У дома Securitywatch Мега на Dotcom: неволи за поверителност и сигурност

Мега на Dotcom: неволи за поверителност и сигурност

Видео: Настя и сборник весёлых историй (Ноември 2024)

Видео: Настя и сборник весёлых историй (Ноември 2024)
Anonim

По-рано този месец вечно пламващият (а от време на време и в затвора) Ким Дотком пусна криптирана система за съхранение на файлове, наречена Mega. Изтъквайки правните проблеми, които изключиха предишната му компания, Megaupload, Dotcom обяви новата услуга като частна, криптирана и супер сигурна. Ясно е обаче, че Мега имаше някои доста необичайни идеи какво означава това.

Ситуацията за криптиране

Mega използва умна схема за обслужване на сигурни връзки на евтиното. Потребителите се свързват с Мега чрез централизирани сървъри, които използват 2048-битови RSA ключове. Тези сървъри са свързани към разпределена мрежа от "по-евтини" сървъри с помощта на 1024-битови RSA ключове. Според блога Naked Security на Sophos, „това означава, че ще трябва да компрометирате 2048-битовите защитени сървъри и 1024-битовите защитени сървъри, за да обслужвате неоторизирани скриптове от частта с по-ниска защита на мрежата.

"Ето! Един чист начин да си осигурите торта за сигурност, но плащате по-малко, за да го доставите."

Схемата е умна, но не минаваше с някои критици - които Софос документира подробно. Въпросът се влоши, когато fail0verflow погледна JavaScript, използван за преместване на данните от 1024-битовите сървъри. Те откриха, че Mega използва CBC-MAC автентификация, която съдържа твърдо кодиран ключ, ясно видим в сценария. Това беше като да използвате комбинирано заключване, но да напишете кода на гърба, за да не го забравите.

В случая с Java въпроса, Мега бързо отстрани ситуацията в рамките на няколко часа. Въпреки това, дори тази бърза реакция не облекчи всички. Старши съветник по сигурността в Sophos Canada Chester Wisniewski каза пред SecurityWatch : "Оставащият въпрос е дали служителите / програмистите в Mega имат първата представа как да правят криптографията правилно? Не бихте очаквали крипто експерти да правят аматьорски грешки като тази."

Той продължи, "колко други грешки може да са допуснали? Трябва ли някога да се доверите на някой друг, който да защити вашите данни, когато не можете да видите как го правят?"

Шон Бодмер, главен изследовател в CounterTack, от друга страна, беше тъп в оценката си за системите за шифроване на Мега. "Не, това не е добре обмислено дългосрочно решение за целостта на данните, но по-скоро като решение на коленете е част от стратегията за преминаване към пазара."

„Има много по-надеждни реализации като Google Drive, Dropbox или SkyDrive, които предлагат много по-стабилно решение за съхранение“, заяви Бодмер пред SecurityWatch .

Всичко е за запазването на Ким в безопасност

Една от точките за продажба на Mega е, че тя предлага „криптиране от край до край“, където данните се криптират, преди да бъдат изпратени в Mega, докато той седи в Mega, и се дешифрират само когато бъдат изтеглени от потребител със специфичен криптографски ключ. Идеята е, че дори и Мега да бъде хакнат или (по-вероятно) принуден да предаде информация от органите на реда, вашите данни биха били безполезни и дори не могат да бъдат идентифицирани.

Това е от решаващо значение, тъй като съгласно американския закон за авторското право върху цифровото хилядолетие уебсайтът може да избегне наказание за хостинг на съдържание, защитено с авторски права, ако работи бързо с правоприлагащите органи за премахването му. Директивата на ЕС за електронна търговия съдържа подобно замислено споразумение с ограничена отговорност. За Mega схемата за криптиране позволява на потребителите да съхраняват информацията си в криптиран вид, но също така позволява на Dotcom и неговата компания пълна отрицателност, когато полицията идва да чука.

Съобщава се обаче, че Мега не криптира потребителска информация. Експертите, с които разговаряхме, казаха, че макар това да не е непременно особено - или дори небрежно - повечето направиха връзка с сътрудничеството с органите на реда.

„Не е необичайно, но все пак предполага, че криптографските защити, които са внедрили, са повече, за да защитят Мега, отколкото потребителят на услугата“, каза Вишневски. "Ако органите на реда в Нова Зеландия искат да знаят за собствеността на файлове и информацията за връзка, Mega ще може да бъде и ние приемаме, че желаем да предадем тази информация."

В ситуация, в която потребителите на Мега раздават своите криптографски ключове, за да споделят файлове (каквито вече са) и правоприлагащите органи могат да потвърдят, че съдържанието наистина е с авторски права, Мега има достъп до информацията на потребителя. Това може да позволи на Мега да го има и в двете посоки; те могат да останат слепи за незаконното съдържание в системата си, но все пак да бъдат „безопасно пристанище“.

Бодмер се съгласи, казвайки: „Предпочитанието да се използват метрики за облекчаване на бъдещите правни предизвикателства изглежда като логичен подход. Бих направил същото нещо, ако последното ми начинание беше приключило така, както го направи“.

Алекс Хоран, стратег по сигурността в CORE Security, изтъкна, че Мега няма да бъде сама в предприемането на стъпки за избягване на законни затруднения. "Не са ли много системи, предназначени да защитят компанията от съдебни спорове? Бих спорил, че Мега е длъжна да направи това", каза той пред SecurityWatch .

"може да е по-чувствителен към него от обикновения човек, тъй като може да предположи, че новата му услуга ще бъде анализирана доста отблизо", продължи Хоран.

The Takeaway

Докато Mega със сигурност криптира информация, други аспекти на нейното функциониране изглеждат съмнителни. Това, което е най-тревожно, повече от криптографски повреди и разпределени системи, е как се предлага услугата. Трябва да е ясно от самото начало: тя не е предназначена да ви защитава, тя е предназначена да ги защитава.

За повече от Макс, следвайте го в Twitter @wmaxeddy.

Мега на Dotcom: неволи за поверителност и сигурност