Güvenliğinin güvenliğinden şüphe götüren Kim Dotcom'un Mega servisi

Kim Dotcom'un cesur yeni girişimi, dosya depolama ve paylaşma hizmeti Mega, güvenlik araştırmacılarının sitenin kullanıcı verilerini nasıl koruduğunu analiz ettiği için eleştiriler alıyor. Kısacası, şunları tavsiye ediyorlar: ona güvenme.

Mega yetkililer, hizmetlerinin temel öğelerini yürütmek için kullanılan programlama dilini JavaScript'e "yeniler" olarak kabul ettikleri halde, web sitelerinin çevrimiçi ortamdan daha savunmasız olduğunu söylüyorlar Bankacılık siteleri saldırıya geçti

Dotcom, Pazar günü Mega'da Auckland dışındaki bir malikanede büyük bir lansman partisi düzenledi. Hizmet, Dotcom ve meslektaşlarının, telif hakkı ihlali suçlamalarıyla ilgili olarak Ocak 2012'de ABD'de suçlandığı dosya paylaşım sitesi olan Megaupload'un halefi oldu.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kim Dotcom'un yeni dosya paylaşım servisi olan MegaMega, güvenlik uzmanları tarafından eleştirildi, ancak Baş Programcı Bram van der Kolk (solda) ve CTO Mathias Ortmann (sağda), sitelerinin çevrimiçi bankacılık sitelerine göre daha savunmasız olduğunu söylüyor.

Gösterişli Dotcom, Mega'nın kullanıcılarına sitenin şifrelerinin gizliliğini ve verilerini koruyacağına dair güvence veriyor, ancak bu şifreleme şemasının uygulanması temel olarak kusurlu olduğunu iddia ediyor.

Mega, SSL (Güvenli Yuva Katmanı) için çok kullanılan bir protokol kullanıyor. Kullanıcıların bilgisayarları ve kendi sunucuları arasındaki bağlantıyı sağlamak için internet üzerinden şifreleme. Bir SSL bağlantısı yapıldıktan sonra, Mega, bir kişinin tarayıcısına JavaScript kodunu koyar, daha sonra verilerinizi Mega sunucularına gönderilmeden önce şifreler.

Sorun SSL'nin uzun bir süre web üzerinde zayıf bir nokta olarak algılanmasıdır.. 2009 yılında, güvenlik araştırmacısı Moxie Marlinspike, bir saldırganın bir SSL bağlantısını kesip durdurmasını sağlayan SSLstrip adlı bir araç oluşturdu. Saldırgan, kullanıcının sahte web sitesine gönderdiği her türlü veriyi casusluk yapabilir.

Mega temelde SSL'ye bağlı olduğundan, “istemci tarafında şifreleme yapmak için gerçekten bir neden yok,” diyor Marlinspike Pazartesi günkü bir röportajda. “Bu tür şemalar SSL ile ilgili tüm sorunlara karşı savunmasızdır.”

SSLstrip kullanarak Mega'ya saldıran bir kişi, kurbanın tarayıcısına kendi özel zararlı JavaScript'lerini gönderebilir. Kullanıcı kaçınılmaz olarak şifresini, saldırganın Mega ile depolanmış olan tüm verilerini şifresini çözmesini sağlayacaktı.

Mega'nın CTO'su Mathias Ortmann, Pazartesi günü yapılan bir röportajda, Mega’nun çeşitli web tabanlı saldırılar olduğunu söyledi. Çevrimiçi bankacılık gibi güvenlik için SSL'ye dayanan diğer tüm siteler gibi savunmasızdır. Bu senaryolar Mega'nın sitesinde özetlendi.

“Okumaktan rahatsız olsaydı, temelde bizi olası saldırı vektörleri ve diğerleri gibi suçladığını tam olarak neyle suçladığımızı anlarlardı. "Dedi Ortmann. “Bu SSL ile ilgili tüm saldırıların hiçbiri özellikle bizim için geçerli değildir. Aynı derecede yüksek güvenlik gerekliliklerine ve hatta daha yüksek gereksinimlere sahip olan şirketler için geçerlidir. ”

SSL, yetkili şirketler ve kuruluşlar tarafından verilen şifreli güvenlik sertifikaları ile desteklenmektedir. Ancak, dolandırıcıların sahip olmadıkları web siteleri için geçerli sertifikalar alabilmeleri nedeniyle yayınlama sistemi uzun zamandır eleştiriliyor.

Ortmann, birisinin mega.co. için gerçek bir SSL sertifikası vermek için bir sertifika yetkilisini kandırmaya çalışacağını kabul etti. nz, saldırganın sahte bir Mega web sitesi oluşturmasına izin veriyordu, bu da uygun kimlik bilgilerine sahip görünüyor. <>

Kim Dotcom'un Mega girişiminin yoğun hoşnutsuzluğuna karşı, Ortmann şunları söyledi: “Aslında bazı hükümetin mega.co.nz bir noktada verilen gölge sertifikası ve bir saldırıda kullandı. ”Ancak Mega, yetkisiz SSL sertifikalarını periyodik olarak tarayacak, dedi.

Nadim Kobeiss'in izniyle Mega, Kim Dotcom'un yeni dosya paylaşım servisi, Mega'nun şifrelemeyi nasıl yaptığı için şifreli anlık ileti programı Cryptocat'ın geliştiricisi olan Nadim Kobeissi'nin de dahil olduğu insanlar tarafından eleştirildi.

Mega'nın sunucuları tehlikeye girerse şifreli anlık mesajlaşma programı Cryptocat geliştirici, bir saldırganın değiştirilmiş, kötü niyetli JavaScript sunmak için de mümkün olduğunu söyledi Nadim Kobeissi. Mega'nun kendisinin de kötü niyetli kodlar göndermesi de mümkün olabilir.

“Web sitesini her açtığınızda, şifreleme kodu sıfırdan gönderilir,” dedi Kobeissi “Eğer bir gün karar verirseniz sizin için tüm şifrelemeyi devre dışı bırakmak istiyorum. Sadece kullanıcı adınızı şifrelemeyen farklı bir kod sunabilirim ve şifreleme anahtarlarınızı çalabilirim. ”

Ortmann, kullanıcıların kodları indirirken ve çalıştırırken her zaman servis sağlayıcısına güvenmek zorunda kaldıklarını söyledi. Mega'nın javascript tarayıcısına gönderildiğinden, insanlar kodu düzenli olarak analiz edebilecek ve güvenilir olduğundan emin olacaklardır. Mega, JavaScript'le oynanırsa, “tespit edilebilir olurdu,” dedi Ortmann “

Marlinspike, bir saldırganın kurcalanmasını engelleyecek verileri şifrelemek için Mega'nun imzalı bir tarayıcı uzantısı kullanması için daha güvenli bir yol olacağını söyledi. Alternatif olarak, kurulu bir yazılım müşterisi aynı sonucu yerine getirecek, dedi ki, bir kullanıcıyı SSL'nin güvensizliklerine maruz bırakmadan.

Marlinspike, Mega kullanıcılarının temelde güvenlikle ilgilendiğini düşünüyor. dosya paylaşımı. Mega, sunucularında şifrelenmiş verileri göreceğinden, kurulumun, sitenin kurucularını Megaupload'un telif hakkı ihlali sorunlarından kurtardığı görülüyor.

“Önemli olan, Mega'nin operatörlerinin teknik yeteneklerine sahip olmadıklarını iddia etmeleridir. İçeriği telif hakkı ihlali için sunucuda denetleyin, ”diyor Marlinspike.

Herhangi bir yeni çevrimiçi hizmet gibi, Mega'nın kodu zaten üretiliyor. Pazar günü, sitenin bir siteler arası betik kusuru olduğu ortaya çıktı; bazı durumlarda bir saldırganın kullanıcının çerezlerini çalmasına izin vermesi, bu da kurbanın hesabının geçici olarak ele geçirilmesini mümkün kılar. Hızlı bir şekilde düzeltildi.

“XSS sorunu saat içinde çözüldü,” diye yazdı, Pazar günü Twitter'da, mega baş programcısı Bram van der Kolk. “Çok geçerli bir nokta, utanç verici bir böcek”.

Ortmann, şunları söyledi: “Siteler arası komut dosyası sorunu utanç verici değildi. Bu olmamalıydı. Bu aslında Bram ve ben tam bir JavaScript newbies ve bu davranışı bir tarayıcı tarafından beklemiyor olmasından kaynaklanmaktadır. Bunu tartıştık, ama test etmedik, bu çok utanç verici. Bu, bize bildirildikten 30 dakika ya da bir saatten az bir süre sonra giderildi. ”Dedi.

Mega'nun, daha sonra güvenlik konusunda eleştirmenlerin ortaya koyduğu noktaları ele alan web sitesinde daha fazla ayrıntı yayınlayacağını söyledi.