Pochybovat o zabezpečení služby Mega služby společnosti Kim Dotcom

Odvážný nový podnik Kim Dotcom, služba Mega pro ukládání a sdílení souborů, kritizuje, protože výzkumníci v oblasti bezpečnosti analyzují, jak stránky chrání data uživatelů. Stručně řečeno, poradují: nevěřte tomu.

Zatímco představitelé Megy přiznávají, že jsou "nováčci" k JavaScriptu, programovacímu jazyku používanému k provádění klíčových prvků jejich služeb, říkají, že jejich webová stránka není zranitelnější než on-line

Dotcom hodlá v neděli ve své sídlo mimo Auckland velkou zahajovací večírek pro Mega. Služba je nástupcem serveru Megaupload, který Dotcom a jeho kolegové obdrželi v USA v lednu 2012 za obvinění z porušení autorských práv.

> MegaMega, nová služba sdílení souborů od společnosti Kim Dotcom, byla kritizována bezpečnostními odborníky, ale hlavní programátor Bram van der Kolk (vlevo) a CTO Mathias Ortmann (vpravo) tvrdí, že jejich stránky nejsou zranitelnější než internetové weby.

Mega využívá protokol SSL (Secure Sockets Layer), který je široce používaným protokolem pro ochranu dat. šifrování po internetu za účelem zajištění spojení mezi počítači uživatelů a jeho vlastními servery. Jakmile je provedeno připojení SSL, Mega posune kód JavaScript do prohlížeče osoby, který pak zašifruje soubory osoby před odesláním dat na servery společnosti Mega.

Problémem je to, že SSL je dlouho uznáván jako slabý bod na webu. V roce 2009 bezpečnostní výzkumník Moxie Marlinspike vytvořil nástroj nazvaný SSLstrip, který umožňuje útočníkovi zachytit a zastavit spojení SSL. Útočník pak může sledovat, jaké údaje uživatel odesílá na falešné webové stránky.

Protože Mega se zásadně spoléhá na protokol SSL, "není opravdu žádný důvod k šifrování na straně klienta," uvedl Marlinspike v rozhovoru v pondělí. "Tyto typy schémat jsou zranitelné všemi problémy s protokolem SSL."

Někdo, kdo zaútočí na Mega pomocí protokolu SSLstrip, pak může poslat svůj vlastní škodlivý kód JavaScript do prohlížeče oběti. Uživatel by nevyhnutelně odhalil heslo, které by útočníkovi umožnilo dešifrovat všechna data uložená u společnosti Mega.

Mathias Ortmann, ředitel společnosti Mega, řekl v rozhovoru v pondělí, že existuje řada internetových útoků, stejně jako všechny ostatní stránky, které se spoléhají na zabezpečení SSL, například pro online bankovnictví. Tyto scénáře jsou popsány na webu Mega, řekl: "Pokud by se obtěžovali číst, že by viděli, že v podstatě uvedeme přesně to, co nás obviňují z možných útoků a dalších, které nás neformálně obviňují, "Řekl Ortmann. "Všechny tyto útoky související se SSL se nám nijak zvlášť nevztahují. Platí pro společnosti se stejně vysokými bezpečnostními požadavky nebo dokonce vyššími požadavky. "

SSL je založen na šifrovaných bezpečnostních certifikátech, které vydávají autorizované společnosti a organizace. Systém vydávání je však již dlouho kritizován, protože podvodníci získali platné certifikáty pro webové stránky, které nevlastní.

Ortmann uznal, že někdo by se mohl pokoušet oklamat certifikační autoritu k vydání skutečného certifikátu SSL pro mega.co. nz, což by útočníkovi umožnilo vytvořit falešnou webovou stránku Mega, která by měla patřičná pověření.

Ortmann v kývnutí na intenzivní nechuť společnosti Mega z Kim Dotcomu řekl: "V podstatě očekávám, že nějaká vláda bude mít mega.co.nz stínový certifikát vydaný v určitém okamžiku a použitý v útoku. "Mega však bude pravidelně kontrolovat neautorizované SSL certifikáty, řekl.

Zdvořilost od Nadim KobeissSdílená služba pro sdílení souborů od společnosti Kim Dotcom, Mega, byla kritizována lidmi, včetně Nadima Kobeissiho, vývojáře šifrovaného programu pro zasílání rychlých zpráv Cryptocat, o tom, jak Mega implementuje šifrování.

Pokud by Mega servery byly ohroženy, aby byl útočník schopen dodat upravený škodlivý JavaScript, řekl Nadim Kobeissi, vývojář šifrovaného programu pro zasílání rychlých zpráv Cryptocat. Také by bylo možné, aby Mega sama poskytla škodlivý kód.

"Pokaždé, když otevřete webové stránky, šifrovací kód se posílá od začátku," řekl Kobeissi. "Takže pokud se jednoho dne rozhodnu, že chci zakázat veškeré šifrování pro vás, Mohu jen sloužit vašemu uživatelskému jménu jiný kód, který nešifruje nic a místo toho ukradne šifrovací klíče. "

Ortmann vyvrátil, že uživatelé jsou vždy nuceni věřit svému poskytovateli služeb při stahování a spouštění kódu. Jelikož Mega JavaScript je zaslán do prohlížeče, lidé budou moci pravidelně analyzovat kód a zajistit jeho důvěryhodnost nebo ne. Pokud by Mega manipulovala s JavaScriptem, "bylo by to možné zjistit," řekl Ortmann.

Marlinspike řekl, že Mega bude bezpečnějším způsobem použít podepsané rozšíření prohlížeče pro šifrování dat, což by zabránilo manipulaci útočníkem. Jinak by nainstalovaný softwarový klient dosáhl stejného cíle, řekl, aniž by vystavil uživatele neoprávněnosti SSL.

Marlinspike řekl, že si myslí, že uživatelé Mega se zásadně nestará o bezpečnost, protože se o to jen zajímá Sdílení souborů. Vzhledem k tomu, že společnost Mega bude na svých serverech pouze zobrazovat šifrované údaje, zdá se, že instalace vylučuje zakladatele stránek z problémů s porušováním autorských práv v Megauploadu.

"Všechno, co je důležité, je, že operátoři Mega mohou tvrdit, že nemají technickou schopnost zkontrolovat obsah na serveru kvůli porušení autorských práv, "uvedl Marlinspike.

Stejně jako každá nová služba on-line je Mega kód již prodaný. V neděli se zjistilo, že místo mělo skriptovací chybu napříč lokalitou, což v některých případech dovoluje útočníkovi ukrást cookies uživatele, což by umožnilo alespoň dočasné převzetí účtu oběti. Bylo to rychle opraveno.

"Problém XSS byl vyřešen během hodiny," napsal Bram van der Kolk, hlavní programátor Mega, na Twitteru v neděli. "Velmi platný bod, trapná chyba."

Ortmann zpracoval: "Problém skriptování mezi jednotlivými místy byl víc než trapný. To se nemělo stát. To je opravdu kvůli tomu, že Bram a já jsme úplní JavaScript nováčky a nikdy neočekávali toto chování prohlížečem. Vlastně jsme o tom diskutovali, ale netestovali jsme to, takže je to trochu trapné. To bylo opraveno po 30 minutách nebo méně než hodinu po tom, co nás to oznámilo. "

Řekl, že Mega bude zveřejňovat další podrobnosti později dnes na internetových stránkách, kde se bude zabývat otázkami, které kritici vznesli ohledně bezpečnosti.