Dropbox ist "ziemlich sicher"
10.11.2012
Die beiden Sicherheitsexperten Florian Ledoux und Nicolas Ruff aus der IT-Abteilung von EADS haben einen kritischen Blick auf Dropbox geworfen und ihre Ergebnisse kürzlich auf der Security-Koferenz hack.lu vorgestellt. Sie erklärten, mit welchen Tricks die Entwickler den in Python geschriebenen Desktop-Client verschlüsselt haben, wie er seine Konfiguration sichert und natürlich auch wie der Datenaustausch funktioniert.
Größere Schwachstellen entdeckten die beiden nicht. "Dropbox ist inzwischen ziemlich sicher", erklärte Nicolas Ruff gegenüber heise Security. Das war freilich nicht immer so. Ein kleineres Sicherheitsproblem kam aber dann doch ans Tageslicht: Der Client prüft ein bestimmtes Zertifikat nicht, wenn er mit anderen Clients im lokalen Netz spricht. Dadurch kann man zum Beispiel den Client eines anderen Netzwerknutzers blockieren.
Die Schwachstelle lässt sich laut den Forschern aber auch zur Überwachung nutzen: Ein Unternehmen könnte etwa überprüfen, ob geheime Firmendokumente das Gebäude durch die Dropbox verlassen (Data Leakage Prevention). Die Sicherheitsexperten haben Dropbox vor der Präsentation über ihre Entdeckung informiert – unter Umständen wurde die Lücke also in der aktuellen Version des Clients bereits geschlossen.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
