Dragnet: Big Cab / Big Slip / Big Try / Big Little Mother
Predstavnici nedavno pokrenutog servisa za pohranu i razmjenu datoteka Mega uputio je neke od zabrinutosti koje su sigurnosni istraživači postavili posljednjih dana o arhitekturi web-lokacije i implementaciji svojih kriptografskih značajki.
Internet i optuženi digitalni izmet Kim Dotcom nedavno je pokrenuo Mega (kratki za Mega Encrypted Global Access) koji sadrži 50 GB slobodnog prostora za pohranu. Mega je samo jedna komponenta onoga što Dotcom i njegov tim nadaju bit će paket mrežnih šifriranih usluga tvrtke Mega Ltd., uključujući e-poštu, glasovne pozive, instant messaging i video streaming.
U postu objavljenom u utorak, da su neki od sigurnosnih rizika istaknuti od strane istraživača valjani, ali je rekao da su korisnici već bili obaviješteni o nekima od njih kroz FAQ (Često postavljana pitanja) odjeljak na web stranici.
[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]
Na primjer, istaknuto je da ključevi za šifriranje koje generiraju korisnici tijekom signala- up procesa, a koji se kasnije koriste za šifriranje datoteka, šifrirani su pomoću lozinke računa i pohranjeni su samo na Meginim poslužiteljima. Budući da nema značajki za oporavak zaporke, korisnici će izgubiti mogućnost dešifriranja datoteka ako zaborave svoje lozinke, a neki su to rekli.
"Ovo je točno - jedini ključ koji MEGA treba pohraniti na korisničkoj strani jest lozinku za prijavu, u mozgu korisnika ", rekli su Mega dužnosnici. "Ova lozinka otključava glavnu tipku, koja zauzvrat otključava datoteku / mapu / dijeljenje / privatne ključeve."
Međutim, mehanizam koji će omogućiti oporavak datoteka u slučaju zaboravljanja lozinke bit će implementiran u bliskoj budućnosti, rekli su. Ovo će uključivati i opciju za promjenu lozinke i uvoz pre-izvezenih ključeva datoteka kako bi se oporavile odgovarajuće datoteke.
Istraživači sigurnosti također su zabilježili činjenicu da se glavni ključ za šifriranje generira unutar preglednika prilikom prijave pomoću matematike.Random JavaScript funkcije i upozorili da ova funkcija ne radi dobar posao generiranja slučajnih brojeva, što znači da bi dobiveni ključevi mogli biti slabi od kriptografskog stajališta.
Kao odgovor, Mega dužnosnici su rekli da je entropijska slučajnost - dodaje se pomoću podataka prikupljenih korisnikovim mišem i tipkovnicom. "Međutim, dodamo značajku koja korisniku omogućuje ručno dodavanje entropije koliko god on smatra prikladnim prije nego što prijeđe na ključnu generaciju", rekli su.
Mega predstavnici također su pojasnili kako funkcionira JavaScript sustav provjere, primjećujući da glavni HTTPS poslužitelj koji koristi SSL certifikat s ključem od 2048 bit koristi za provjeru cjelovitosti JavaScript koda koji se poslužuje od sekundarnih HTTPS poslužitelja koji koriste certifikate s 1024-bitnim ključem. "To nam u osnovi omogućava da domaćin ekstremno statičnom sadržaju osjetljivom na integritet na velik broj različitih geografski različitih poslužitelja, a da se ne brinu o sigurnosti", rekli su.
Istraživač Steve Thomas, poznat online kao "Sc00bz", utvrdio je u utorak da linkovi koji su uključeni u e-poštu potvrde koju je Mega poslao tijekom postupka registracije računa zapravo sadrže lozinku korisnika lansiranja.
Thomas je objavio alat nazvan MegaCracker koji se može koristiti za izdvajanje haseka iz takvih veza i pokušaja da ih ispucati pomoću rječnika napada.
Komentirajući izdavanje alata, Mega službenici su rekli da je MegaCracker "izvrstan podsjetnik da ne upotrebljavate lozinke za pogodne / rječnik, pogotovo ne ako lozinka služi i kao glavni ključ za šifriranje svih datoteka koje pohranite na MEGA. „
Međutim, nisu se obratili na pitanje zašto su veze za potvrdu računa poslane putem e-pošte korisnici lozinke hash na prvom mjestu. Opća tehnika koristi drugih web stranica je za generiranje slučajnih kodove posebno za potvrdu veze.
Kako bi spriječili potencijalne napadače od dobivanja njihove lozinke mljeveno meso kasnije, korisnici bi trebali vjerojatno izbrisati Mega-poštu potvrde nakon što kliknite na uključeno povezati i postaviti račune.
Cisco VAR slučajevi promjene signala Promjene doći
Cisco je izgubio sudski spor koji je donio prodavač i naređeno je da plati štete od preko 6 milijuna dolara.
Japan uspješno pokrenuo je u petak satelit koji obećava da će pružiti bolji uvid u klimatske promjene uzrokovane stakleničkim plinovima.
Sateliti za promatranje stakleničkih plinova (GOSAT) pokrenut je iz Tanegashima svemirskog centra u zapadnom Japanu u 12:54 u petak, lokalno vrijeme, na nebodirano nebo. Pokretanje H-IIA rakete koja nosi satelit odgođeno je nekoliko dana zbog lošeg vremena, ali na kraju je otišao bez odgađanja. Nekoliko minuta kasnije, video uživo iz rakete pokazao je da se satelit odvaja od plovila.
Adobe Systems će isporučuje svoj prvi set kvartalnih zakrpa sljedećeg utorka, jer tvrtka nastoji poboljšati kako reagira na sigurnosne ranjivosti u svojim široko korištenim proizvodima.
Zakrpe će pokriti Adobe Reader i Acrobat verzije 7.x, 8.x i 9. x za Microsoft Windows i Appleov Mac OS X, napisao je Brad Arkin, direktor za sigurnost i privatnost proizvoda, na sigurnosnom blogu tvrtke. Informacije o zakrpama za Unix sustave bit će objavljene kasnije.