ja bald Trojaner die die config.db von Dropbox suchen und zum Angreifer hochladen. Is ja nicht so groß.
 
@mark264: Die Daten landen bei Dropbox in einem AES256 Container. Die Dropbox betreiber haben NICHT die Möglichkeit diese einzusehen. Es sei denn sie würden die Verschlüsselung bewust deaktivieren. Die Möglichkeit ist also gering, wenn auch nicht auszuschließen. Hier kann eine Clientseitige Verschlüsselung abhilfe schaffen. Der Betreiber kann sich aber selbst z.B. in die Liste der Clients setzen die drauf zugrifen dürfen. Somit ist auch das Clientseitige verschlüsseln wieder ausgehebelt. Sprich: Jeder Anbieter solcher Lösungen hat die möglichkeit deine Daten einzusehen.
 
@DennisMoore: Wenn ein Trojaner erstmal die Config.db sucht um dem Angreifer zugriff auf die Daten zu erlauben, ist das Kind doch ej schon in den Brunnen gefallen. Dank Trojaner hat er ja bereits zugriff. Sprich, der Dienst ist solange sicher, wie auch das Client System sicher ist. Ist der Client bereits kompromitiert, wird das beste Sicherheitskonzept nix bringen.
 
@ThreeM: Die Dropboxbetreiber haben sehr wohl die möglichkeit die Dateien einzusehen.
Das Problem ist, das solange die Verschlüsselung nicht Clientseitig, sondern auf der Seite des Anbieters erfolgt sind die Daten einzusehen.
Da brauchen sie noch nichteinmal die Verschlüsselung zu deaktivieren, sondern können einfach vor der Verschlüsselung ansetzen.
 
@ThreeM: Wenn man jedoch den Trojaner später entdeckt und entfernt ist das Kind damit nicht aus dem Brunnen gerettet, sondern liegt immer noch ganz tiefe unten drin. Und niemand hört es rufen.
 
@mark264: Das ist nicht ganz richitg. Dropbox verschlüsselt Bit Weise. Die Server benötigen NICHT die Komplette Datei um zu verschlüsseln sondern verschlüsseln jedes Bit sobald es auf die Server geladen wird. Client > SSL > Dropboxcontainer. So ist die Chain. Kommt ein Byte aus der verschlüsselten SSL Verbindung an, verschlüsselt der Server diese sofort und steckt diese in den Container.
 
@DennisMoore: Klar, aber welcher User nutzt ein einmal kompromitiertes System weiterhin OHNE seine Passwörter/Daten zu ändern? Er muss doch davon ausgehen das der Trojaner ej schon viel mitgelesen hat. Bei Dropbox kommt halt der Schritt dazu das man ALLE Rechner erneut "Authentifizieren" sollte. Sprich: Alle Einträge der akzeptieren Rechner entfernen und neu Hinzufügen. Und schon ist wieder trockner Boden unter den Füßen.
 
@ThreeM: Hast du dafür eine Quelle, irgendwie findet man über die AES Einbindung bzw. über die generellen Verschlüsselungs Abläufe bei Dropbox nicht sonderlich viel, zumindest nicht viel offizielles.
 
@mark264: Das kannst du unter anderem beim Support direkt erfragen.
 
@ThreeM: Na so leicht ist mein Kind noch nicht ausm Brunnen raus. Man müsste schon voraussetzen dass der User des kompromittieren PCs weiß dass der Trojaner seine Dropboxdaten klaut. Bezweifel ich. Für die allermeisten User ist die Gefahr vorüber wenn der Virenscanner "gesäubert" vermeldet. Das Sicherheitsbewußtsein ist einfach noch nicht groß genug. In diesem Kontext sollten auch die Softwareentwickler arbeiten. Man kann sich nicht damit rausreden dass bei einem kompromittierten System eh schon alles zu spät ist und dass die Software deshalb nichts mehr machen muss. Mit dem gleichen Argument redete sich auch schon der Entwickler von TrueCrypt aus der Verantwortung als es um Bootschutz gegen ein Boot-Rootkit ging (weshalb ich dieses Tool auch nicht mehr verwende, sondern ein anderes)
 
@DennisMoore: Das ist aber die Schuld des Users nicht der der Software. "Man müsste schon voraussetzen dass der User des kompromittieren PCs weiß dass der Trojaner seine Dropboxdaten klaut." <-- Davon sollte man eigentlich IMMER ausgehen. sobald ein Trojaner auf dem Rechner war/ist ist das System unsicher und Passwörter potenziell unsicher. Das Bewustsein dahingehend zu schärfen ist nicht die Aufgabe des Sofwareanbieters sondern die des Users. Ein Hinweiß der Anti Viren Hersteller bei Entdeckung eines Trojaners würde helfen.
 
@ThreeM: Die "Ist nicht mein Bier"-Haltung des Softwareanbieters find ich aber schon recht problematisch. Er könnte seine Software ja dahingehend ändern dass eben der eventuelle Identitätsdiebstahl nicht ganz so große Auswirkungen hat und es dann tatsächlich reicht ein Passwort zu ändern. Man sollte IMHO alles in seiner Macht stehende tun um das Risiko eines größern Schadens so gering wie möglich zu halten. Egal ob als Softwareanbieter oder User.
 
Genau das ist das Problem der ganzen Cloud-Dienste. Mir ist das noch zu gefährlich vertrauenswürdige Sachen "irgendwo" im Internet abzulegen.
 
@PowerRanger: Truecrypt Container^^
 
Ein Grund mehr, sich nicht den Dropbox-Client auf den Rechner zu instalieren. Ich erledige alles über das Webinterface von DB.
 
@F98: Ist jetzt aber nicht gerade sooo komfortabel. Da kann man sich die Dateien ja gleich selbst mailen.
 
ähnliche Szenarien gibt es bei den meisten programmen, ich halte es an sich weniger für ein Sicherheitsrisiko, die Entwickler werden es sicher mit den kommenden versionen ändern, jedoch ist es low priority an sich..
 
Würde ja reichen wenn jeder Host eine eindeutige ID bekommt und die id dann lokal vom Client gecheckt wird. Stimmt die ID dann nicht mit der Hardware überein, gibts halt kein connect.
 
Ja ja ... Die Cloud. So einfach, so bequem, so sicher ^^ Da verlass ich mich echt lieber auf einen eigenen kleinen Server zu Hause und einen FTP-Client oder WebDAV. Wenn da was schief geht in Sachen Sicherheit hab ich wenigstens einen den ich dafür in den Hintern treten kann :D
 
@DennisMoore:
Genau meine Meinung... alle loben dieses ganze Cloud Zeugs, aber schlaten ihren Verstand aus. Bei mir geht ebenfalls nichts über jederzeit lokal verfügbare Daten welche ich dann ins Web anbinde.
 
@DennisMoore: Würde ich auch machen, aber leider gibt es keine Internet Provider, die eine angemessene Upload Geschwindigkeit anbieten.
 
Wann gibt es im Portal die Möglichkeit News von bestimmten Redakteuren zu blocken? Sicherheitslücke in Dropbox, das ich nicht lache. Wenn ein Dritter bspw. die Schlüsseldatei von Truecrypt aneignet, liegt die Sicherheitslücke auch wieder beim Programm und nicht beim Nutzer?
 
@RobCole: Seh ich genauso. Ein wirkliches Dropbox Problem ist das nicht. Das ist in etwa so, als würde man KeepassX benutzen, die Passwortdatei aber ohne Masterkey so rumliegen lassen.
 
@ThreeM: oder eher die Passwortdatei zusammen mit dem Masterkey. Genau das gleiche passiert auch, wenn man fremde Cookies mit einer Session-ID übernimmt. Könnte doch als IE oder Firefox Sicherheitsleck angeprangert werden. -.-
 
Kann mir bitte einer sagen ob das schlimm ist wenn ich NUR
Musik drin hab??
 
@Ultimate-Mac-User: Es kommt natürlich drauf an welche Musik du da drauf hast... Hat aber überhaupt nichts mit dem Thema zu tun. Solange du dein Rechner absicherst wird dir nichts passieren.
 
@Ultimate-Mac-User: das musst du selbst wissen. sind doch deine daten. im schlimmsten fall - wenns jemand böse mit dir meint - löscht er die musik vom speicher von daher wären sicherheitskopien angebracht, falls nicht schon vorhanden.
 
@MMD ich hab normale Musik oben, welche Musik sollte ich denn nicht drauf haben versteh ich nicht ganz sry :P
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles