Дом Securitywatch Мега Dotcom: проблемы конфиденциальности и безопасности

Мега Dotcom: проблемы конфиденциальности и безопасности

Видео: Раффаэлло Д'Андреа: Восхитительный атлетизм квадролётов (Ноябрь 2024)

Видео: Раффаэлло Д'Андреа: Восхитительный атлетизм квадролётов (Ноябрь 2024)
Anonim

Ранее в этом месяце постоянно яркая (а иногда и заключенная в тюрьму) Ким Дотком запустила систему хранения зашифрованных файлов под названием Mega. Освещая юридические проблемы, которые закрывали его предыдущую компанию Megaupload, Dotcom рекламировал новый сервис как частный, зашифрованный и сверхзащищенный. Понятно, однако, что у Mega было довольно необычное представление о том, что это значит.

Ситуация с шифрованием

Mega использует продуманную схему для дешевого обслуживания защищенных соединений. Пользователи подключаются к Mega через централизованные серверы, которые используют 2048-битные ключи RSA. Эти серверы подключены к распределенной сети «более дешевых» серверов с использованием 1024-битных ключей RSA. Согласно блогу Sophos Naked Security, «это означает, что вам придется скомпрометировать 2048-битные серверы и 1024-битные серверы, чтобы обслуживать неавторизованные сценарии из части сети с более низким уровнем безопасности».

«Вот! Отличный способ получить свой защитный торт, но платить меньше, чтобы его доставить».

Схема умна, но не прошла проверку с некоторыми критиками, которые Sophos подробно описал. Дело ухудшилось, когда fail0verflow посмотрел на JavaScript, используемый для перемещения данных с 1024-битных серверов. Они обнаружили, что Mega использует проверку подлинности CBC-MAC, которая содержит жестко закодированный ключ, ясно видимый в скрипте. Это было похоже на использование кодовой блокировки, но написание кода на обороте, чтобы вы его не забыли.

В случае проблемы с Java, Mega быстро исправила ситуацию в течение нескольких часов. Однако даже такой быстрый ответ не успокоил всех. Старший советник по безопасности в Sophos Canada Честер Вишневски сказал SecurityWatch : «Остается вопрос, остающийся в силе: есть ли у сотрудников / программистов в Mega первый ключ к пониманию того, как правильно выполнять криптографию?"

Он продолжил: «Сколько еще ошибок они могли совершить? Должны ли вы когда-либо доверять кому-то другому в защите ваших данных, когда вы не видите, как они это делают?»

Шон Бодмер, главный исследователь CounterTack, с другой стороны, был тупым в своей оценке систем шифрования Mega. «Нет, это не очень продуманное долгосрочное решение для обеспечения целостности данных, но, скорее, решение для коленного рефлекса является частью стратегии выхода на рынок».

«Существует много более надежных реализаций, таких как Google Drive, Dropbox или SkyDrive, которые предлагают гораздо более надежное решение для хранения данных», - сказал Бодмер SecurityWatch .

Это все о сохранности Ким в безопасности

Одним из преимуществ Mega является то, что он предлагает «сквозное шифрование», когда данные шифруются перед отправкой в ​​Mega, пока они находятся в Mega, и дешифруются только при загрузке пользователем с определенным криптографическим ключом. Идея состоит в том, что даже если Mega будет взломана или (что более вероятно) вынуждена передать информацию правоохранительным органам, ваши данные будут бесполезными и даже неидентифицируемыми.

Это очень важно, поскольку в соответствии с Законом США о защите авторских прав в цифровую эпоху веб-сайт может избежать наказания за размещение защищенного авторским правом контента, если он быстро сотрудничает с правоохранительными органами для его удаления. Директива ЕС об электронной торговле содержит аналогичное соглашение об ограниченной ответственности. Для Mega схема шифрования позволяет пользователям хранить свою информацию в зашифрованном виде, но она также позволяет Dotcom и его компании полностью опровергать информацию, когда полиция стучит.

Однако, как сообщается, Mega не шифрует пользовательскую информацию. Эксперты, с которыми мы беседовали, сказали, что, хотя это не обязательно является специфическим - или даже небрежным - большинство действительно связывают сотрудничество с правоохранительными органами.

«Это не является необычным, но предполагает, что криптографическая защита, которую они внедрили, предназначена для защиты Mega, а не для пользователя сервиса», - сказал Вишневски. «Если правоохранительные органы Новой Зеландии захотят узнать о владельце файла и информации о подключении, Mega сможет это сделать, и мы предполагаем, что готовы передать эту информацию».

В ситуации, когда пользователи Mega раздают свои криптографические ключи, чтобы делиться файлами (какими они уже являются), и правоохранительные органы могут подтвердить, что содержание действительно защищено авторским правом, Mega имеет доступ к информации пользователя. Это может позволить Mega иметь это в обоих направлениях; они могут оставаться слепыми к нелегальному контенту в своей системе, но при этом оставаться «безопасной гаванью».

Бодмер согласился, сказав: «Заранее продуманная система показателей для облегчения будущих юридических трудностей кажется логичным подходом, я бы сделал то же самое, если бы мое последнее предприятие закончилось так, как это произошло».

Алекс Хоран, стратег по безопасности в CORE Security, отметил, что Mega не будет одинока в принятии мер, чтобы избежать юридических затруднений. «Разве не так много систем, предназначенных для защиты компании от судебных разбирательств? Я бы сказал, что Mega обязана это делать», - сказал он SecurityWatch .

«может быть более чувствительным к этому, чем обычный человек, так как он может предположить, что его новый сервис будет довольно тщательно проанализирован», - продолжил Хоран.

Еда на вынос

Хотя Mega, безусловно, шифрует информацию, другие аспекты ее работы кажутся сомнительными. Больше всего беспокоит, помимо криптографических сбоев и распределенных систем, то, как сервис продается. Это должно быть ясно с самого начала: он не предназначен для вашей защиты, он предназначен для их защиты.

Чтобы узнать больше о Максе, следите за ним в Твиттере @wmaxeddy.

Мега Dotcom: проблемы конфиденциальности и безопасности