Mega răspunde preocupărilor legate de securitate; promite schimbări

Reprezentanții noului serviciu de stocare și partajare a fișierelor Mega a abordat unele dintre preocupările ridicate de cercetătorii din domeniul securității în ultimele zile despre arhitectura site-ului și despre implementarea caracteristicilor sale criptografice.

Internetul și criminatul digital acuzat Kim Dotcom a lansat recent Mega (scurt pentru Mega Encrypted Global Access) de stocare gratuită. Mega este doar o componentă a ceea ce Dotcom și echipa sa speră că va fi o suită de servicii criptate online de la Mega Ltd., incluzând e-mail, apeluri vocale, mesagerie instantanee și streaming video.

că unele dintre riscurile de securitate evidențiate de cercetători sunt valabile, dar a spus că utilizatorii au fost deja informați despre unele dintre ele prin intermediul secțiunii Întrebări frecvente (Întrebări frecvente) de pe site. În cazul altor probleme, au promis unele îmbunătățiri.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

De exemplu, a fost subliniat faptul că cheile de criptare generate de utilizatori, up și care ulterior sunt folosite pentru criptarea fișierelor, sunt criptate folosind parola contului și sunt stocate numai pe serverele Mega. Deoarece nu există nici o caracteristică de recuperare a parolei, utilizatorii își vor pierde capacitatea de a decripta fișierele dacă își uită parolele, au spus unii.

"Aceasta este corectă - singura cheie pe care MEGA o cere să fie stocată pe partea utilizatorului este parola de conectare, în creierul utilizatorului ", au spus oficialii Mega. "Această parolă deblochează cheia master, care la rândul ei deblochează fișierele / directorul / partajarea / cheile private."

Cu toate acestea, un mecanism care va permite recuperarea fișierelor în cazul în care parola este uitată va fi implementată în viitorul apropiat, au zis. Aceasta va include o opțiune de schimbare a parolei și de import de chei de fișiere preexportate pentru a recupera fișierele corespunzătoare.

Cercetătorii în domeniul securității au remarcat de asemenea faptul că cheile de criptare principale sunt generate în browser în momentul înscrierii utilizând matematica. Funcția jurnal JavaScript și a avertizat că această funcție nu face o treabă bună de a genera numere aleatorii, ceea ce înseamnă că cheile rezultate ar putea fi slabe din punct de vedere criptografic.

Ca răspuns, oficialii Mega au spus că entropia- se adaugă utilizând datele colectate de la mouse și tastatură ale utilizatorului. "Cu toate acestea, vom adauga o caracteristica care permite utilizatorului sa adauge atat de mult entropia pe care o considera potrivita inainte de a trece la generarea de chei", au spus ei.

Reprezentantii Mega au clarificat de asemenea cum functioneaza sistemul de verificare a JavaScript al site- observând că serverul principal HTTPS care utilizează un certificat SSL cu o cheie de 2048 de biți este utilizat pentru a verifica integritatea codului JavaScript difuzat de la serverele secundare HTTPS care utilizează certificate cu chei de 1024 de biți. "Acest lucru ne permite, în principiu, să găzduim conținutul static extrem de sensibil la integritatea unui număr mare de servere geografice diverse, fără să ne îngrijorăm de securitate", au spus marți.

Un cercetător numit Steve Thomas, cunoscut online ca "Sc00bz" link-urile incluse în e-mailurile de confirmare trimise de Mega în timpul procesului de înregistrare a contului conțin de fapt hash-ul parolei utilizatorului.

Thomas a lansat un instrument numit MegaCracker care poate fi folosit pentru a extrage hash-urile de la astfel de link-.

Comentând eliberarea instrumentului, oficialii Mega au spus că MegaCracker este "un memento excelent pentru a nu folosi parole ghicibile / dicționar, mai exact dacă parola ta servește și ca cheie de criptare pentru toate fișierele pe care le stochezi pe MEGA. „

Cu toate acestea, ei nu au reușit să răspundă la întrebarea de ce link-urile de confirmare a contului trimise prin e-mail conțin în primul rând hash-ul parolei utilizatorului. Tehnica generală utilizată de alte site-uri web este de a genera coduri aleatorii în mod special pentru link-uri de confirmare.

Pentru a împiedica atacatorii potențiali să obțină parola hash la o dată ulterioară, utilizatorii ar trebui să șterge e-mailul de confirmare Mega și stabiliți conturile acestora.