Sumnja na sigurnost Mega usluge Kim Dotcom

Hrabar novi pothvat Kim Dotcoma, usluga za pohranu datoteka i dijeljenje Mega, crta kritike dok sigurnosni istraživači analiziraju kako web mjesto štiti korisničke podatke. Ukratko, oni savjetuju: nemojte se pouzdati.

Dok Mega službenici priznaju da su "novci" JavaScript, programski jezik koji se koristi za izvršavanje ključnih elemenata njihove službe, kažu da njihova web stranica nije ranjiviji nego on-line bankovnih mjesta za napad.

Dotcom je u nedjelju u svojoj kući izvan Aucklanda bacio veliku zabavnu zabavu za Megu. Usluga je nasljednik Megauploada, web mjesta za razmjenu datoteka koje je Dotcom i njegovi kolege optuženi za SAD u siječnju 2012. o optužbama za kršenje autorskih prava.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

MegaMega, nova služba za razmjenu datoteka Kim Dotcoma, kritizirali su sigurnosni stručnjaci, no glavni programer Bram van der Kolk (lijevo) i CTO Mathias Ortmann (desno) kažu kako njihova web stranica nije ranjiviji od on-line bankovnih web stranica.

Nevjerojatna Dotcom osigurava korisnicima Mega da šifriranje stranice štiti njihovu privatnost i podatke, ali implementacija te sheme šifriranja u osnovi je manjkava, navode promatrači.

Mega koristi SSL (Secure Sockets Layer) široko korišten protokol za šifriranje preko interneta radi osiguranja veze između računala svojih korisnika i vlastitih poslužitelja. Nakon što je SSL veza napravljena, Mega gura JavaScript kôd pregledniku osobe koja zatim šifrira datoteke osobe prije nego što se podaci šalju Meginim poslužiteljima.

Problem je u tome što je SSL već odavno prepoznat kao slaba točka na webu, U 2009, istraživač sigurnosti Moxie Marlinspike stvorio je alat SSLstrip koji omogućuje napadaču presretanje i zaustavljanje SSL veze. Napadač tada može špijunirati podatke koje korisnik šalje lažnoj web stranici.

Budući da se Mega temeljno oslanja na SSL, "zaista nema razloga za šifriranje na strani klijenta", rekla je Marlinspike u intervjuu u ponedjeljak. "Ove vrste shema su osjetljive na sve probleme sa SSL-om."

Netko tko napada Mega pomoću SSLstripa mogao bi poslati vlastiti zlonamjerni JavaScript na preglednik žrtve. Korisnik će neizbježno otkriti svoju lozinku, što će omogućiti napadaču da dešifrira sve svoje podatke pohranjene u Mega.

Mathias Ortmann, Megaov CTO, izjavio je u intervjuu ponedjeljak kako postoji niz napada na webu koji će Mega biti ranjiva kao i svaka druga web-lokacija koja se oslanja na SSL za sigurnost, kao što je mrežno bankarstvo. Navedeni scenariji su prikazani na Meginoj lokaciji, rekao je.

"Ako su se potrudili pročitati da bi vidjeli da u osnovi navodimo upravo ono što nas optužuju kao moguće napadačke vektore i neke druge koji nas ne optužuju, Rekao je Ortmann. "Svi ti SSL-ovi napadi ne odnose se na nas. Primjenjuju se na tvrtke s jednako visokim sigurnosnim zahtjevima ili čak na veće zahtjeve. "

SSL je podržan šifriranim sigurnosnim certifikatima koje izdaju ovlaštene tvrtke i organizacije. No, sustav izdavanja dugo je kritiziran jer su zlonamjerni časopisi mogli dobiti valjane certifikate za web stranice koje ne posjeduju.

Ortmann je priznao da bi netko mogao probati ovlaštenje za izdavanje certifikata za izdavanje valjanog SSL certifikata za mega.co. nz, koji će omogućiti napadaču stvaranje lažne Mega web stranice koja izgleda kao da ima odgovarajuće vjerodajnice.

U znak da intenzivno ne voljeti Kim Dotcom Mega poduzeća, Ortmann je rekao: "Ja zapravo očekujem da neka vlada imati mega.co.nz potvrda o sjeni izdana u nekom trenutku i korištena u napadu. "No Mega će periodično pretraživati ​​neovlaštene SSL certifikate, rekao je.Ljubaznošću Nadim Kobeiss-a Nova usluga razmjene datoteka od Kim Dotcoma Mega kritizirana je od strane ljudi, uključujući Nadim Kobeissi, developera šifriranog programa za razmjenu trenutnih poruka Cryptocat, kako Mega provodi šifriranje.

Ako su Megin poslužitelji ugroženi, to bi također je moguće da napadač isporučuje modificirane, zlonamjerne JavaScriptove, izjavio je Nadim Kobeissi, programer kodiranog programa za razmjenu trenutnih poruka Cryptocat. "Svaki put kad otvorite web stranicu, kod šifriranja šalje se ispočetka", rekao je Kobeissi. "Dakle, ako jednog dana odlučim da želim onemogućiti sve šifriranje za vas, Mogu samo poslužiti različitim kodovima vašeg korisničkog imena koji ne šifriraju ništa i umjesto toga ukrade ključeve za šifriranje. "

Ortmann je istaknuo da su korisnici uvijek prisiljeni vjerovati u pružatelja usluga prilikom preuzimanja i pokretanja koda. Budući da je Mega JavaScript poslan pregledniku, ljudi će moći redovito analizirati kôd i osigurati da je pouzdan ili ne. Ako je Mega oštetio JavaScript, "to bi bilo moguće otkriti", rekao je Ortmann.

Marlinspike je rekao da je sigurniji način da Mega koristi potpisani produžetak preglednika za šifriranje podataka, što bi spriječilo neovlašteno djelovanje napadača. Alternativno, instalirani klijent softvera bi ostvario isti cilj, rekao je, bez otkrivanja korisnika nesigurnostima SSL-a.

Marlinspike je rekao da misli da Mega korisnici uopće ne zanima sigurnost jer su samo zainteresirani za dijeljenje datoteka. Budući da će Mega samo vidjeti šifrirane podatke na svojim poslužiteljima, čini se da postavljanje oslobađa osnivače web stranice od kršenja autorskih prava u Megauploadu.

"Sve što je bitno operatori Mega mogu tvrditi da nemaju tehničku sposobnost pregledajte sadržaj na poslužitelju zbog kršenja autorskih prava ", rekao je Marlinspike.

Kao i svaka nova mrežna usluga, Megaov kod se već produljava. U nedjelju je otkriveno da je web mjesto imalo nedostatak skriptiranja među web stranicama, što u nekim slučajevima može omogućiti napadaču ukrasti korisničke kolačiće, što bi omogućilo barem privremeno preuzimanje računa žrtve. Brzo je popravljeno. "XSS pitanje je riješeno u roku od sat vremena", napisao je Bram van der Kolk, Megaov glavni programer, na Twitter u nedjelju. "Vrlo valjana točka, embarrassing bug".

Ortmann je razradio: "Problem skriptiranja preko mjesta bio je više nego neugodan. To se ne bi trebalo dogoditi. To je doista zbog činjenice da su Bram i ja potpuno novi JavaScript i nikada nismo očekivali takvo ponašanje preglednika. O tome smo zapravo razgovarali, ali nismo ga testirali, pa je to sramotno. To je bilo fiksirano nakon 30 minuta ili manje od sat vremena nakon što je nama prijavljeno. "

Rekao je da će Mega objaviti više pojedinosti kasnije danas na web stranicama koje se bave pitanjima koje su njegovi kritičari podnijeli glede sigurnosti.