Dougt în legătură cu securitatea serviciului Mega al lui Kim Dotcom

Noua investiție îndrăzneață a lui Kim Dotcom, serviciul de stocare și partajare de fișiere Mega, atrage critici, cercetătorii de securitate analizează modul în care site-ul protejează datele utilizatorilor. Pe scurt, ei recomanda: nu ai incredere in asta

In timp ce oficialii Mega recunosc ca sunt "newbies" la JavaScript, limbajul de programare folosit pentru a executa elementele cheie ale serviciului lor, ei spun ca site-ul lor nu este mai vulnerabil decat online site-uri bancare pentru a ataca.

Dotcom a aruncat duminică o mare petrecere de lansare pentru Mega la conacul său din afara orașului Auckland. Serviciul este succesorul Megaupload, site-ul de partajare a fișierelor în care Dotcom și colegii săi au fost acuzați în SUA în ianuarie 2012 cu privire la taxele privind încălcarea drepturilor de autor.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

MegaMega, noul serviciu de distribuire a fișierelor de la Kim Dotcom, a fost criticat de experții în securitate, dar programatorul șef Bram van der Kolk (stânga) și CTO Mathias Ortmann (dreapta) spun că site-ul lor nu este mai vulnerabil decât site-

Mega folosește SSL (Secure Sockets Layer) un protocol pe scară largă folosit pentru a proteja confidențialitatea și datele, dar implementarea acestei scheme de criptare este fundamental defectuoasă, observă observatorii. criptare pe internet pentru asigurarea conexiunii dintre calculatoarele utilizatorilor și serverele proprii. După ce se face o conexiune SSL, Mega împinge codul JavaScript în browser-ul unei persoane, care apoi criptează fișierele persoanei înainte ca datele să fie trimise pe serverele Mega.

Problema este că SSL a fost mult timp recunoscut ca un punct slab pe web. În 2009, cercetătorul de securitate Moxie Marlinspike a creat un instrument numit SSLstrip, care permite unui atacator să intercepteze și să oprească o conexiune SSL. Ulterior, Mega se bazează pe SSL, "nu există niciun motiv pentru a face criptarea pe partea clientului", a declarat Marlinspike într-un interviu acordat luni. "Aceste tipuri de programe sunt vulnerabile la toate problemele cu SSL".

Cineva care atacă Mega folosind SSLstrip ar putea trimite propriul JavaScript malware personalizat în browser-ul victimei. Utilizatorul i-ar dezvălui în mod inevitabil parola, ceea ce ar permite atacatorului să decripteze toate datele stocate cu Mega.

Mathias Ortmann, CTO Mega, a declarat într-un interviu luni că există o varietate de atacuri bazate pe web pe care Mega le- vulnerabil la fel ca orice alt site care se bazează pe SSL pentru securitate, cum ar fi pentru serviciile bancare online. Aceste scenarii sunt prezentate pe site-ul Mega, a spus el. "Dacă ar fi deranjat să citească faptul că ar fi văzut că noi în principiu afirmăm exact ceea ce ne acuză ca fiind niște vectori de atac, plus alții nu ne acuză de, A spus Ortmann. "Toate aceste atacuri legate de SSL nu se aplică în mod special pentru noi. Acestea se aplică companiilor cu cerințe de securitate la fel de ridicate sau cerințe mai ridicate. "

SSL este susținută de certificate de securitate criptate emise de companii și organizații autorizate. Dar sistemul de emitere a fost mult timp criticat, deoarece escrocii au putut obține certificate valabile pentru site-urile pe care nu le dețin.

Ortmann a recunoscut că cineva ar putea încerca să-i smulgă o autoritate de certificare în emiterea unui certificat SSL real pentru mega.co. nz, ceea ce ar permite atacatorului să creeze un site web fals Mega, care pare să aibă acreditări corespunzătoare.

Într-un semn al disprețului intenționat al întreprinderii Mega a lui Kim Dotcom, Ortmann a spus: "De fapt, aștept ca un guvern să aibă un mega.co.nz certificatul de umbră emis la un moment dat și folosit într-un atac ". Dar Mega va scana periodic pentru certificate SSL neautorizate, a spus el.

Datorită lui Nadim Kobeiss, noul serviciu de distribuire a fișierelor de la Kim Dotcom, Mega, a fost criticat de oameni precum Nadim Kobeissi, dezvoltatorul programului criptat de mesagerie instant Cryptocat, pentru modul în care Mega implementează criptarea.

Dacă serverele Mega ar fi compromise, de asemenea, să fie posibil ca un atacator să furnizeze JavaScript modificat, malware, a declarat Nadim Kobeissi, dezvoltator al programului criptat de mesagerie instant Cryptocat. "De fiecare dată când deschideți site-ul web, codul de criptare este trimis de la zero", a spus Kobeissi. "Deci, dacă într-o zi am decis că vreau să dezactivez toate criptarea pentru tine, Pot servi doar codul dvs. de utilizator diferit care nu criptează nimic și în schimb fură cheile dvs. de criptare. "

Ortmann a contestat că utilizatorii sunt mereu forțați să aibă încredere în furnizorul de servicii atunci când descarcă și rulează codul. Deoarece JavaScript-ul lui Mega este trimis la browser, oamenii vor putea să analizeze regulat codul și să se asigure că acesta este demn de încredere sau nu. Dacă Mega a manipulat JavaScript, "ar fi detectabil", a spus Ortmann.

Marlinspike a spus că o modalitate mai sigură ar fi ca Mega să utilizeze o extensie de browser semnată pentru a cripta datele, ceea ce ar împiedica manipularea de către un atacator. Alternativ, un client instalat de software ar realiza același scop, a spus el, fără a expune un utilizator la nesiguranța SSL.

Marlinspike a spus că crede că utilizatorii Mega nu au nici o importanță fundamentală în ceea ce privește securitatea, distribuire a unui fisier. Deoarece Mega va vedea doar date criptate pe serverele lor, configurarea pare să absolve fondatorii site-ului de la problemele de încălcare a drepturilor de autor ale Megaupload.

"Tot ce contează este faptul că operatorii Mega pot pretinde că nu au capacitatea tehnică de a inspectați conținutul de pe server pentru încălcarea drepturilor de autor ", a spus Marlinspike.

Ca orice nou serviciu online, codul Mega este deja pus la dispoziție. Duminică, a fost dezvăluit că site-ul a avut un defect de scripting încrucișat, care în unele cazuri poate permite unui atacator să fure cookie-urile utilizatorului, ceea ce ar permite cel puțin o preluare temporară a contului victimei. A fost repede rezolvată.

"Problema XSS a fost rezolvată în decurs de o oră", a scris Bram van der Kolk, programatorul șef al Mega, pe Twitter duminică. "Punct foarte valabil, un bug jenant."

Ortmann a elaborat: "Problema scripting-ului a fost mai mult decât jenantă. Nu ar fi trebuit să se întâmple. Acest lucru se datorează faptului că Bram și cu mine suntem complet noi în JavaScript și n-am așteptat niciodată acest comportament de către un browser. Am discutat de fapt, dar nu am testat-o, deci este cam jenant. Acest lucru a fost repetat după 30 de minute sau mai puțin de o oră după ce ne-a fost raportat. "

El a spus că Mega va posta mai multe detalii mai târziu astăzi pe site-ul adresat punctelor ridicate de criticii săi în ceea ce privește securitatea.