Η αμφιβολία για την ασφάλεια της Mega υπηρεσίας του Kim Dotcom

Η τολμηρή νέα επιχείρηση του Kim Dotcom, η υπηρεσία αποθήκευσης και κοινής χρήσης αρχείων Mega, επικρίνει, καθώς οι ερευνητές της ασφάλειας αναλύουν τον τρόπο με τον οποίο προστατεύει τα δεδομένα των χρηστών. Εν ολίγοις, συμβουλεύουν: δεν το εμπιστεύεστε

Ενώ οι υπάλληλοι της Mega παραδέχονται ότι είναι "αρχάριοι" στη JavaScript, τη γλώσσα προγραμματισμού που χρησιμοποιείται για την εκτέλεση βασικών στοιχείων της υπηρεσίας τους, λένε ότι ο ιστότοπός τους δεν είναι πιο ευάλωτος από ό,

Η Dotcom έδωσε ένα μεγάλο πάρτυ εκτόξευσης για το Mega την Κυριακή στο αρχοντικό του έξω από το Auckland. Η υπηρεσία είναι ο διάδοχος του Megaupload, του ιστότοπου κοινής χρήσης αρχείων, για τον οποίο η Dotcom και οι συνεργάτες του κατηγορήθηκαν στις ΗΠΑ τον Ιανουάριο του 2012 σχετικά με τέλη για παραβίαση πνευματικών δικαιωμάτων.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας με Windows]

Η MegaMega, η νέα υπηρεσία κοινής χρήσης αρχείων από τον Kim Dotcom, έχει επικριθεί από ειδικούς ασφαλείας, αλλά ο επικεφαλής προγραμματιστής Bram van der Kolk (αριστερά) και ο CTO Mathias Ortmann (δεξιά) λένε ότι ο ιστότοπός τους δεν είναι πιο ευάλωτος από τους ιστότοπους ηλεκτρονικής τραπεζικής.

Το φανταχτερό Dotcom διαβεβαιώνει τους χρήστες της Mega ότι η κρυπτογράφηση του site θα προστατεύσει το απόρρητο και τα δεδομένα τους, αλλά η εφαρμογή αυτού του συστήματος κρυπτογράφησης είναι λανθασμένη, παρατηρούν οι παρατηρητές.

Το Mega χρησιμοποιεί ένα SSL (Secure Sockets Layer) κρυπτογράφηση μέσω του διαδικτύου για τη διασφάλιση της σύνδεσης μεταξύ των υπολογιστών των χρηστών και των δικών του διακομιστών. Μόλις γίνει σύνδεση SSL, η Mega ωθεί τον κώδικα JavaScript στον browser του ατόμου, ο οποίος στη συνέχεια κρυπτογραφεί τα αρχεία του ατόμου προτού τα δεδομένα αποστέλλονται στους διακομιστές της Mega.

Το πρόβλημα είναι ότι το SSL αναγνωρίζεται εδώ και πολύ καιρό ως αδύναμο σημείο στον ιστό. Το 2009, ο ερευνητής ασφάλειας Moxie Marlinspike δημιούργησε ένα εργαλείο που ονομάζεται SSLstrip, το οποίο επιτρέπει σε έναν εισβολέα να παρακολουθήσει και να σταματήσει μια σύνδεση SSL. Ο επιτιθέμενος μπορεί τότε να κατασκοπεύσει τα δεδομένα που ο χρήστης στέλνει στον ψεύτικο ιστότοπο.

Δεδομένου ότι η Mega στηρίζεται βασικά στην SSL, "δεν υπάρχει κανένας λόγος να κάνουμε κρυπτογράφηση από την πλευρά του πελάτη", δήλωσε ο Marlinspike σε συνέντευξή του τη Δευτέρα. "Αυτά τα προγράμματα είναι ευάλωτα σε όλα τα προβλήματα με το SSL."

Κάποιος που επιτίθεται στο Mega χρησιμοποιώντας SSLstrip θα μπορούσε στη συνέχεια να στείλει το δικό του προσαρμοσμένο κακόβουλο JavaScript στο πρόγραμμα περιήγησης του θύματος. Ο χρήστης θα αποκαλύψει αναπόφευκτα τον κωδικό του, ο οποίος θα επέτρεπε στον εισβολέα να αποκρυπτογραφήσει όλα τα δεδομένα που είχε αποθηκεύσει με το Mega.

Ο Mathias Ortmann, ο CTO της Mega, δήλωσε σε συνέντευξη Δευτέρας ότι υπάρχουν διάφορες επιθέσεις με βάση το διαδίκτυο, ευάλωτη σε ακριβώς όπως κάθε άλλη τοποθεσία που βασίζεται στο SSL για ασφάλεια, όπως για την online τραπεζική. Αυτά τα σενάρια περιγράφονται στο site της Mega, είπε

"Αν είχαν ενοχλήσει να διαβάσουν ότι θα είχαν δει ότι ουσιαστικά δηλώνουμε τι ακριβώς μας κατηγορούν ως πιθανούς φορείς επίθεσης και μερικούς άλλους δεν μας κατηγορούν για, "Δήλωσε ο Ortmann. "Όλες αυτές οι επιθέσεις που σχετίζονται με SSL δεν ισχύουν ειδικά για εμάς. Ισχύουν για εταιρείες με εξίσου υψηλές απαιτήσεις ασφάλειας ή ακόμη υψηλότερες απαιτήσεις. "

Η SSL υποστηρίζεται από κρυπτογραφημένα πιστοποιητικά ασφαλείας που εκδίδονται από εξουσιοδοτημένες εταιρείες και οργανισμούς. Αλλά το σύστημα έκδοσης έχει κατηγορηθεί εδώ και πολύ καιρό, επειδή οι απατεώνες έχουν κατορθώσει να αποκτήσουν έγκυρα πιστοποιητικά για ιστοσελίδες που δεν κατέχουν.

Ο Ortmann αναγνώρισε ότι κάποιος θα μπορούσε να προσπαθήσει να εξαπατήσει μια αρχή έκδοσης πιστοποιητικών για την έκδοση ενός πραγματικού πιστοποιητικού SSL για το mega.co. nz, που θα επέτρεπε στον επιτιθέμενο να δημιουργήσει έναν ψεύτικο ιστοτόπο Mega που φαίνεται να έχει τα κατάλληλα διαπιστευτήρια.

Σε ένα νεύμα για την έντονη αντιπάθεια της επιχείρησης Mega του Kim Dotcom, ο Ortmann είπε: «Περιμένω πραγματικά κάποια κυβέρνηση να έχει mega.co.nz πιστοποιητικό σκιά που εκδόθηκε σε κάποιο σημείο και χρησιμοποιήθηκε σε μια επίθεση. "Ωστόσο, η Mega θα εξετάζει περιοδικά για μη εξουσιοδοτημένα πιστοποιητικά SSL, δήλωσε.Η νέα υπηρεσία κοινής χρήσης αρχείων από τον Kim Dotcom, Mega, έχει επικριθεί από ανθρώπους όπως ο Nadim Kobeissi, προγραμματιστής του κρυπτογραφημένου προγράμματος ανταλλαγής άμεσων μηνυμάτων Cryptocat, για το πώς η Mega εφαρμόζει κρυπτογράφηση.

θα είναι επίσης δυνατό για έναν εισβολέα να παραδώσει τροποποιημένο, κακόβουλο JavaScript, δήλωσε ο Nadim Kobeissi, προγραμματιστής του κρυπτογραφημένου προγράμματος ανταλλαγής άμεσων μηνυμάτων Cryptocat. Θα ήταν επίσης δυνατό για τον ίδιο τον Mega να παραδώσει κακόβουλο κώδικα

«Κάθε φορά που ανοίγετε τον ιστότοπο, ο κωδικός κρυπτογράφησης αποστέλλεται από το μηδέν», δήλωσε ο Kobeissi «Έτσι, αν κάποια μέρα αποφασίσω ότι θέλω να απενεργοποιήσω όλη την κρυπτογράφηση για εσάς, Μπορώ απλώς να σας εξυπηρετήσω διαφορετικό κωδικό πρόσβασης που δεν κρυπτογραφεί τίποτα και αντ 'αυτού κλέβει τα κλειδιά κρυπτογράφησης. "

Η Ortmann αντιτάχθηκε ότι οι χρήστες αναγκάζονται πάντα να εμπιστεύονται τον πάροχο υπηρεσιών τους κατά τη λήψη και την εκτέλεση κώδικα. Επειδή το JavaScript του Mega's αποστέλλεται στο πρόγραμμα περιήγησης, οι χρήστες θα μπορούν να αναλύουν τακτικά τον κώδικα και να διασφαλίζουν ότι είναι αξιόπιστοι ή όχι. Αν ο Mega αλλοίωσε το JavaScript, "θα ήταν ανιχνεύσιμο", δήλωσε ο Ortmann.

Ο Marlinspike είπε ότι ένας ασφαλέστερος τρόπος θα ήταν η Mega να χρησιμοποιήσει μια υπογεγραμμένη επέκταση του προγράμματος περιήγησης για να κρυπτογραφήσει τα δεδομένα, πράγμα που θα εμπόδιζε την παραβίαση από έναν εισβολέα. Εναλλακτικά, ένας εγκατεστημένος πελάτης λογισμικού θα επιτύχει το ίδιο τέλος, χωρίς να εκθέσει τον χρήστη στις ανασφάλειες του SSL.

Ο Marlinspike δήλωσε ότι πιστεύει ότι οι χρήστες του Mega δεν ενδιαφέρονται ουσιαστικά για την ασφάλεια, αφού ενδιαφέρονται μόνο για κοινή χρήση αρχείων. Δεδομένου ότι η Mega θα δει απλά κρυπτογραφημένα δεδομένα στους διακομιστές τους, η εγκατάσταση φαίνεται να απαλλάσσει τους ιδρυτές της ιστοσελίδας από τα ζητήματα παραβίασης πνευματικών δικαιωμάτων του Megaupload

"Όλα αυτά που έχουν σημασία είναι οι χειριστές της Mega μπορούν να ισχυριστούν ότι δεν έχουν την τεχνική ικανότητα επιθεωρήστε τα περιεχόμενα στον διακομιστή για παραβίαση πνευματικών δικαιωμάτων ", δήλωσε ο Marlinspike.

Όπως κάθε νέα ηλεκτρονική υπηρεσία, ο κώδικας της Mega είναι ήδη προωθημένος. Την Κυριακή αποκαλύφθηκε ότι ο ιστότοπος είχε ελάττωμα σεναρίου μεταξύ ιστοτόπων, το οποίο σε ορισμένες περιπτώσεις μπορεί να επιτρέψει σε έναν εισβολέα να κλέψει τα cookies ενός χρήστη, γεγονός που θα επέτρεπε τουλάχιστον προσωρινή εξαγορά του λογαριασμού του θύματος. Ήταν γρήγορα επιλυθεί.

"Το ζήτημα του XSS επιλύθηκε μέσα στην ώρα", γράφει ο Bram van der Kolk, επικεφαλής προγραμματιστής της Mega, στο Twitter την Κυριακή. "Πολύ έγκυρο σημείο, ενοχλητικό σφάλμα."

Ο Ortmann ανέλυσε: "Το ζήτημα των σεναριογράφων μεταξύ των ιστοτόπων ήταν κάτι περισσότερο από ενοχλητικό. Αυτό δεν έπρεπε να είχε συμβεί. Αυτό οφείλεται πραγματικά στο γεγονός ότι ο Bram και εγώ είμαστε πλήρεις αρχάριοι JavaScript και δεν ανέμενα ποτέ αυτή τη συμπεριφορά από ένα πρόγραμμα περιήγησης. Το συζητήσαμε πραγματικά, αλλά δεν το δοκιμάσαμε, οπότε αυτό είναι ενοχλητικό. Αυτό είχε καθοριστεί μετά από 30 λεπτά ή λιγότερο από μια ώρα μετά την αναφορά μας. "

Είπε ότι η Mega θα δημοσιεύσει περισσότερες λεπτομέρειες αργότερα σήμερα στην ιστοσελίδα που θα απευθύνει τα σημεία που έθεσαν οι επικριτές της σχετικά με την ασφάλεια