Wątpliwości co do bezpieczeństwa usługi Mega Kim Dotcom

Odważne nowe przedsięwzięcie firmy Kim Dotcom, usługi przechowywania i udostępniania plików Mega, przyciąga uwagę, ponieważ analitycy bezpieczeństwa analizują, w jaki sposób witryna chroni dane użytkowników. Mówiąc krótko, radzą: nie ufajcie temu.

Podczas gdy przedstawiciele Mega przyznają, że są "początkującymi" w JavaScript, języku programowania używanym do wykonywania kluczowych elementów ich usług, mówią, że ich strona internetowa nie jest bardziej podatna na ataki niż Internet. witryny bankowe do ataku.

Dotcom w niedzielę w swojej rezydencji poza Auckland podał dużą imprezę startową dla Mega. Usługa ta jest następcą Megaupload, witryny udostępniającej pliki, do której Dotcom i jego współpracownicy zostali oskarżeni w Stanach Zjednoczonych w styczniu 2012 r. O opłaty za naruszenie praw autorskich.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

MegaMega, nowa usługa udostępniania plików od Kim Dotcom, została skrytykowana przez ekspertów ds. Bezpieczeństwa, ale główny programista Bram van der Kolk (po lewej) i CTO Mathias Ortmann (z prawej) twierdzą, że ich strona internetowa nie jest bardziej podatna na ataki niż witryny internetowe bankowości internetowej.

Ekstrawagancja Dotcom zapewnia użytkownikom Mega, że ​​szyfrowanie witryny będzie chronić ich prywatność i dane, ale implementacja tego schematu szyfrowania jest zasadniczo wadliwa, twierdzą obserwatorzy.

Mega używa SSL (Secure Sockets Layer) szeroko używanego protokołu dla szyfrowanie w Internecie w celu zabezpieczenia połączenia między komputerami użytkowników a własnymi serwerami. Po nawiązaniu połączenia SSL, Mega przesyła kod JavaScript do przeglądarki osoby, która następnie szyfruje pliki osoby, zanim dane zostaną wysłane do serwerów Mega.

Problem polega na tym, że protokół SSL od dawna jest uznawany za słaby punkt w sieci. W 2009 r. Analityk ds. Bezpieczeństwa Moxie Marlinspike stworzył narzędzie o nazwie SSLstrip, które umożliwia osobie atakującej przechwycenie i zatrzymanie połączenia SSL. Osoba atakująca może następnie śledzić wszelkie dane przesłane przez użytkownika do fałszywej witryny.

Ponieważ Mega zasadniczo opiera się na protokole SSL, "naprawdę nie ma powodu, aby robić szyfrowanie po stronie klienta", powiedział Marlinspike w poniedziałkowym wywiadzie. "Tego typu programy są podatne na wszystkie problemy z SSL."

Ktoś, kto zaatakuje Mega przy użyciu SSLstrip, może następnie wysłać swój własny złośliwy JavaScript do przeglądarki ofiary. Użytkownik nieuchronnie ujawniłby swoje hasło, które pozwoliłoby intruzowi odszyfrować wszystkie jego dane przechowywane w Mega.

Mathias Ortmann, CTO Mega, powiedział w poniedziałkowym wywiadzie, że istnieje wiele internetowych ataków, które Mega będzie wrażliwe na tak, jak każda inna witryna, która korzysta z protokołu SSL w celu zapewnienia bezpieczeństwa, na przykład w przypadku bankowości internetowej. Te scenariusze zostały nakreślone na stronie Mega, powiedział.

"Gdyby zadali sobie trud przeczytania, że ​​widzieliby, że zasadniczo mówimy o tym, o co nas oskarżają jako możliwych wektory ataku plus o innych, którzy nie oskarżają nas o - powiedział Ortmann. "Wszystkie ataki związane z SSL nie odnoszą się specjalnie do nas. Mają one zastosowanie do firm o równie wysokich wymaganiach bezpieczeństwa lub nawet wyższych wymaganiach. "

SSL opiera się na zaszyfrowanych certyfikatach bezpieczeństwa wydawanych przez autoryzowane firmy i organizacje. Ale system wydawania był od dawna krytykowany, ponieważ oszustom udało się uzyskać ważne certyfikaty dla stron internetowych, które nie są ich własnością.

Ortmann przyznał, że ktoś mógłby spróbować oszukać organ certyfikacyjny w wydaniu prawdziwego certyfikatu SSL dla mega.co. nz, który pozwoliłby intruzowi stworzyć fałszywą witrynę Mega, która wydaje się mieć odpowiednie poświadczenia.

W wyrazie ukłonu wobec wielkiej niechęci do Mega firmy Kim Dotcom, Ortmann powiedział: "Właściwie oczekuję, że jakiś rząd będzie miał Świadectwo cienia mega.co.nz wydane w pewnym momencie i użyte w ataku. "Ale Mega będzie okresowo skanował pod kątem nieautoryzowanych certyfikatów SSL, powiedział.

Dzięki uprzejmości Nadima Kobeissa, nowa usługa wymiany plików od Kim Dotcom, Mega, została skrytykowana przez ludzi, w tym Nadima Kobeissiego, twórcę zaszyfrowanego programu do komunikatorów internetowych Cryptocat, za to, jak Mega implementuje szyfrowanie.

Jeśli serwery Mega zostałyby naruszone, możliwe jest również, że osoba atakująca dostarczy zmodyfikowany, złośliwy kod JavaScript, powiedział Nadim Kobeissi, twórca zaszyfrowanego programu do obsługi wiadomości błyskawicznych Cryptocat. Mega może również dostarczyć złośliwy kod.

"Za każdym razem, gdy otwierasz stronę, kod szyfrujący jest wysyłany od zera," powiedział Kobeissi "Więc jeśli pewnego dnia zdecyduję, że chcę wyłączyć szyfrowanie dla ciebie Mogę po prostu podać swoją nazwę użytkownika inny kod, który niczego nie zaszyfruje i zamiast tego kradnie twoje klucze szyfrowania. "

Ortmann odpowiedział, że użytkownicy zawsze muszą zaufać swojemu dostawcy usług podczas pobierania i uruchamiania kodu. Ponieważ JavaScript Mega jest wysyłany do przeglądarki, ludzie będą mogli regularnie analizować kod i upewnić się, że jest on wiarygodny lub nie. Gdyby Mega zmienił kod JavaScript, "byłby wykrywalny", powiedział Ortmann.

Marlinspike powiedział, że Mega będzie bezpieczniej używać podpisanego rozszerzenia przeglądarki do szyfrowania danych, co zapobiegnie manipulowaniu przez atakującego. Alternatywnie, zainstalowany klient oprogramowania osiągnąłby ten sam cel, jak powiedział, nie narażając użytkownika na niepewność SSL.

Marlinspike powiedział, że uważa, że ​​użytkownicy Mega zasadniczo nie dbają o bezpieczeństwo, ponieważ są po prostu zainteresowani udostępnianie plików. Ponieważ Mega po prostu zobaczy zaszyfrowane dane na swoich serwerach, instalacja wydaje się zwalniać założycieli witryny z problemów związanych z naruszeniem praw autorskich Megaupload.

"Liczy się tylko to, że operatorzy Mega mogą twierdzić, że nie mają technicznej możliwości sprawdź zawartość na serwerze pod kątem naruszenia praw autorskich ", powiedział Marlinspike.

Jak każda nowa usługa online, kod Mega jest już wspierany. W niedzielę okazało się, że na stronie występuje luka w zabezpieczeniach cross-site, która w niektórych przypadkach może pozwolić osobie atakującej wykraść pliki cookie użytkownika, co umożliwi przynajmniej tymczasowe przejęcie konta ofiary. Zostało to szybko naprawione.

"Problem XSS został rozwiązany w ciągu godziny," napisał Bram van der Kolk, główny programista Mega, na Twitterze w niedzielę. "Bardzo ważny punkt, kłopotliwy błąd."

Ortmann wyjaśnił: "Problem z cross-site scripting był więcej niż żenujący. To nie powinno się stać. Jest tak naprawdę ze względu na to, że Bram i ja jesteśmy kompletnymi początkującymi użytkownikami JavaScript i nigdy nie spodziewaliśmy się takiego zachowania przez przeglądarkę. Właściwie to omawialiśmy, ale nie testowaliśmy tego, więc jest to trochę zawstydzające. Zostało to naprawione po 30 minutach lub mniej niż godzinę po tym, jak zostało nam to zgłoszone. "

Powiedział, że Mega opublikuje więcej szczegółów na stronie internetowej poświęconej punktom podniesionym przez krytyków w zakresie bezpieczeństwa.