Es gibt zwei Wege, ein technisches System sicher zu machen. Der schlechtere Weg ist, niemandem zu sagen, wie es funktioniert. Im Englischen heißt das Konzept security by obscurity, Sicherheit durch Verschleierung, und gilt als untauglich, um Computerprogramme einbruchsicher zu machen. Denn irgendwer findet immer einen Weg hinein.

Der Speicherdienst Dropbox nutzt das Verfahren trotzdem. Zwei Sicherheitsforscher haben gerade nachgewiesen, dass es eine schlechte Idee war, auf diese Art die Daten von fast 200 Millionen Menschen sichern zu wollen. Dhiru Kholia und Przemysław Węgrzyn haben in einem Vortrag demonstriert, dass sie die Software von Dropbox hacken und damit an die Daten von Nutzern kommen können.

Sie haben den Client gehackt, das Programm also, das jeder auf seinem Rechner oder Smartphone hat, um sich mit den Servern von Dropbox zu verbinden und seine Daten zu verwalten. Das Unternehmen nutzt verschiedene Verfahren, um zu verschleiern, welcher Code in dem Client läuft, wie die Software also genau funktioniert. Den beiden gelang es jedoch nach eigenen Angaben, diese Verschleierung zu knacken und dann den Quellcode zu analysieren.

Sie waren nicht die ersten, die das versuchten. Aber sie sind die ersten, die anschließend den Hack ausführlich öffentlich machten und auch den Code dazu online stellten. Die ursprüngliche Idee des Hackens besagt, dass Systeme nur dann sicherer gemacht werden können, wenn ihr Code bekannt ist und von jedem geprüft werden kann. Daher gilt es heute als wichtiger Standard bei der Entwicklung von sicherheitsrelevanten Programmen, ihre Software von unbeteiligten Dritten analysieren zu lassen. 

Sicherheit durch Offenheit

In diesem Sinne wollen auch Kholia und Węgrzyn ihre Arbeit verstanden wissen. In ihrem Paper dazu schreiben sie, Dropbox solle nicht länger eine Blackbox sein. "Wir glauben, die Plattform Dropbox für weitere Sicherheitsanalysen und –forschungen zu öffnen, ist der größte Beitrag, den wir leisten können."

Die beiden haben aber nicht nur den in der Programmiersprache Python geschriebenen Code von Dropbox geknackt. Es gelang ihnen anschließend auch, eigene Python-Programmzeilen einzuschleusen und so den Dropbox-Client zu übernehmen. So können sie nach eigenen Angaben beliebige Nutzerkonten kapern.

Als eine Ursache nennen sie die Tatsache, dass Dropbox keine ordentliche Identifizierung des Nutzers einsetzt, beziehungsweise diese nicht richtig eingebaut hat. Dropbox verwendet eine sogenannte Zwei-Faktor-Authentifizierung (2FA). Die gilt als durchaus sicher. Aber Kholia und Węgrzyn schreiben, 2FA schütze nur dagegen, dass sich jemand Unbefugtes Zugang zur Website verschaffe. Sie aber hätten eine interne Schnittstelle (internal Client API) entdeckt, bei der die Authentifizierung nicht zum Einsatz komme. Dank dieser Lücke hätten sie sich Zugang zu fremden Konten und den darin gespeicherten Daten verschaffen können.

Sie schreiben, Dropbox arbeite offensichtlich bereits daran, ihren Hack auszuhebeln und habe weitere Verschleierungstechniken installiert. Diese wollten sie aber ebenfalls umgehen.

Schließlich haben die beiden einen quelloffenen Client für Dropbox geschrieben – um zu zeigen, wie es besser gemacht werden könnte. Denn, so heißt es in ihrem Paper, die Verschleierung von Programmcode sei vielleicht ausreichend, um Hobbyhacker fernzuhalten. Im Sinne der Nutzer und deren Sicherheit sei es aber nicht, sich auf solche Verschleierungstechniken zu verlassen.