Permalink

29

Dropbox-Sicherheit ist Benutzersache

von M. Steiger | 13. Januar 2009

Ein anonymer MacMacken-Benutzer empfahl per Blogkommentar Dropbox als Alternative zu Wuala – beide Programme ermöglichen das Speichern und Teilen von Daten im Internet. In der Folge fragte ich nach der Sicherheit von Dropbox – ohne vorher die Nutzungsbedingungen von Dropbox gelesen zu haben, denn darin wird die Frage beantwortet …

You acknowledge that if you wish to protect your transmission of data and/or files to Dropbox, it is your responsibility to use a secure encrypted connection to communicate with and/or utilize the Site, Files and Services.

… im Klartext bedeutet diese Bestimmung, dass bei Dropbox der Benutzer für sichere Verbindungen zuständig ist. Wie aber soll der Benutzer bei einer proprietären und «geschlossenen» Software selbst sicherstellen, dass tatsächlich verschlüsselte Verbindungen verwendet werden? :roll:

In der Dropbox-Hilfe wird die gleiche Thematik übrigens anders als im «Kleingedruckten» beschrieben …

All transport of file data and file metadata occurs over SSL. All files are encrypted with AES-256 before being stored on our backend.

… was gilt nun? :?:

Ich bitte Sie um eine Bewertung dieses Artikels

Es gibt noch keine Bewertungen

29 Kommentare

  1. der anonyme Benutzer bin ich ;-)
    Die Möglichkeit die Dateien lokal bei sich im Ordner verschlüsseln zu lassen hatte ich auch schon bei Dropbox im Forum vorgeschlagen; Leider ging das etwas unter.
    Ob und wie dabei die Verbindung gesichert wird, kann ich allerdings auch nicht sagen. Wahrscheinlich gilt die Angabe im Kleingedruckten lediglich für den Upload über deren Hauptseite, wobei das ziemlich inkonsequent wäre…

    • Der Dropbox-Client macht gesicherte Verbindungen zum Server. Das ist aber nur die eine Seite der Medaille! Die Daten liegen nach der gesicherten Übertagung im Backend dann unverschlüsselt; diese Daten bzw. Dateien sind für die Dropbox-Betreiber im Klartext einsehbar!!!
      Und wenn’s noch so eine Panne gibt wie hier “http://www.pressetext.com/news/20110621023″, dann auch noch für andere.

      Daher ist es unerlässlich (wenn man seine Dateien in der Dropbox schützen will), dass man diese Dateien verschlüsselt ablegt.
      Cloud-Dienst leben natürlich auch von ihrem guten (Datenschutz)Ruf – doch die Dropbox ist mittlerweile mehrfach negativ in den Medien aufgetaucht – bin mir nicht sicher, ob der Dropbox-Betreiber noch als vertrauenswürdiger Anbieter gelten kann – naja, das muss jeder für sich selbst entscheiden.

      Ich selbst nutze nun seit mehreren Monaten BoxCryptor 1.x unter Windows, um meine Daten dort verschlüsselt abzulegen und das Querlesen so zu unterbinden – und dies auch von mehreren Clients aus (OS: Vista x86 / W7 x64) . Funktioniert gut. Kann die Nutzung weiterempfehlen.

      VG
      Anonymous

      P.S.: Boxcryptor (www.boxcryptor.com/) gibt es auch in einer Freeware-Version.

  2. der anonyme Benutzer bin ich ;-)

    Jetzt nicht mehr! ;)

    Vielen Dank für Deine Ergänzungen … Dropbox und Wuala haben jeweils ihre Stärken, im Zweifelsfall würde ich wohl Dropbox verwenden und zusehen, dass ich die Sicherheit selbst gewährleisten kann.

  3. Delikat ist ausserdem, das man nach Registrierung den Dropbox Account nicht mehr löschen kann. Ich habe hier auch schon eine E-Mail mit der Bitte um Stellungnahme geschickt. Keine Antwort bisher (2 Wochen her). Oder hat jemand den “Delete Accout Button” gefunden?

    Ulrich, ein Freund von mir hatte mit Dropbox Kontakt, weil er aus versehen zwei Accounts eingerichtet hatte und sie eines händisch löschen mussten. So ist das aufgeflogen.

    Was ich auch erschreckend finde: Ich habe einen iDisk Account mit Groups noch drinne. An sich nicht schlimm. Ich habe den MobileMe Chat genutzt, um zu fragen woran es liegt (Feature wurde gestrichen) – da sagt mir der Typ im Chat – stimmt sie haben da auf der iDisk das Verzeichnis – ich habe gerade drauf geschaut. ??? Soso.

  4. Delikat ist ausserdem, das man nach Registrierung den Dropbox Account nicht mehr löschen kann. Ich habe hier auch schon eine E-Mail mit der Bitte um Stellungnahme geschickt. Keine Antwort bisher (2 Wochen her). Oder hat jemand den “Delete Accout Button” gefunden?

    Nein. Allerdings hilft «Löschen» allein nicht, denn man weiss nicht, ob die Daten tatsächlich gelöscht werden … viele Web 2.0 haben Löschfunktionen leider «vergessen», Vorbild ist jeweils Google.

    Was ich auch erschreckend finde: Ich habe einen iDisk Account mit Groups noch drinne. An sich nicht schlimm. Ich habe den MobileMe Chat genutzt, um zu fragen woran es liegt (Feature wurde gestrichen) – da sagt mir der Typ im Chat – stimmt sie haben da auf der iDisk das Verzeichnis – ich habe gerade drauf geschaut. ??? Soso.

    Bei MobileMe gibt es einen Chat? :?:

    Ich bin mir nicht sicher, ob ich Deine Beschreibung korrekt verstehe – ein Dropbox-Support-Mitarbeiter konnte sich via DropBox Deine iDisk ansehen?

  5. ich habe mal den traffic mit wireshark mitgeschnitten, die verbindung wird jedenfalls per ssl gesichert (zumidest unter windows..).

  6. Pingback: Dropbox und Sicherheit | brain blogt... (jetzt auch!)

  7. @ Andi: bedeutet das, dass meine Daten sicher sind oder nicht?
    Ich habe nämlich auf meinem Dropbox Ordner ein One Note Notizbuch abgelegt, wenn jemand meine Notizen lesen kann ist das alles andere als gut!

    Soweit ich das verstehe ist also One Note verschlüsselt?!? Wie viel Sinn macht es dann noch die Daten mit TrueCrypt zu verschlüsseln?

  8. Wer etwas sicheres sucht sollte TeamDrive verwenden. Die haben ein Datenschutzgütesiegel. Alle Daten werden auf dem Client verschlüsselt und die Schlüssel sind nie auf einem Server. Funkioniert wirklich gut.

  9. TeamDrive funktioniert bei uns super, schützt unsere Privatsphäre und ist obendrein super preiswert. Wir sind eine Gruppe von 10 Leuten und jeder hat 1 GB Speicher frei. Anders als bei Dropbox addiert sich hier der Speicher und wir können die 10 GB zusammen kostenfrei nutzen. Bei Dropbox müsste jeder im Team 10 $ pro Monat zahlen!!!!
    http://www.teamdrive.net

  10. Hallo,
    Ich würde auf Dropbox niemals vertrauliche Daten hochladen, denn man weiß nie was die mit den Daten alles machen. Auch kann man sich nicht sicher sein, dass, wenn man Daten bei Dropbox löscht, diese dann auch wirklich gelöscht sind…
    Aber für das Versenden/Syncen von “nicht vertraulichen” Dateien (z.B. öffentliche Partyfotos, Schulische Arbeiten..) mit seinen Freunden ist Dropbox einfach genial und ich kanns nur empfehlen.

    Wer sich bei Dropbox anmelden möchte kann sich hier https://www.dropbox.com/referrals/NTQyOTgyNjQ5 250MB gratis mehr ergattern :-)

    • Vertraulich sind für mich Dinge, die niemand anders außer mir oder nur ein kleiner Personenkreis einsehen soll. Ich würde zum Beispiel niemals Dateien mit Passwörtern (auch wenn diese verschlüsselt sind) auf dropbox hochladen. Genauso wenig Fotos auf denen ich zb stark alkoholisiert abgebildet bin, image-zerstörende Dinge… Naja, vertraulich lässt sich sehr unterschiedlich definieren, das ist mir bewusst. Wenn man so möchte sind alle Dateien die man so auf seinem pc herumliegen hat vertraulich. Aber wenn man so denkt, dann sollte man auch niemals die Suchmaschine google benutzen ;-)

      Wer sich bei Dropbox anmelden möchte kann sich hier https://www.dropbox.com/referrals/NTQyOTgyNjQ5 250MB gratis mehr ergattern

  11. Wie sicher die hochgeladenen Daten sind ist das eine. Ich frage mich, inwiefern die Daten ausserhalb des Dropbox-Ordners auf dem Mac/PC vor Zugriffen geschützt sind. Weiss da jemand Bescheid?

    • inwiefern die Daten ausserhalb des Dropbox-Ordners auf dem Mac/PC vor Zugriffen geschützt sind. Weiss da jemand Bescheid?

      Diese Frage ist leider nicht einfach zu beantworten. Grundsätzlich stellt die Verwendung von Diensten wie Dropbox auf dem eigenen Mac ein Risiko dar, da man seinen Mac für zusätzliche Verbindungen von aussen öffnen muss.

      In 10 × Mac OS X «Snow Leopard»-Sicherheit für Anfänger lautet meine Empfehlung entsprechend, möglichst auf Freigaben zu verzichten.

  12. Merci für die Antwort. Pefid finde ich, dass, wenn ich unter “Benutzer” -> “Startobjekte” Dropbox lösche, um es manuell nur bei Bedarf zu starten, es sich dort wieder selbst einnistet.

  13. Hmm… Unter “Account” – “Account Settings” gibts bei Dropbox nen “Delete Account” Button. Und so versteckt find ich den jetzt garnicht…

  14. Da ich noch nicht sooooo firm bin, kann mir mal bitte jemand erklären, wie eine DatenUNsicherheit der abgelegten Daten aussehen soll ? Wenn ich im Public-Ordner Daten ablege, dann sind sie natürlich dazu da, daß andere sie lesen / downloaden können. Welche Möglichkeiten hätte den ein böswilliger Angreifer auf die anderen Daten zuzugreifen, die NICHT im Public-Ordner drin sind ?
    Verstanden hab ich ja die Sicherheitsbedenken, verstanden hab ich auch die per SSL geschützte Übertragung, aber danach ? Auf welchem Wege sollte denn so ein Fileserver Daten freigeben, ohne meinen Benutzernamen und das Passwort ? Kann sowas denn auch gehackt werden, wenn z.b. garkein php drauf läuft ?

    • PS: Ich hätte gerne eine fachkundige Antwort, ohne “könnte…” / “kann sein…” / “hab gehört…”
      Vielen Dank

  15. kann mir mal bitte jemand erklären, wie eine DatenUNsicherheit der abgelegten Daten aussehen soll ?

    Sicher :)

    Wenn ich im Public-Ordner Daten ablege, dann sind sie natürlich dazu da, daß andere sie lesen / downloaden können.

    Richtig erkannt, Bruteforce, also das automatisches Ausprobieren von Links, dürfte aufgrund der eindeutigen ID schon mal nicht funktionieren. So sind diese Dateien “einigermassen geschützt”, einigermassen da es doch Methoden und Wege wie die unten beschriebenen gibt.

    Welche Möglichkeiten hätte den ein böswilliger Angreifer auf die anderen Daten zuzugreifen, die NICHT im Public-Ordner drin sind?

    Er bräuchte dein Kennwort ODER es gelingt ihm bei Dropbox auf physischen oder elektronischen Wege einzudringen.
    Klingt jetzt ersteinmal unheimlich schwierig, ein physisches Eindringen dürfte bei einer kleinen Firma wie Dropbox auch nicht ohne weiteres gelingen. Ein Stichwort wäre hier einmal “Social Engineering”, einen schönen Vortrag dazu gab es auf der Easterhegg.
    Tatsächlich ist es aber in solchen Fällen einfacher über die technische Seite anzugreifen – bei Grossfirmen wo man sich problemlos als jemand anders ausgeben kann funktioniert dies aber tatsächlich Hervorragend :)

    Also versuche ich dir mal die technische Seite näher zu bringen.
    Wie schon festgestellt wurde benutzt Dropbox SSL – sprich: Die Verbindung ist verschlüsselt.
    Nun ist es z.B. in einem WLAN Netzwerk möglich den Netzwerkverkehr mitzulesen, bei alter Hardware oder unverschlüsselten WLAN sogar passiv sprich: Es ist _unmöglich_ hier was nachzuweisen. Jetzt ist natürlich die Verbindung zu Dropbox verschlüsselt – Glück gehabt, doch die meisten Leute benutzen überall das gleiche Passwort und es gibt genug unverschlüsselte Seiten so dass ich dein Passwort mitlesen könnte.
    Nun? – Dein WLAN ist etwa verschlüsselt? Immer noch kein Problem! Das eindringen in WEP Netzwerken dauert nur rund 3 Minuten und unsichere WPA Passwörter sind ebenso schnell geknackt. Jetzt läuft die Verbindung zum Router allerdings verschlüsselt ab, so dass ich erstmal aktiv werden muss. Eine kleine Skizze:
    So sieht deine WLAN Verbindung (stark vereinfacht!) normal aus:
    Du Router Provider (Swisscom etc) Webseite
    Es ist allerdings möglich dass ich mich dazwischen hänge, das passiert durch eine sogenannte Man-in-the-middle Attacke.
    Du Eindringling Router Provider (Swisscom etc) Webseite
    Grundsätzlich merkst du beim normalen Surfen erstmal gar nichts davon, besuchst du allerdings eine SSL verschlüsselte Seite erscheint eine Warnung “Das Zertifikat konnte nicht überprüft werden!”, erfahrungsgemäss drücken aber 99% der Anwender auf “Fortfahren” so dass auch hier der Vekehr mitgelesen werden kann. Es ist sogar möglich diese Warnung zu unterdrücken indem man sich ein gültiges Rootzertifikat besorgt, da jede FH Hinterkleinsdorf in Deutschland (und noch zahlreiche andere dubiose Unternehmungen) eines besitzen keine grosse Sache mit den richtigen Mitteln.
    Nun? – Dein WLAN benutzt etwa eine _sichere_ Verschlüsselung? – Für Profis auch kein Problem.
    Ich fasse mal kurz diese Methode zusammen da diese etwas komplexer ist:
    Es ist möglich seinen Computer als “deinen Router” auszugeben und den Clienten somit zwingen sich mit diesen zu verbinden. Dort kann ich dann zwar meistens nur die Handshakes mitlesen aber das wollen wir gar nicht. Ich kann dann hier ganz bequem mitlesen was du gerade machst – problem gelöst.

    Wenn du kein WLAN besitzt gibt es natürlich auch eine ganz andere beliebte Angriffsmethode: Trojaner.
    Trojaner gibt es für so ziemlich jede Plattform – ich habe auch einen kleinen selbstentwickelten im Einsatz welcher auch Rootexploits und Co. inbegriffen hat. Da viele Systeme gnadenlos oft nicht geupdatet worden sind kann ich auch aus der Ferne dir dieses Programm aufspielen. Bei sicheren Systemen ist allerdings physischer Zugriff (3 Sekunden reichen) oder mitwirken des Anwenders (2 Klicks reichen) erforderlich.
    Das ganze kann ich auch eine Stufe höher treiben indem ich in deine Tastatur ein kleines Modul einbaue welches mir deine Tastaturanschläge speichert, der Umbau dauert rund 10 Minuten und ist für dich _nicht_ nachvollziehbar. Sprich: Du hast gar keine Chance den zu erkennen sofern du die Tastatur nicht erneut aufschraubst.

    Wenn das alles nichts hilft kann ich aber auch versuchen andere Geräte von dir anzugreifen, bevorzugt Bluetoothdevices.
    Zahlreiche Handys mit Bluetooth sind gnadenlos veraltet (Nokia und Sony Ericson lassen grüssen ;) ) und unsicher, es ist sehr simpel eine Sicherheitslücke auf diese auszunutzen um nachher vollen Zugriff auf das System zu haben. Spätestens dann kann ich versuchen auf diesen irgendetwas interessantes zu suchen.

    Ich könnte das noch viel weiter fortsetzen (z.B. könnte ich deine Internetverbindung physisch anzapfen) – es gibt unendlich viele Methoden um an Daten wie deine Passwörter etc. zu kommen. Wenn du weitere Infos haben willst kannst du gerne hier nachfragen, allerdings empfiehlt es sich vor allzu trivialen Fragen erst Google zu bemühen um Martin (“Macmacken”) keine zusätzliche Arbeit zu machen. Bitte beachte dass ich hier aufgrund der Rechtslage keine Anleitungen und Programme geben kann.

    Am Schluss noch als Anmerkung: Wenn jemand unbedingt an deine Daten und Passwörter will spart der sich wohl dir 10 Franken für die Schlägerbande auf, spätestens gibst du dein Passwort dann heraus. Da Dropbox kein plausible deniability bietet ist diese Methode sehr erfolgsversprechend.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.