Mega реагирует на проблемы безопасности; обещает некоторые изменения

Представители недавно созданного сервиса хранения и обмена файлами Mega рассмотрели некоторые из проблем, поднятых исследователями безопасности в последние дни о архитектуре сайта и реализации его криптографических функций.

Интернет и обвиняемый цифровой вне закона Kim Dotcom недавно запустили Mega (сокращение от Mega Encrypted Global Access), которое имеет 50 ГБ свободного хранения. Mega - это лишь один из компонентов того, что Dotcom и его команда надеются, что это будет набор онлайн-зашифрованных сервисов от Mega Ltd., включая электронную почту, голосовые вызовы, обмен мгновенными сообщениями и потоковое видео.

В опубликованном во вторник блоге должностные лица Mega признали что некоторые риски безопасности, отмеченные исследователями, действительны, но сказали, что пользователи уже были проинформированы о некоторых из них в разделе FAQ (часто задаваемые вопросы) на веб-сайте. В случае других проблем они пообещали некоторые улучшения.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Например, было указано, что ключи шифрования, созданные пользователями во время подписывания, и которые позднее используются для шифрования их файлов, зашифровываются с использованием пароля учетной записи и хранятся только на серверах Mega. Поскольку функция восстановления паролей отсутствует, пользователи теряют способность расшифровывать свои файлы, если они забудут свои пароли, сказали некоторые.

«Это правильно - единственный ключ, который MEGA требует сохранения на стороне пользователя, - это пароль для входа в мозг пользователя », - сказали в Mega. «Этот пароль разблокирует главный ключ, который, в свою очередь, разблокирует файлы / папки / общие / закрытые ключи».

Однако механизм, который позволит восстановить файлы в случае забывания пароля, будет реализован в ближайшем будущем, Они сказали. Это будет включать в себя возможность изменения пароля и импорта предварительно экспортированных ключей файла для восстановления соответствующих файлов.

Исследователи безопасности также отметили тот факт, что главные ключи шифрования генерируются внутри браузера при регистрации с использованием математики.случая функция JavaScript и предупредила, что эта функция не делает хорошей работы по генерации случайных чисел, а это означает, что полученные ключи могут быть слабыми с криптографической точки зрения.

В ответ представители Mega заявили, что энтропия-случайность - добавляется с использованием данных, собранных с помощью мыши и клавиатуры пользователя. «Однако мы добавим функцию, которая позволяет пользователю добавлять столько энтропии вручную, насколько он считает нужным, прежде чем приступать к генерации ключей», - сказали они.

Представители Mega также пояснили, как работает система проверки JavaScript на сайте, отметив, что основной сервер HTTPS, который использует сертификат SSL с 2048-битным ключом, используется для проверки целостности кода JavaScript, обслуживаемого с вторичных HTTPS-серверов, которые используют сертификаты с 1024-битными ключами. «Это в основном позволяет нам размещать чрезвычайно чувствительный к целостности статический контент на большом количестве географически разнообразных серверов, не беспокоясь о безопасности», - сказали они.

Исследователь по имени Стив Томас, известный онлайн как «Sc00bz», обнаружил вторник, что ссылки, включенные в электронные письма с подтверждением, отправленные Mega во время процесса регистрации учетной записи, фактически содержат хэш-код пользователя.

Thomas выпустил инструмент под названием MegaCracker, который можно использовать для извлечения хэшей из таких ссылок и попытки взломать их с помощью атаки на словарь.

Комментируя выпуск инструмента, официальные лица Mega заявили, что MegaCracker «отличное напоминание о том, чтобы не использовать пароли с уловимыми / словарями, особенно если ваш пароль также служит основным ключом шифрования для всех файлов, которые вы храните на MEGA. «

Тем не менее, они не смогли решить вопрос о том, почему ссылки для подтверждения аккаунта, отправленные по электронной почте, содержат хэш-код пользователя в первую очередь. Общая методика, используемая другими веб-сайтами, состоит в том, чтобы генерировать случайные коды специально для ссылок подтверждения.

Чтобы предотвратить потенциальные злоумышленники от получения хэша паролей в более позднее время, пользователям следует, вероятно, удалить Mega-подтверждение по электронной почте после того, как они нажмут на включенное ссылку и настроить свои учетные записи.