Το Mega ανταποκρίνεται στις ανησυχίες ασφαλείας. υποσχέσεις για κάποιες αλλαγές

Εκπρόσωποι των πρόσφατα εγκαινιασμένων υπηρεσιών αποθήκευσης και κοινής χρήσης αρχείων Mega εξέτασε μερικές από τις ανησυχίες που έθιξαν οι ερευνητές των τελευταίων ημερών σχετικά με την αρχιτεκτονική του ιστοτόπου και την εφαρμογή των κρυπτογραφικών χαρακτηριστικών του.

Ο Διαδικτυακός και ο κατηγορούμενος ψηφιακός παράνομος Kim Dotcom ξεκίνησε πρόσφατα το Mega (short for Mega Encrypted Global Access) δωρεάν αποθήκευσης. Το Mega είναι μόνο ένα συστατικό του Dotcom και της ομάδας του, ελπίζοντας ότι θα είναι μια σουίτα online κρυπτογραφημένων υπηρεσιών από την Mega Ltd., όπως e-mail, voice calls, instant messaging και streaming βίντεο. ότι κάποιοι από τους κινδύνους ασφαλείας που επισημάνθηκαν από τους ερευνητές είναι έγκυροι, αλλά δήλωσαν ότι οι χρήστες είχαν ήδη ενημερωθεί για κάποιες από αυτές μέσω της ενότητας FAQ (Συχνές Ερωτήσεις) του ιστότοπου. Για παράδειγμα, έχει επισημανθεί ότι τα κλειδιά κρυπτογράφησης που δημιουργήθηκαν από τους χρήστες κατά τη διάρκεια της διαδικασίας εγγραφής υπογράφηκαν από τους χρήστες

οι οποίες χρησιμοποιούνται αργότερα για την κρυπτογράφηση των αρχείων τους, κρυπτογραφούνται χρησιμοποιώντας τον κωδικό πρόσβασης του λογαριασμού και αποθηκεύονται μόνο στους διακομιστές της Mega. Δεδομένου ότι δεν υπάρχει καμία δυνατότητα αποκατάστασης κωδικού πρόσβασης, οι χρήστες θα χάσουν τη δυνατότητα να αποκρυπτογραφήσουν τα αρχεία τους, αν ξεχάσουν τους κωδικούς τους, ορισμένοι δήλωσαν.

"Αυτό είναι σωστό - το μόνο κλειδί που απαιτεί η αποθήκευση του MEGA στην πλευρά του χρήστη είναι τον κωδικό πρόσβασης, στον εγκέφαλο του χρήστη ", ανέφεραν οι αξιωματούχοι του Mega. "Αυτός ο κωδικός πρόσβασης ξεκλειδώνει το κύριο κλειδί, το οποίο με τη σειρά του ξεκλειδώνει το αρχείο / φάκελο / κοινόχρηστο / ιδιωτικό κλειδί."

Ωστόσο, ένας μηχανισμός που θα επιτρέψει την ανάκτηση των αρχείων σε περίπτωση που ξεχαστεί ο κωδικός θα εφαρμοστεί στο εγγύς μέλλον, αυτοι ειπαν. Αυτό θα περιλαμβάνει την επιλογή αλλαγής του κωδικού πρόσβασης και εισαγωγής κλειδιών αρχείων για την ανάκτηση των αντίστοιχων αρχείων.

Οι ερευνητές της ασφάλειας σημειώνουν επίσης ότι τα κύρια κλειδιά κρυπτογράφησης παράγονται μέσα στο πρόγραμμα περιήγησης κατά την εγγραφή χρησιμοποιώντας το μαθηματικό.

προσθέτοντας δεδομένα που συλλέγονται από το ποντίκι και το πληκτρολόγιο του χρήστη. "Εντούτοις, προσθέτουμε ένα χαρακτηριστικό που επιτρέπει στον χρήστη να προσθέσει όσο το δυνατόν περισσότερο την εντροπία, προτού προχωρήσει στην παραγωγή κλειδιών", ανέφεραν οι εκπρόσωποι της Mega, διευκρινίζοντας επίσης πώς λειτουργεί το σύστημα επαλήθευσης JavaScript του ιστότοπου, επισημαίνοντας ότι ο κύριος διακομιστής HTTPS που χρησιμοποιεί πιστοποιητικό SSL με κλειδί 2048-bit χρησιμοποιείται για την επαλήθευση της ακεραιότητας του κώδικα JavaScript που εξυπηρετείται από δευτερεύοντες διακομιστές HTTPS που χρησιμοποιούν πιστοποιητικά με κλειδιά 1024-bit. "Αυτό βασικά μας επιτρέπει να φιλοξενήσουμε το εξαιρετικά ευαίσθητο στην ακεραιότητα στατικό περιεχόμενο σε μεγάλο αριθμό γεωγραφικά διαφορετικών εξυπηρετητών χωρίς να ανησυχείτε για την ασφάλεια", δήλωσαν.

Ένας ερευνητής με όνομα Steve Thomas, γνωστός σε απευθείας σύνδεση ως "Sc00bz" οι σύνδεσμοι που περιέχονται στα μηνύματα επιβεβαίωσης που στέλνονται από το Mega κατά τη διαδικασία εγγραφής του λογαριασμού περιέχουν πραγματικά τον κωδικό πρόσβασης του χρήστη.

Η Thomas κυκλοφόρησε ένα εργαλείο που ονομάζεται MegaCracker και μπορεί να χρησιμοποιηθεί για να εξαγάγει τα hash από τέτοιους συνδέσμους και να επιχειρήσει να τα σπάσει χρησιμοποιώντας μια επίθεση λεξικού

Οι υπάλληλοι της Mega, σχολιάζοντας την απελευθέρωση του εργαλείου, δήλωσαν ότι η MegaCracker είναι μια "εξαιρετική υπενθύμιση ότι δεν θα χρησιμοποιηθούν κωδικοί πρόσβασης για εικασίες / λεξικά, ειδικά αν ο κωδικός πρόσβασής σας χρησιμεύει ως κύριο κλειδί κρυπτογράφησης σε όλα τα αρχεία που αποθηκεύετε στο MEGA. "

Ωστόσο, δεν μπόρεσαν να απαντήσουν στο ερώτημα γιατί οι σύνδεσμοι επιβεβαίωσης λογαριασμού που αποστέλλονται μέσω ηλεκτρονικού ταχυδρομείου περιέχουν τον κατακερματισμό του κωδικού πρόσβασης του χρήστη. Η γενική τεχνική που χρησιμοποιείται από άλλους ιστότοπους είναι να δημιουργηθούν τυχαίοι κωδικοί ειδικά για συνδέσεις επιβεβαίωσης

Για να αποφευχθεί η πιθανή προσβολή από τους δυνητικούς εισβολείς αργότερα, οι χρήστες θα πρέπει πιθανώς να διαγράψουν το μήνυμα ηλεκτρονικού ταχυδρομείου επιβεβαίωσης Mega αφού σύνδεσμο και να δημιουργήσετε τους λογαριασμούς τους.