Dropbox ist unsicher: wir werden alle sterben!
von caschy | 54 Kommentare
Moin zusammen! Ich habe jetzt eine Handvoll E-Mails bekommen, die auf die aktuelle Diskussion rund um Dropbox hinweisen. Worum es geht? Ein Sicherheitsexperte hat herausgefunden, dass Dropbox unsicher ist. Holla die Waldfee – wer hätte das gedacht? Wir sprechen von einer Software in Symbiose mit einem Dienst, die Daten online speichert. Onlinezugriff und Co via Username und Passwort. Wie bei so vielen anderen Dingen also auch. Genannter Experte hat nun erklärt, dass Dropbox unsicher sei, da (vereinfacht gesprochen)Konfiguration & Co in einer Datei gespeichert sein, die via Trojaner gekapert werden und an den Bösewicht geschickt werden könnte, der dadurch Zugriff auf die Dropbox hat (etwas genauer bei Heise). Meckerpunkt war, dass die config.db alles enthält: man müsste nur diese Datei haben, und man würde ohne Passwortabfrage, Device-Koppelung & Co Zugriff auf die Dropbox haben.
Kommentar: Eine nicht systemabhängige „Master-Datei“ ist unschön, aber: wenn irgendetwas Zugriff auf die config.db von Dropbox erhält – via Trojaner oder whatever, dann hat mein System ganz andere Probleme. Denn dann könnte ich auch auf alles andere zugreifen, nicht nur auf die Dropbox. Des Weiteren: man sollte sensible Daten nur verschlüsselt in der Cloud speichern. Geht auch mit Dropbox in Kombination mit TrueCrypt. Riecht alles ein wenig nach Sommerloch, findet ihr nicht?
Wird geladen ...
Klar, das System hat andere Probleme wenn es soweit gekommen ist. Das ändern aber nichts daran, dass man trotzdem die Datei an das Syste binden könnte um das ganze etwas sicherer zu machen.
Schaden kann es schließlich nicht…
Sehe ich genau so wie es auch der Mitarbeiter von Dropbox schon erklärt hat. Wenn eine fremde Person Zugang zum einen Computer hat, dann ist es schon passiert. Speziell über die Mail Konten kann dieser dann auch gleich alle anderen Passwörter zurücksetzen und darauf zugreifen.
Also: Das „Problem“ besteht bei allen Anwendungen mit Client oder im Browser gespeicherten Passwörter. Hilft nur Verschlüsselung.
Hi Caschy, gebe Dir voll recht – wichtige Dinge gehören verschlüsselt – man legt ja auch nicht die EC-Karte mit der Geheimnummer auf den Schuhputzer und den Hausschlüssel noch daneben. Ich nutze die Dropbox gerne und auch zukünftig und verschlüssle anhand der bei Dir hier seinerzeit Anleitung mit TrueCrypt.
Ein Trojaner kann auch das Eintippen des TrueCrypt-Passwortes abfangen! TrueCrypt ist unsicher! Wir werden alle sterben!
ja, jagd die Sau durchs Dorf 🙂
Genau so ist es: Wem seine config.db abhanden kommt, hat andere Probleme… ich nutze boxcryptor und bin ganz zufrieden damit…
Werden die Dropboxdaten nicht sowieso auf dem Server schon mit AES-256 verschlüsselt? http://www.dropbox.com/help/27
Ja, die Daten werden auf dem Server verschlüsselt. Aber wenn jemand über den Auth-Code deines Clients (~= Passwort) verfügt, kann er diese auch entschlüsseln und somit darauf zugreifen.
Wie schnell das mit dem Sommerloch wiederkommt 😉
Ich kann allen anderen nur zustimmen. Wenn mein PC infiziert ist, was interessieren mich da ein paar Daten in der Wolke?
Ja aber das Problem hier ist aber wenn ich ne Trojaner auf dem PC habe kommt der auch an meine Dropbox. ok Virus/Trojaner gelöscht und meinetwegen sogar den PC komplett neu aufgesetzt. Das hilft alles nichts derjenige der sich die config.db geschnappt hat behält Zugriff auf deine Dropbox und jetzt kommt das wichtige selbst wenn man sein Passwort ändert. Man kommt nur raus wenn man allen Systemen die Autorisierung entzieht auf der Webseite und wieder neu setzt. Das müsste halt automatisch passieren wenn man das Passwort ändert oder optinal gefragt werden.
Gut wäre halt auch sowas wie bei google-mail wo man sehen kann von wo (IP) auf das Konto zugegriffen wurde.
Der Zeitpunkt des letzten Zugriffs gibt es ja sogar schon. Oder man wird automatisch benachrichtigt wenn da was komisches passiert. Ein Client läd die gesamte Dropbox runter obwohl er bereits lange im Account ist etc. …
Von wegen Sommerloch – man muss es doch den bösen Jungs nicht noch leichter machen, oder?
Gibts Jan, Account – My Computers, da siehste den gelinkten Namen und beim blauen ! siehste beim drüberfahren auch die jeweilige IP Adresse.
Zum Thema, ähm ja. Gesunder Menschenverstand vs. „Sicherheitsexperte“. Das ich nicht lache. Ah moment….
@Gabe ah cool ist mir bisher noch nie aufgefallen, Danke
Sommerloch würde ich es nicht bezeichnen. Es gibt genügend Nutzer, die leichtfertig mit Dingen umgehen. Solche Meldungen sensibilisieren weitere Menschen auf Sicherheit zu achten. Sicher, es ist etwas übertrieben dargestellt, es gibt Lösungen, wie im Artikel beschrieben, aber macht das jeder? Wohl kaum. Und genau deswegen sind solche Hinweise Anregungen an die, die noch nicht verschlüsselte Container verwenden.
Die selbst ernannten „Security-Experten“ müssen sich auch regelmäßig in die Öffentlichkeit bringen.
HOLD UP FOR A SEC!
Soll das etwa bedeuten, dass wenn ein Einbrecher in meiner Wohnung ist, dann könnte er auch den Computer stehlen? Oh mein Gott, das ist ja unvorstellbar grausam!
m(
Truecrypt-Container in der Dropbox ist zwar schön und gut, aber dann kann ich nicht mehr vom Smartphone auf die Box zugreifen.
naja also wer in cloud diensten wichtige daten sicehrt hat eh den schuss net gehört. kla ist das unsicher, schließlich muss die firma ja ausspionieren um daten zu verkaufen ….
ja, Tobi, genau… ich glaub, die Tempelritter haben da auch ihre Hände mit im Spiel.
Nö.
– Man bemerkt es nicht.
– Man kann nichts tun, nicht mal das ändern des Passworts hilft.
– Es ist ein völlig unnötiger, anfängerhafter Fehler.
– An Dateien kommt jede Software, die auf dem Rechner läuft, ran. Wenn irgendeine fremde Software mein Passwort abfragt, werde ich doch etwas misstrauisch.
Ich glaube zwar nicht, dass wir alle sterben werden (ich zumindest nicht, ist mir bisher jedenfalls noch nie passiert), aber das ist massiv peinlich, unnötig und sollte zu Wochenendsonderschichten führen, in denen da was gegen getan wird.
Ich denke auch, es gibt keinen Grund zur Panik – es ist dennoch wichtig mögliche Sicherheitslücken so schnell als möglich zu schließen.
@sYndrom: Das ist nicht richtig. Truecrypt gibt es auch z.B.: für Android und iPhone!