Acasă Securitywatch Mega lui Dotcom: probleme de confidențialitate și securitate

Mega lui Dotcom: probleme de confidențialitate și securitate

Video: 🚩Securitate Cibernetica: Tutorial pentru incepatori | Invata Securitate Ep. 1 (Noiembrie 2024)

Video: 🚩Securitate Cibernetica: Tutorial pentru incepatori | Invata Securitate Ep. 1 (Noiembrie 2024)
Anonim

La începutul acestei luni, periculosul (și ocazional încarcerat) Kim Dotcom a lansat un sistem de stocare de fișiere criptat numit Mega. Subliniind problemele legale care au închis compania sa anterioară, Megaupload, Dotcom a prezentat noul serviciu ca fiind privat, criptat și super-sigur. Este clar, însă, că Mega a avut niște idei destul de neobișnuite despre ce înseamnă asta.

Situația de criptare

Mega folosește o schemă inteligentă pentru a servi conexiuni sigure la prețuri ieftine. Utilizatorii se conectează la Mega prin intermediul serverelor centralizate care folosesc chei RSA de 2048 biți. Aceste servere sunt conectate la o rețea distribuită de servere „mai ieftine” folosind chei RSA de 1024 biți. Conform blogului Sophos Naked Security, „asta înseamnă că va trebui să compromiți serverele protejate pe 2048 de biți și serverele protejate pe 1024 de biți pentru a servi scripturi neautorizate din partea de securitate inferioară a rețelei.

"Iată! Un mod îngrijit de a avea tortul de securitate, dar plătiți mai puțin pentru a-l livra."

Schema este inteligentă, dar nu a trecut cu câteva critici - pe care Sophos le-a documentat în detaliu. Problema s-a agravat atunci când fail0verflow a privit JavaScript folosit pentru a muta datele de pe serverele 1024 biți. Au descoperit că Mega a folosit autentificarea CBC-MAC, care conținea o cheie cu coduri dure, vizibil în script. Acest lucru a fost ca și cum ai folosi un blocaj de combinație, dar să scrii codul pe spate, astfel încât să nu-l uiți.

În cazul problemei Java, Mega a redresat rapid situația în câteva ore. Totuși, chiar și acel răspuns rapid nu i-a pus pe toți în largul lor. Consilier principal pentru securitate la Sophos Canada Chester Wisniewski a declarat pentru SecurityWatch , „întrebarea persistentă este dacă personalul / programatorii de la Mega au primul indiciu despre cum să facă criptografia corect?"

El a continuat: „câte alte greșeli ar fi putut să facă? Ar trebui să ai vreodată încredere în altcineva pentru a-ți proteja datele când nu poți vedea cum le fac?"

Pe de altă parte, Sean Bodmer, cercetător șef la CounterTack, a fost contondent în evaluarea sistemelor de criptare ale Mega. „Nu, aceasta nu este o soluție pe termen lung pentru integritatea datelor, ci mai mult ca o soluție de genunchi, o parte a strategiei de piață”.

"Există multe implementări mai fiabile, cum ar fi Google Drive, Dropbox sau SkyDrive, care oferă o soluție de stocare mult mai robustă", a spus Bodmer pentru SecurityWatch .

Totul este să-l păstrăm pe Kim în siguranță

Unul dintre punctele de vânzare ale Mega este că oferă „criptare end-to-end”, unde datele sunt criptate înainte de a fi trimise către Mega, în timp ce stau în Mega și sunt decriptate numai atunci când sunt descărcate de un utilizator cu o cheie criptografică specifică. Ideea este că, chiar dacă Mega este hacked sau (mai probabil) obligat să predea informațiile de către forțele de ordine, datele dvs. ar fi inutile și chiar neidentificabile.

Acest lucru este esențial, deoarece în conformitate cu Legea privind drepturile de autor din SUA Digital Millennium, un site web poate evita pedeapsa pentru găzduirea de conținut protejat de drepturi de autor dacă cooperează rapid cu forțele de ordine pentru eliminarea acestuia. Directiva privind comerțul electronic al UE conține un aranjament de răspundere limitată conceput în mod similar. Pentru Mega, schema de criptare permite utilizatorilor să-și stocheze informațiile într-o formă criptată, dar permite, de asemenea, Dotcom și companiei sale o negabilitate totală când poliția vine să bată.

Cu toate acestea, se pare că Mega nu criptează informațiile utilizatorilor. Experții cu care am vorbit au spus că, deși acest lucru nu era neapărat ciudat - sau chiar neglijent - cei mai mulți au făcut legătura cu cooperarea cu forțele de ordine.

„Nu este neobișnuit, dar sugerează că protecțiile criptografice pe care le-au implementat sunt mai mult pentru a-l proteja pe Mega decât utilizatorul serviciului”, a spus Wisniewski. "Dacă forțele de ordine din Noua Zeelandă doresc să știe despre proprietatea fișierelor și informațiile despre conexiuni, Mega va putea și presupunem că este dispus să predăm aceste informații."

Într-o situație în care utilizatorii Mega predă cheile criptografice pentru a partaja fișiere (acestea sunt deja), iar forțele de ordine pot confirma că conținutul este într-adevăr sub copyright, Mega are acces la informațiile utilizatorului. Acest lucru ar putea permite Mega să-l aibă în ambele moduri; ei pot rămâne orbi de conținutul ilegal din sistemul lor, dar pot fi totuși un „port sigur”.

Bodmer a fost de acord, spunând: „Previziunea de a calcula metricele pentru a ușura provocările legale viitoare pare o abordare logică, aș face același lucru dacă ultima mea aventură s-ar fi încheiat așa cum s-a întâmplat”.

Alex Horan, strategul de securitate la CORE Security, a subliniat că Mega nu va fi singur în a lua măsuri pentru a evita legăturile legale. "Nu există o mulțime de sisteme concepute pentru a proteja compania împotriva litigiilor? Aș susține că Mega este obligată să facă asta", a spus el pentru SecurityWatch .

„Poate fi mai sensibil la ea decât persoana obișnuită, deoarece poate presupune că noul său serviciu ar fi analizat destul de îndeaproape”, a continuat Horan.

A lua cu mâncare

În timp ce Mega cu siguranță criptează informațiile, alte aspecte ale funcționării sale par discutabile. Ceea ce este cel mai tulburător, mai mult decât eșecurile criptografice și sistemele distribuite, este modul în care serviciul este comercializat. Ar trebui să fie clar din start: nu este conceput pentru a vă proteja, este conceput pentru a le proteja.

Pentru mai multe de la Max, urmați-l pe Twitter @wmaxeddy.

Mega lui Dotcom: probleme de confidențialitate și securitate