Videó: Kim Dotcom - Megaupload Song HD (November 2024)
A hónap elején az örökké lángoló (és alkalmanként bebörtönzött) Kim Dotcom elindított egy Mega nevû titkosított fájltároló rendszert. Kiemelve a korábbi társaságát, a Megaupload-t leállító jogi kérdéseket, a Dotcom az új szolgáltatást privátnak, titkosítottnak és rendkívül biztonságosnak tartotta. Nyilvánvaló azonban, hogy Mega-nak nagyon szokatlan ötletei voltak arról, hogy ez mit jelent.
A titkosítási helyzet
A Mega okos rendszert használ a biztonságos összeköttetések olcsón történő kiszolgálására. A felhasználók a Mega-hoz központosított kiszolgálón keresztül kapcsolódnak, amelyek 2048 bites RSA kulcsokat használnak. Ezeket a kiszolgálókat 1024 bites RSA-kulcsok segítségével "olcsóbb" kiszolgálók elosztott hálózatához kapcsolják. Sophos Naked Security blogja szerint "ez azt jelenti, hogy a 2048 bites és 1024 bites védett kiszolgálóknak veszélybe kell kerülniük annak érdekében, hogy a hálózat alacsony biztonsági szintű részéről származó jogosulatlan szkripteket kiszolgálhassák.
"Lo! Ügyes módszer a biztonsági sütemény megszerzésére, de kevesebbet fizet, ha kézbesíti."
A rendszer okos, de néhány kritikával nem tudott belemenni - amit Sophos részletesen dokumentált. Az ügy még súlyosbodott, amikor a fail0verflow megvizsgálta a JavaScriptet, amely az adatok áthelyezésére szolgál az 1024 bites kiszolgálókról. Felfedezték, hogy a Mega CBC-MAC hitelesítést alkalmazott, amely a szkriptben jól látható kódolt kulcsot tartalmazott. Ez olyan volt, mintha egy kombinált zárat használnánk, de a kódot hátul írtunk, hogy ne felejtsük el.
A Java kérdés esetében a Mega néhány órán belül helyrehozta a helyzetet. De ez a gyors reagálás sem tette meg mindenkit nyugodtan. Chester Wisniewski, a Sophos kanadai biztonsági tanácsadója, a Chester Wisniewski elmondta a SecurityWatch-nek : "A fennmaradó kérdés az, hogy a Mega munkatársai / programozói tudják-e az első ötletet, hogyan kell megfelelően elvégezni a kriptográfiát? Nem számíthat arra, hogy a kriptovállalati szakértők ilyen amatőr hibákat követnek el."
Folytatta: "Hány további hibát tehettek volna? Valaha miben kell bíznia valaki másban az adatok védelmében, ha nem látja, hogyan csinálják?"
Sean Bodmer, a CounterTack kutatója viszont tompa volt a Mega titkosítási rendszereinek értékelésekor. "Nem, ez nem túl jól átgondolt hosszú távú megoldás az adatok integritására, hanem inkább térdig érő megoldásként része a piaci stratégiának."
"Sokkal megbízhatóbb megvalósítások léteznek, például a Google Drive, Dropbox vagy SkyDrive, amelyek sokkal robusztusabb tárolási megoldást kínálnak" - mondta Bodmer a SecurityWatch-nek .
Arról szól, hogy Kim biztonságban van
A Mega egyik értékesítési pontja, hogy "végpontok közötti titkosítást" kínál, ahol az adatok titkosításra kerülnek, mielőtt elküldik a Mega-nak, miközben a Mega-ban ülnek, és csak akkor dekódolják őket, amikor egy felhasználó egy meghatározott rejtjelezési kulcsmal töltötte le azokat. Az ötlet az, hogy még ha a Megát feltörik is, vagy (valószínűbb) arra kényszerítik, hogy bűnüldöző szervekkel bocsássák át az információkat, az Ön adatai haszontalanok és még azonosíthatatlanok is.
Ez kritikus fontosságú, mivel az amerikai digitális millenniumi szerzői jogi törvény értelmében egy webhely elkerülheti a szerzői jogok által védett tartalom tárolását, ha a bűnüldöző szervekkel gyorsan együttműködik annak eltávolítása érdekében. Az EU elektronikus kereskedelméről szóló irányelv hasonlóképpen kialakított korlátozott felelősségű megállapodást tartalmaz. A Mega számára a titkosítási rendszer lehetővé teszi a felhasználók számára, hogy adataikat titkosított formában tárolják, de ezenkívül lehetővé teszi a Dotcom-nak és társaságának a teljes letilthatóságát, amikor a rendőrség kopogtat.
A Mega azonban állítólag nem titkosítja a felhasználói információkat. A szakértők, akikkel beszélgettünk, azt állították, hogy bár ez nem feltétlenül volt sajátos - sőt hanyag gondatlan -, a legtöbbjük a bűnüldözéssel való együttműködést hozta létre.
"Ez nem szokatlan, de azt sugallja, hogy az általuk végrehajtott kriptográfiai védelem inkább a Mega, mint a szolgáltatás felhasználója védelmét szolgálja" - mondta Wisniewski. "Ha az új-zélandi bűnüldöző szervek tudni akarnak a fájlok tulajdonjogáról és a kapcsolati adatokról, a Mega képes lesz és feltételezzük, hogy hajlandóak átadni ezeket az információkat."
Abban a helyzetben, amikor a Mega felhasználók a (már létező) fájlok megosztása céljából kiadják titkosítási kulcsaikat, és a bűnüldözés megerősítheti, hogy a tartalom valóban szerzői jogvédelem alatt áll, a Mega hozzáféréssel rendelkezik a felhasználó információihoz. Ez lehetővé teheti, hogy a Mega mindkét irányban rendelkezzen; vakok lehetnek a rendszerük illegális tartalmaitól, ám továbbra is "biztonságos kikötő" lehetnek.
Bodmer egyetértett azzal, hogy "Logikus megközelítésnek tűnik az az előrejelzés, hogy be kell állítani a metrikákat a jövőbeli jogi kihívások megkönnyítése érdekében, ugyanazt tennék, ha az utolsó vállalkozásom úgy fejeződött be, ahogy tette."
Alex Horan, a CORE Security biztonsági stratégiája rámutatott, hogy a Mega nem lesz egyedül a jogi összefonódások elkerülése érdekében. "Nem sok olyan rendszert terveztek, amely megvédi a társaságot a peres eljárásoktól? Azt állítanám, hogy a Mega köteles ezt megtenni" - mondta a SecurityWatch-nek .
"érzékenyebben reagálhat rá, mint egy átlagos ember, mivel feltételezheti, hogy új szolgálatát elég alaposan elemezzék" - folytatta Horan.
Az elvihető
Noha a Mega minden bizonnyal titkosítja az információkat, működésének más szempontjai megkérdőjelezhetők. A legtöbb, ami a kriptográfiai hibáknál és az elosztott rendszereknél rejlik, az, hogy a szolgáltatást hogyan forgalmazzák. A kezdetektől egyértelműnek kell lennie: nem célja az ön védelme, hanem a védelme.
Max további információkért kövesse őt a Twitteren @wmaxeddy.
