Сомнение в отношении безопасности Mega-сервиса Kim Dotcom

Смелое новое предприятие Ким Дотком, служба хранения и обмена файлами Mega, критикует, поскольку исследователи безопасности анализируют, как сайт защищает данные пользователей. Короче говоря, они советуют: не доверяйте ему.

Хотя чиновники Mega признают, что они «новички» для JavaScript, язык программирования, используемый для выполнения ключевых элементов их обслуживания, говорят, что их веб-сайт не более уязвим, чем онлайн банковские сайты для атаки.

Dotcom бросил большую вечеринку для Mega в воскресенье в своем особняке за пределами Окленда. Служба является преемником Megaupload, сайта обмена файлами, которому Dotcom и его коллеги были предъявлены обвинения в США в январе 2012 года в отношении сборов за нарушение авторских прав.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

MegaMega, новая служба обмена файлами от Kim Dotcom, подвергся критике со стороны экспертов по безопасности, но главный программист Брам ван дер Колк (слева) и технический директор Mathias Ortmann (справа) говорят, что их сайт не более уязвим, чем веб-сайты онлайн-банкинга.

Flamboyant Dotcom гарантирует пользователям Mega, что шифрование сайта будет защищать их конфиденциальность и данные, но реализация этой схемы шифрования принципиально ошибочна, утверждают наблюдатели.

Mega использует SSL (Secure Sockets Layer) широко используемый протокол для шифрование через Интернет для обеспечения связи между компьютерами своих пользователей и собственными серверами. После того, как SSL-соединение выполнено, Mega подталкивает JavaScript-код в браузер пользователя, который затем шифрует файлы пользователя до отправки данных на серверы Mega.

Проблема в том, что SSL уже давно признан слабым местом в Интернете, В 2009 году исследователь безопасности Moxie Marlinspike создал инструмент под названием SSLstrip, который позволяет злоумышленнику перехватывать и останавливать SSL-соединение. Злоумышленник может следить за любыми данными, которые пользователь отправляет на поддельный веб-сайт.

Поскольку Mega принципиально полагается на SSL, «на самом деле нет оснований делать шифрование на стороне клиента», - сказал Marlinspike в интервью в понедельник. «Эти схемы уязвимы ко всем проблемам с SSL».

Кто-то, кто атакует Mega, используя SSLstrip, может затем отправить свой собственный вредоносный JavaScript в браузер жертвы. Пользователь неизбежно разгласит свой пароль, который позволит злоумышленнику расшифровать все его данные, хранящиеся в Mega.

Матиас Ортманн, технический директор Mega, сказал в понедельник в понедельник, что существует множество сетевых атак, которые Mega будет уязвимы, как и любой другой сайт, который использует SSL для обеспечения безопасности, например, для онлайн-банкинга. Эти сценарии изложены на сайте Mega, сказал он.

«Если бы они потрудились прочитать, что они бы увидели, что мы в основном заявляем, что именно они обвиняют нас как возможных векторов атак, а также некоторых других, которые они не обвиняют нас в, - сказал Ортманн. «Все эти атаки, связанные с SSL, не применяются специально к нам. Они применяются к компаниям с одинаково высокими требованиями безопасности или даже к более высоким требованиям ».

SSL подкрепляется зашифрованными сертификатами безопасности, выпущенными уполномоченными компаниями и организациями. Но издательская система давно подвергается критике, так как мошенники смогли получить действительные сертификаты для сайтов, на которых они не владеют.

Ortmann признал, что кто-то может попытаться обмануть центр сертификации в выдаче реального сертификата SSL для mega.co. nz, что позволило бы злоумышленнику создать поддельный веб-сайт Mega, который, как представляется, имеет надлежащие учетные данные.

В знак большой неприязни к Mega-предприятию Ким Дотком Ортманн сказал: «Я действительно ожидаю, что какое-то правительство получит mega.co.nz теневой сертификат, выпущенный в какой-то момент и используемый в атаке ». Но Mega будет периодически проверять несанкционированные SSL-сертификаты, сказал он.

Предоставлено Nadim Kobeiss. Новая служба обмена файлами от Kim Dotcom, Mega, была подвергнута критике со стороны людей, в том числе Надима Кобеисси, разработчика зашифрованной программы обмена мгновенными сообщениями Cryptocat, за то, как Mega реализует шифрование.

Если серверы Mega были скомпрометированы, также возможно для злоумышленника доставить измененный, злонамеренный JavaScript, сказал Надим Кобеисси, разработчик зашифрованной программы обмена мгновенными сообщениями Cryptocat. Также было бы возможно, чтобы Mega предоставила вредоносный код.

«Каждый раз, когда вы открываете веб-сайт, код шифрования отправляется с нуля», - сказал Кобеисси. «Если однажды я решит, что хочу отключить все шифрование для вас, Я могу просто использовать ваше имя пользователя для другого кода, который ничего не шифрует и вместо этого украл ваши ключи шифрования ».

Ортманн утверждал, что пользователи всегда вынуждены доверять своему поставщику услуг при загрузке и запуске кода. Поскольку JavaScript Mega отправляется в браузер, люди смогут регулярно анализировать код и гарантировать, что он заслуживает доверия или нет. Если бы Мега вмешалась в JavaScript, «это было бы заметно», сказал Ортманн.

Marlinspike сказал, что более безопасный способ для Mega использовать подписанное расширение браузера для шифрования данных, что предотвратит вмешательство злоумышленника. В качестве альтернативы, установленный клиент программного обеспечения достигнет той же цели, сказал он, не подвергая пользователя неуверенности в SSL.

Marlinspike сказал, что он считает, что пользователи Mega принципиально не заботятся о безопасности, поскольку они просто заинтересованы в безопасности совместное использование файлов. Поскольку Mega будет видеть зашифрованные данные на своих серверах, установка, похоже, освобождает основателей сайта от проблем с нарушением авторских прав Megaupload.

«Все, что имеет значение, - это операторы Mega могут утверждать, что у них нет технических возможностей проверьте содержимое на сервере для нарушения авторских прав », - сказал Марлинспик.

Как и любая новая онлайн-служба, код Mega уже подталкивается. В воскресенье выяснилось, что у сайта был недостаток межсайтового скриптинга, который в некоторых случаях может позволить злоумышленнику украсть файлы cookie пользователя, что позволит по крайней мере временно захватить учетную запись жертвы. Это было быстро исправлено.

«Проблема XSS была решена в течение часа», - написал Брэм ван дер Колк, главный программист Mega, в Twitter в воскресенье. «Очень действительная точка, смущающая ошибка».

Ортманн уточнил: «Проблема межсайтового скриптинга была более чем смущающей. Этого не должно было быть. Это действительно связано с тем, что мы с Брэмом являются полнофункциональными JavaScript-новичками и никогда не ожидали этого поведения браузером. Мы на самом деле обсуждали это, но мы не тестировали его, так что это неловко. Это было исправлено через 30 минут или меньше, чем через час после того, как нам сообщили о нас ».

Он сказал, что Mega опубликует более подробную информацию позже сегодня на веб-сайте, где будут затронуты вопросы, поднятые ее критиками в отношении безопасности.