Kim Dotcomin Mega-palvelun turvallisuuden epäilty

Kim Dotcomin rohkea uusi yritys, tiedostojen tallennus- ja jakamispalvelu Mega, vetää kritiikkiä, kun tietoturva-tutkijat analysoivat, miten sivusto suojelee käyttäjien tietoja. Lyhyesti sanottuna he neuvovat: älä luota siihen.

Vaikka Mega-virkamiehet myöntävät, että he ovat "aloittelijoina" JavaScript-ohjelmalle, ohjelmistokieli, joka käyttää heidän palvelunsa keskeisiä elementtejä, sanovat, että heidän verkkosivuillaan ei ole haavoittuvia kuin verkossa pankkisivustoja hyökkäämään.

Dotcom laittoi suuren laukaisupäivän Megalle sunnuntaina Aucklandin ulkopuolella sijaitsevassa kartanossaan. Palvelu on seuraaja Megauploadille, tiedostojen jakamispaikalle, jonka Dotcom ja hänen kollegoidensa syytettiin Yhdysvalloissa tammikuussa 2012 tekijänoikeusloukkausmaksuista.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tietoturva-asiantuntijat ovat arvostelleet Kim Dotcomin uutta tiedostojen jakamispalvelua MegaMega, mutta ohjelmapäällikkö Bram van der Kolk (vasemmalla) ja teknillinen korkeakoulu Mathias Ortmann (oikealla) sanoivat, että sivusto ei ole haavoittuvampi kuin verkkopankki-sivustot.

Väkevä Dotcom varmistaa Megan käyttäjille, että sivuston salaus suojaa yksityisyyttään ja tietojasi, mutta tämän salausjärjestelmän toteuttaminen on periaatteessa puutteellista, tarkkailijat väittävät.

Mega käyttää SSL-protokollaa (Secure Sockets Layer) salaus internetin välityksellä käyttäjien yhteyksien tietokoneiden ja sen palvelimien välisen yhteyden varmistamiseksi. Kun SSL-yhteys on tehty, Mega työntää JavaScript-koodin henkilön selaimelle, joka salaa käyttäjän tiedostot ennen kuin tiedot lähetetään Megan palvelimiin.

Ongelmana on, että SSL on tunnustettu jo kauan verkon heikkona. Vuonna 2009 tietoturva-tutkija Moxie Marlinspike loi SSLstrip-työkalun, jonka avulla hyökkääjä voi katkaista ja pysäyttää SSL-yhteyden. Hyökkääjä voi sitten vakoilla minkä tahansa käyttäjän lähettämät tiedot fake-sivuille.

Koska Mega pohjimmiltaan perustuu SSL: hen, "ei ole todellakaan mitään syytä tehdä asiakaspuolen salausta", Marlinspike sanoi haastattelussa maanantaina. "Tällaiset järjestelmät ovat alttiita kaikista SSL: n ongelmista."

Joku, joka hyökkää Megaa SSLstripin avulla, voi sitten lähettää omia muokattuja haittaohjelmia JavaScriptin uhrin selaimelle. Käyttäjä luovuttaisi väistämättä salasanansa, jonka avulla hyökkääjä voi purkaa kaikki Megan tallennetut tietonsa.

Megan CTO: n Mathias Ortmann, sanoi haastattelussa maanantaina, että on olemassa useita erilaisia ​​web-pohjaisia ​​hyökkäyksiä, jotka Mega olisi kuten kaikille muille sivustoille, jotka käyttävät SSL-suojausta tietoturvaan, kuten verkkopankkiin. Nämä skenaariot on esitetty Megan sivustolla, hän sanoi. "Jos he olisivat vaivautuneet lukemaan, että he olisivat nähneet, että me periaatteessa sanomme tarkalleen, mitä he ovat syyttäen meitä mahdollisiksi hyökkäysvektoreiksi ja joistakin heistä ei ole syytetty meitä, Sanoi Ortmann. "Kaikki SSL-hyökkäykset eivät koske meitä. Ne koskevat yrityksiä, joilla on yhtä suuret turvallisuusvaatimukset tai jopa korkeammat vaatimukset. "

SSL: n perustana ovat valtuutettujen yritysten ja organisaatioiden antamat salatut turvallisuustodistukset. Mutta julkaisujärjestelmää on pitkään arvosteltu, koska huijarit ovat voineet saada päteviä sertifikaatteja niille verkkosivuille, joita he eivät omista.

Ortmann myönsi, että joku voisi yrittää huijata todistuksen myöntäjälle todellisen SSL-todistuksen myöntämisestä mega.co. nz, jonka avulla hyökkääjä voi luoda väärennettyjen Mega-verkkosivustolla, jolla on oikeat tunnistetiedot.

Ortodoksin kimppuun Kim Dotcomin Mega -yrityksen kiivasta vastenmielisyydestä totesi: "Odotan todella, että jotkut hallitukset saavat mega.co.nz varjostustodistus, joka on annettu jossakin vaiheessa ja jota käytetään hyökkäyksessä. "Mutta Mega ajoittain etsii luvattomia SSL-todistuksia, hän sanoi.

Nadim Kobeissin suostumusKiitos Kim Dotcomilta Megasta on kritisoitu ihmisiä, mukaan lukien kriittisen pikaviestiohjelman Cryptocatin kehittäjä Nadim Kobeissi, kuinka Mega toteuttaa salauksen.

Jos Megan palvelimet vaarantuisivat, se on myös mahdollista, että hyökkääjä toimittaa muokatun, haitallisen JavaScript-koodin, sanoi Nadim Kobeissi, Cryptocat-salattujen pikaviestiohjelmien kehittäjä. Lisäksi Mega voisi itse toimittaa haitallisen koodin.

"Aina kun avaat verkkosivuston, salauskoodi lähetetään tyhjästä", Kobeissi sanoi. "Joten jos jossakin päivänä päätän haluan poistaa kaikki salauksen sinulle, Voin vain palvella käyttäjätunnuksesi eri koodia, joka ei salata mitään, vaan varastaa salausavaimet. "

Ortmann vastusti, että käyttäjien on aina pakko luottaa palveluntarjoajaan lataamisen ja koodin suorittamisen aikana. Koska Megan JavaScript on lähetetty selaimeen, ihmiset voivat säännöllisesti analysoida koodia ja varmistaa, että se on luotettava tai ei. Jos Mega vioittui JavaScriptin kanssa, "se olisi havaittavissa", Ortmann sanoi.

Marlinspike sanoi, että Mega olisi turvallisempi käyttää allekirjoitettua selainlaajennusta salakirjoittamaan tiedot, mikä estäisi hyökkääjän tekemän väärinkäytön. Vaihtoehtoisesti asennettu ohjelmistokumppani saisi saman lopputuloksen, sanoo hänelle, altistamatta käyttäjää SSL: n epävarmuustekijöihin.

Marlinspike sanoi, että Mega-käyttäjät eivät olennaisesti välitä paljon turvallisuudesta, koska he vain kiinnostavat tiedostonjako. Koska Mega näkee vain palvelimiltaan salatut tiedot, asetus näyttää vapauttavan sivuston perustajat Megauploadin tekijänoikeusloukkauskysymyksistä.

"Kaikilla on merkitystä, että Megan operaattorit voivat väittää, että heillä ei ole teknistä kykyä tarkasta palvelimen sisällön tekijänoikeusrikkomus ", Marlinspike sanoi.

Kuten kaikki uudet verkkopalvelut, Megan koodi on jo käynnistetty. Sunnuntaina paljastettiin, että sivustolla oli sivustojen välisen komentosarjavirhe, joka joissakin tapauksissa voi sallia hyökkääjän varastaa käyttäjän evästeet, mikä mahdollistaisi ainakin väliaikaisen luovuttamisen uhrin tilille. Se korjasi nopeasti.

"XSS-ongelma ratkaistiin tunnissa", kirjoitti Bram van der Kolk, Megan pääohjelmajohtaja Twitterissä sunnuntaina. "Erittäin kelvollinen kohta, kiusallinen vika."

Ortmann käsitteli: "Sivustojen komentojen kirjoittaminen oli enemmän kuin kiusallista. Se ei olisi pitänyt tapahtua. Tämä johtuu todellakin siitä, että Bram ja minä olemme täydellisiä JavaScript-aloittelijoita, eivätkä ole koskaan odottaneet tätä käyttäytymistä selaimella. Olemme itse keskustelleet siitä, mutta emme testannut sitä, joten se on noloa. Se vahvistettiin 30 minuutin tai alle yhden tunnin kuluttua siitä, kun se oli ilmoitettu meille. "

Hän sanoi, että Mega julkaisee tänään lisää yksityiskohtia verkkosivuillaan, jotka käsittelevät kriitikoidensa turvallisuuteen liittyviä seikkoja.