Böse Überraschung in der Dropbox

IT-Sicherheitsforscher haben Wege entdeckt, über Filesharing-Dienste wie Dropbox die Sicherheitsmechanismen von Firmen zu durchdringen - und Schadsoftware in deren Intranets zu verbreiten.

Für viele gehört Filesharing inzwischen zum Online-Alltag genauso wie E-Mail oder soziale Netzwerke. Platzhirsch unter den Filesharing-Diensten ist Dropbox mit 175 Millionen Anwendern, dank seiner extremen Nutzerfreundlichkeit, die viele Konkurrenten so nicht hinbekommen. Doch nun warnen Sicherheitsexperten, dass die Synchronisierung der eigenen Dropbox mit der Cloud der Firma aus San Francisco der Verbreitung von Schadsoftware ein neues Einfallstor eröffnet. Alles, was man in den Dropbox-Ordner packe, könne Firewalls auf anderen Rechnern locker passieren, sagt Jacob Williams, Digitalforensiker der CSR Group. „Wir haben das mehrfach getestet, und die Daten kommen direkt durch die Firewall.“

Nicht nur Dropbox, sondern auch Google Drive, SkyDrive, SugarSync und Amazon Cloud Drive sind laut Williams von dem Problem betroffen. „Es ist wie mit E-Mail in den Neunzigern, wir wollten sie unbedingt haben und bekamen auch Spam, Trojaner und andere Schadsoftware.“ Bislang gebe es noch keine Werkzeuge, um Filesharing-Dienste auf die Verbreitung von Malware hin zu untersuchen, so Williams. Bei Dropbox wollte man zu dem Problem noch nicht Stellung nehmen.

Die Befunde zu Dropbox und anderen Filesharing-Diensten sind nur die jüngsten einer langen Liste von Sicherheitsproblemen bei Cloud-Diensten. „Mit der zunehmenden Nutzung von Cloud-Diensten werden wir Angriffe auf diese immer wieder sehen, solange, bis die Plattformen ausgereift sind“, sagt Radu Sion, Informatiker und IT-Sicherheitsforscher an der Stony Brook University. „Wobei der Angriff hier nicht Dropbox selbst gilt, sondern seiner Nutzung. Dropbox hat einen Weg eröffnet, infizierte Dokumente durch Firmen-Firewalls zu bringen.“ Es handele sich um eine gut durchdachte Kombination existierender Sicherheitslücken.

Williams stieß auf das Problem, als ein Kunde ihn bat, die Sicherheit eines Firmennetzwerks zu testen. In einem ersten Schritt antwortete er dem CIO des Unternehmens mit einer E-Mail, die im Anhang ein Dokument mit Schadsoftware enthielt. Mit der konnte er sich später Zugang zum Rechner des Managers verschaffen und fand zunächst Firmendokumente in dessen Dropbox-Ordner. Williams platzierte dann eine infizierte Datei in dem Ordner, die sich über die Synchronisierung des Filesharing-Dienstes durch das Firmen-Intranet verbreitete.

Als nächstes konstruierte er ein Angriffswerkzeug namens DropSmack. Es diente dazu, eine bereits im Dropbox-Ordner des Managers vorhandene Datei zu infizieren. Als der CIO die Datei später wieder öffnete, ermöglichte er damit DropSmack, Angriffe im Intranet auszuführen – darunter den Diebstahl von Dateien aus dem Netzwerk. Williams testete das Verfahren auch auf anderen Filesharing-Diensten.

Zwar sind derartige Angriffe bislang nicht bekannt geworden. „Ich kann mir aber nicht vorstellen, dass noch niemand diese Methode irgendwo eingesetzt hat“, sagt Williams. „Mit den gängigen Software-Werkzeugen ist das so gut wie gar nicht zu entdecken, deshalb wissen wir nichts davon.“ Datendiebstahl mittels Dropbox sei mit den üblichen Abwehrprogrammen kaum beizukommen.

Anderen Forschern gelang es kürzlich, den Code des Dropbox-Client-Programms – das auf dem Rechner eines Nutzers läuft – zu knacken. „Das war eine einfache Aufgabe“, sagt Przemyslaw Wegrzyn von Codepainters, einer polnischen IT-Sicherheitsfirma aus Breslau. Der Schutz des Codes sei ziemlich schlicht gewesen. „Wendet man darauf ein Reverse Engineering an, lässt sich herausfinden, wie das Client-Programm kommuniziert, welche Sicherheitsmechanismen es enthält und auf welcher Ebene man es angreifen kann.“

Veröffentlichungen zum Thema:

Jake Williams: "Post Exploitation Operations with Cloud Synchronisation Services", Präsentation auf der Black Hat Conference 2013.

Dhiru Kholia & Przemyslaw Wegrzyn: "Looking inside the (Drop)box", Veröffentlichung von Usenix. (nbo)