A Kim Dotcom Mega szolgáltatásának biztonságára vonatkozó gyanakvás

Kim Dotcom merész új vállalata, a Mega fájlmegosztási és -megosztási szolgáltatás kritikákat vet fel, mivel a biztonsági kutatók elemzik, hogyan védi a webhely a felhasználók adatait. Röviden, azt tanácsolják: ne bízzatok benne.

Bár a Mega tisztviselői elismerik, hogy "kezdődnek" a JavaScriptnek, a szolgáltatás kulcsfontosságú elemeinek végrehajtására használt programozási nyelvnek, azt mondják, hogy weboldaluk nem sebezhetőbb, mint az online banki helyszínek támadására.

A Dotcom vasárnap nagy bálázót indított a Megaért Aucklandon kívüli kastélyában. A szolgáltatás a Megaupload, a fájlmegosztó oldal utódja, amelyre a Dotcom és munkatársai 2012 januárjában vádat emeltek az Egyesült Államokban a szerzői jogok megsértésével kapcsolatos díjak miatt.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről] MegaMega, a Kim Dotcom új fájlmegosztási szolgáltatását biztonsági szakértők bírálják, de a programozó Bram van der Kolk (balra) és a műszaki igazgató Mathias Ortmann (jobbra) azt állítják, hogy weboldaluk nem sebezhetőbb, mint az online banki weboldalak.

A megdöbbentő Dotcom biztosítja Mega felhasználóinak, hogy a webhely titkosítása megvédi adatainak és adatainak védelmét, de a titkosítási rendszer végrehajtása alapvetően hibás, a megfigyelők azt állítják.

Mega az SSL (Secure Sockets Layer) titkosítás az interneten keresztül annak érdekében, hogy biztosítsa a kapcsolatot a felhasználók számítógépének és saját szervereinek. Az SSL kapcsolat létrejötte után a Mega a JavaScript böngészőjébe helyezi a kódot, amely titkosítja a személy fájljait, mielőtt elküldenek adatokat Mega szervereire.

A probléma az, hogy az SSL-t már régóta felismerték gyenge pontként az interneten. 2009-ben a biztonsági kutató Moxie Marlinspike létrehozott egy SSLstrip nevű eszközt, amely lehetővé teszi a támadók számára az SSL-kapcsolat lehallgatását és leállítását. A támadó ezután kémelheti a felhasználó által a hamis weboldalra küldött adatokat.

Mivel a Mega alapvetően SSL-re támaszkodik, "valóban nincs ok az ügyféloldali titkosításhoz" - mondta Marlinspike hétfőn. "Az ilyen típusú rendszerek sérülékenyek az SSL összes problémájával kapcsolatban."

Valaki, aki az SSLstrip használatával támadja meg a Megát, elküldheti saját hibás JavaScriptjét az áldozat böngészőjének. A felhasználó elkerülhetetlenül nyilvánosságra hozza jelszavát, amely lehetővé tenné a támadó számára, hogy visszafejtsön minden Mega tárolt adatot.

Mathias Ortmann, a Mega CTO mondja egy hétfői interjúban, hogy számos internetes támadás létezik ugyanúgy sebezhető, mint bármely más olyan webhely, amely SSL-re támaszkodik a biztonságért, például az online banki szolgáltatásokért. Ezeket a forgatókönyveket Mega honlapján vázolták fel, azt mondta: "Ha meg akarták olvasni, akkor látták volna, hogy alapvetően pontosan megmondjuk, hogy mi minket támadnak minket a lehetséges támadási vektorok, valamint mások, akik nem vádolnak bennünket - mondta Ortmann. "Mindezek az SSL-vel kapcsolatos támadások nem vonatkoznak kifejezetten ránk. Olyan vállalatokra vonatkoznak, amelyek ugyanolyan magas biztonsági követelményekkel rendelkeznek, vagy még nagyobb követelményeket támasztanak. "

Az SSL-t titkosított biztonsági tanúsítványok támasztják alá, amelyeket engedélyezett vállalatok és szervezetek bocsátanak ki. De a kibocsátó rendszert régóta bírálta, mivel a csalók képesek érvényes tanúsítványokat szerezni olyan weboldalakra, amelyeknek nincsenek saját tulajdonuk.

Ortmann elismerte, hogy valaki megpróbálhatja megcsinálni egy tanúsító hatóságot egy valódi SSL tanúsítvány kiadásáért mega.co. nz, amely lehetővé tenné a támadó számára, hogy hozzon létre egy hamis Mega weboldalt, amely úgy tűnik, hogy megfelelő hitelesítői.

Kimutatottan a Kim Dotcom Mega vállalkozása iránti erőteljes ellenszenve, Ortmann azt mondta: "Valójában egy kormányt várok mega.co.nz árnyék tanúsítványt adott ki egy ponton, és egy támadásban használják. "De a Mega rendszeresen ellenőrzi az illetéktelen SSL tanúsítványokat, azt mondta.

A Kobeiss Nadim jóvoltából A Kim Dotcom, Mega új fájlmegosztási szolgáltatását bírálta az emberek, köztük Nadim Kobeissi, a Cryptocat titkosított azonnali üzenetküldő program fejlesztője, a Mega titkosítási módszereiért.

Ha a Mega szerverei veszélybe kerültek, akkor lehet, hogy a támadók módosított, rosszindulatú JavaScripteket küldhetnek, mondta Nadim Kobeissi, a Cryptocat titkosított azonnali üzenetküldő program fejlesztője. Lehetséges, hogy a Mega maga is rosszindulatú kódot bocsáthat ki.

"Minden alkalommal, amikor megnyitja a webhelyet, a titkosítási kódot a semmiből küldik" - mondta Kobeissi. Tehát ha egy nap úgy döntenek, hogy letiltom az összes titkosítást, Csak a felhasználónevét más kóddal tudom kiszolgálni, amely nem titkosít valamit, hanem ellopja a titkosítási kulcsokat. "

Ortmann ellenezte, hogy a felhasználók mindig kénytelenek megbízni a szolgáltatójukban a kód letöltése és futtatása során. Mivel a Mega JavaScriptjét elküldjük a böngészőnek, az emberek rendszeresen elemezhetik a kódot, és biztosak lehetnek benne, hogy megbízható vagy sem. Ha a Mega manipulálta volna a JavaScript-t, akkor "kimutatható lenne" - mondta Ortmann.

Marlinspike szerint a Mega biztonságosabb módja lenne egy aláírt böngésző kiterjesztésnek az adatok titkosítására, ami megakadályozná a támadók beavatkozását. Egy másik megoldás szerint egy telepített szoftveres ügyfél ugyanazt a véget fogja elérni, mondta, anélkül, hogy a felhasználó ki lenne téve az SSL bizonytalanságainak.

Marlinspike azt mondta, hogy a Mega felhasználók alapvetően nem törődnek a biztonsággal, fájlmegosztás. Mivel Mega csak látni fogja a titkosított adatokat a szerverein, a beállítás úgy tűnik, hogy felmentse a webhely alapítóit a Megaupload szerzői jogokkal kapcsolatos jogsértési kérdéseiről.

"Mindenesetre a Mega üzemeltetői azt állítják, hogy nincs technikai képessége ellenőrizze a kiszolgáló tartalmát a szerzői jogok megsértése miatt "- mondta Marlinspike.

Mint minden új online szolgáltatás, a Mega kódja már elakadt. Vasárnap kiderült, hogy a webhelynek kereszttelepítési hibája volt, amely egyes esetekben lehetővé teheti egy támadó számára, hogy ellopja a felhasználó cookie-jait, ami lehetővé tenné legalább egy áldozat számlájának ideiglenes átvételét. Gyorsan rögzítettük.

"Az XSS-probléma megoldódott az órán belül" - írta Bram van der Kolk, a Mega fő programozója a Twitteren vasárnap. "Nagyon hasznos pont, zavarba ejtő hiba."

Ortmann kidolgozta: "A cross-site scripting probléma több volt, mint kínos. Ez nem történhetett meg. Ez valóban annak a ténynek köszönhető, hogy Bram és én teljes JavaScript újoncok, és soha nem számítottam ezt a viselkedést egy böngészővel. Valójában beszéltünk róla, de nem teszteltük, szóval ez kínos. Ezt a megoldást 30 percen belül vagy kevesebb, mint egy órával azután jelentették be. "

Azt mondta, hogy Mega ma később részleteket fog közzétenni a weboldalon, amely a kritikusok által a biztonságra vonatkozóan felvetett kérdésekre hivatkozik.