Mega güvenlik endişelerine cevap veriyor; bazı değişiklikler vaat ediyor

Yeni başlatılan dosya depolama ve paylaşım hizmetlerinin temsilcileri Mega Güvenlik araştırmacıları tarafından son günlerde sitenin mimarisi ve kriptografik özelliklerinin uygulanması ile ilgili endişelerin bir kısmına değindi.

İnternet ve suçlanan dijital kanun kaçağı Kim Dotcom, kısa bir süre önce Mega (Mega Şifreli Küresel Erişim için kısa) özelliğini lanse etti. ücretsiz depolama Mega, Dotcom ve ekibinin, e-posta, sesli arama, anlık mesajlaşma ve video akışı dahil olmak üzere Mega Ltd'den çevrimiçi şifreli bir hizmet paketi olmasını umduğunun sadece bir bileşenidir.

Salı günü yayınlanan bir blog yazısında Mega yetkililer kabul edildi araştırmacıların dikkat çektiği bazı güvenlik risklerinin geçerli olduğu, ancak kullanıcıların web sitelerinin SSS (Sıkça Sorulan Sorular) bölümünden bazılarına önceden bilgi verildiği belirtilmiştir. Diğer sorunlar söz konusu olduğunda, bazı iyileştirmeler yaptıklarını söylediler.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?]

Örneğin, kullanıcı tarafından oluşturulan şifreleme anahtarlarının, Süreç, daha sonra dosyaları şifrelemek için kullanılır, hesap şifresi kullanılarak şifrelenir ve sadece Mega sunucularında saklanır. Parola kurtarma özelliği olmadığından, kullanıcılar parolalarını unuturlarsa dosyalarının şifresini çözme yeteneğini kaybederler, bazı insanlar şöyle dedi:

"Bu doğru-MEGA'nın kullanıcı tarafında saklanması gereken tek anahtardır. Mega kullanıcısı, "kullanıcının şifresine giriş şifresi" dedi. "Bu şifre ana anahtarın kilidini açar ve bu da dosya / klasör / paylaşım / özel anahtarların kilidini açar."

Ancak, şifrenin unutulması durumunda dosyaların kurtarılmasına izin verecek bir mekanizma yakın gelecekte uygulanacaktır., dediler. Bu, ilgili dosyaları kurtarmak için parola değiştirmek ve ön-dışa aktarılmış dosya anahtarlarını içe aktarma seçeneği içerir.

Güvenlik araştırmacıları ayrıca, ana şifreleme anahtarlarının, tarayıcıyı kullanarak, tarayıcıda kayıt kullanarak oluşturulduğunu belirtti..random JavaScript işlevi ve bu işlevin rasgele sayılar üretmek için iyi bir iş yapmadığı uyarısında bulundu, bu da sonuçta ortaya çıkan anahtarların kriptografik açıdan zayıf olabileceği anlamına geliyor.

Buna karşılık Mega yetkililer, entropi-rastgelelik- Kullanıcının fare ve klavye ile toplanan verileri kullanarak eklenir. “Bununla birlikte, kullanıcının, anahtar üretime geçmeden önce el becerisini manuel olarak eklediği kadar entropiye eklemesine izin verecek bir özellik ekleyeceğiz” dedi.

Mega temsilcileri de sitenin JavaScript doğrulama sisteminin nasıl çalıştığını açıkladı. 2048 bit anahtarlı bir SSL sertifikası kullanan ana HTTPS sunucusunun, 1024 bit anahtarlı sertifika kullanan ikincil HTTPS sunucularından sunulan JavaScript kodunun bütünlüğünü doğrulamak için kullanıldığını belirtir. “Bu, temel olarak, güvenlik konusunda endişelenmeden çok sayıda coğrafi açıdan çok çeşitli sunuculara son derece bütünlüğe duyarlı statik içeriği vermemizi sağlıyor” dedi.

“Sc00bz” olarak adlandırılan Steve Thomas adında bir araştırmacı Salı günü buldu. Hesap kayıt işlemi sırasında Mega tarafından gönderilen onay e-postalarında yer alan linkler aslında kullanıcının şifre karmasını içeriyor.

Thomas, MegaCracker adlı bir aracı piyasaya sürdü. Bu tür bağlantılar, bu tür bağlantılardan gelen karmaları ayıklamak ve bir sözlük saldırısı kullanarak bunları kırmaya çalışmak için kullanılabilir.

Aracın piyasaya sürülmesi hakkında yorum yapan Mega yetkililer, MegaCracker'ın "özellikle de şifrenizin MEGA'ya kaydettiğiniz tüm dosyalarda ana şifreleme anahtarı işlevi görmüyorsa, tahmin edilebilir / sözlük şifrelerini kullanmamaları için mükemmel bir hatırlatma" olduğunu söyledi. "

Ancak, e-posta yoluyla gönderilen hesap doğrulama bağlantılarının neden ilk etapta kullanıcının şifre karmasını içerdiği sorusuna cevap vermediler. Diğer web siteleri tarafından kullanılan genel teknik, özellikle onay bağlantıları için rasgele kodlar üretmektir.

Potansiyel saldırganların daha sonra şifre karmaşasını elde etmelerini önlemek için, kullanıcılar muhtemelen Mega onay e-postasını dahil ettikten sonra muhtemelen hesaplarını bağla ve kur.