Mega reaguje na bezpečnostní problémy; slibuje změny

Zástupci nově spuštěné služby pro ukládání a sdílení souborů Mega se zabývaly některými obavami, které vznesli výzkumní pracovníci v oblasti bezpečnosti v posledních dnech o architektuře a implementaci jeho kryptografických funkcí.

Internet a obviněný digitální zákoník Kim Dotcom nedávno zahájil Mega (zkrácený pro Mega Encrypted Global Access) volného úložiště. Mega je jen jednou z částí toho, co Dotcom a jeho tým doufá, že bude sada online šifrovaných služeb od společnosti Mega Ltd., včetně e-mailu, hlasových volání, instant messagingu a streamování videa.

že některá bezpečnostní rizika uvedená výzkumnými pracovníky jsou platná, ale uvedla, že uživatelé byli o některých z nich informováni prostřednictvím části nejčastějších otázek (FAQ) na webových stránkách. V případě dalších problémů slibovali některé zlepšení.

[Další čtení: Jak odstranit malware z počítače se systémem Windows]

Bylo například uvedeno, že šifrovací klíče, které jsou později používány k šifrování jejich souborů, jsou šifrovány pomocí hesla účtu a jsou uloženy pouze na serverech společnosti Mega. Protože neexistuje žádná funkce obnovení hesla, uživatelé ztratí schopnost dešifrovat své soubory, pokud zapomenou na jejich hesla, někteří lidé říkají.

"To je správné - jediný klíč, který MEGA vyžaduje, aby byl uložen na straně uživatele, je přihlašovací heslo, v mozku uživatele, "uvedli představitelé Mega. "Toto heslo odemkne hlavní klíč, který zase odemkne soubor / složku / sdílené / soukromé klíče."

Mechanismus, který umožní obnovení souborů v případě, že heslo zapomene, bude v blízké budoucnosti implementováno, říkali. To bude zahrnovat možnost změnit heslo a importovat předem exportované klíče souborů za účelem obnovení odpovídajících souborů.

Vědci v oblasti zabezpečení také poznamenali, že hlavní šifrovací klíče jsou generovány v prohlížeči při registraci pomocí matematiky.random funkci JavaScript a varoval, že tato funkce nevyvíjí dobrou práci při generování náhodných čísel, což znamená, že výsledné klíče mohou být z kryptografického hlediska slabé.

V reakci na to úředníci Mega odpověděli, že entropie- je přidána pomocí dat shromážděných z myši a klávesnice uživatele. "Přidáme však funkci, která uživateli umožní přidávat tolik entropie ručně, jak to považuje za vhodné, než přistoupí k generování klíčů," uvedli.

Zástupci společnosti Mega také objasnili, jak funguje ověřovací systém webu JavaScript, že hlavní server HTTPS, který používá certifikát SSL s klíčem 2048 bitů, se používá k ověření integrity kódu JavaScript, který slouží sekundárním serverům HTTPS, které používají certifikáty s 1024bitovými klíči. "V podstatě nám to umožňuje hostit statický obsah citlivý na integritu na velkém počtu geograficky rozmanitých serverů, aniž bychom se museli starat o bezpečnost."

Vědec jmenovaný Steve Thomas, známý online jako "Sc00bz" odkazy zahrnuté do potvrzovacích e-mailů zaslaných společností Mega během procesu registrace účtu skutečně obsahují heslo hesla uživatele.

Thomas vydal nástroj nazvaný MegaCracker, který lze použít k extrahování hashes z takových odkazů a pokusit se o jejich odstranění pomocí útoku slovníku.

MegaCracker uvedl, že MegaCracker je "výbornou připomínkou, že nepoužívá hesla pro hesla / slovník, konkrétně ne, pokud vaše heslo slouží také jako hlavní šifrovací klíč pro všechny soubory, které ukládáte na MEGA. "

Nicméně se jim nepodařilo zabývat otázkou, proč odkazy na potvrzení účtu zaslané e-mailem obsahují nejprve heslo hesla uživatele. Obecnou technikou používanou jinými webovými stránkami je generování náhodných kódů speciálně pro potvrzovací odkazy.

Aby se potenciálním útočníkům zabránilo v pozdějším získání hesla, uživatelé by pravděpodobně měli vymazat potvrzovací email Mega poté, co klikli na přiložené odkaz a nastavit své účty.