Există îndoieli cu privire la securitatea serviciului Mega a lui Kim Dotcom

Deși proiectul Mega beneficiază de o metodă de criptare foarte puternică, experții își exprimă îngrijorarea cu privire la implementarea ei.

MegaNoul și îndrăznețul proiect al lui Kim Dotcom, serviciul Mega de stocare și distribuire de fișiere și-a atras porția de critici odată cu analizele pe care cercetătorii în securitate digitală le-au întreprins asupra felului în care sunt tratate și protejate datele confidențiale ale utilizatorilor. Pe scurt, sfatul lor este: nu aveți încredere!

Dotcom a dat o imensă recepție pentru lansarea portalului Mega sâmbătă, la vila lui din Auckland. Serviciul – succesorul celebrului MegaUpload, pentru care Kim Dotcom a fost inculpat împreună cu colegii său în Ianuarie 2012 în SUA pentru încălcarea drepturilor de autor – beneficiază, conform asigurărilor date de acesta, de o metodă extrem de sigură de criptare și protecție a datelor confidențiale ale utilizatorilor. Totuși, experții au îndoieli cu privire la implementarea acesteia, pretinzând că este fundamental defectuoasă.

Mega folosește protocolul SSL (Secure Sockets Layer), extrem de răspândit pe Internet pentru criptarea datelor și pentru securizarea conexiunilor dintre computerele user-ilor și servere. Din momentul în care se realizează o conexiune SSL, Mega transferă un cod JavaScript pe browserul utilizatorului, iar apoi codul criptează fișierul ce urmează a fi ridicat pe server, înainte ca acest lucru să se întâmple. Problema este că protocolul SSL a fost de mult timp recunoscut ca fiind o verigă slabă pe Internet. În 2009, cercetătorul în securitate digitală Moxie Marlinspike a creat un instrument denumit SSLstrip, care permite unui atacator să intercepteze și să stopeze o conexiune SSL.  Atacatorul poate apoi să intercepteze orice informație trimisă prin interpunerea unor site-uri false.

Kim Dotcom launches MegaDin moment ce securitatea serviciului Mega este esențial bazată pe protocolul SSL, „realmente nu există nciun motiv pentru a crea criptări ale datelor clienților”, spune Marlinspike. „Combinațiile de genul ăsta reprezintă în sine o vulnerabilitate pentru toate conexiunile SSL”.

Cineva care atacă Mega utilizând SSLstrip ar putea trimite propriul lor cod JavaScript malițios către browserul victimei. În mod inevitabil, utilizatorul își va divulga parola, ceea ce ar permite atacatorului să decripteze informațiile stocate pe Mega. Dacă serverele Mega ar fi compromise, acest lucru ar crea, de asemenea, posibilitatea ca atacatorul să transmită coduri JavaScript modificate, malițioase, este de părere Nadim Kobeissi, dezvoltator al programului de mesagerie instant Cryptocat. „De fiecare dată când deschizi un site, codul de criptare trimis este nou, creat de la zero. Deci, dacă într-o zi mă decid să-ți anulez toate criptările, pot pur și simplu să ofer username-ului tău un cod diferit, care nu doar că nu criptează nimic, dat chiar îți fură cheile de criptare”.

Un mod mai simplu ar fi ca Mega să utilizeze o extensie semnată pentru criptarea datelor, ceea ce ar preveni falsificarea de către un atacator a codului, este părerea lui Marlinspike. Ca alternativă ar exista, evident, posibilitatea creării unei aplicații client care nu ar mai expune utilizatorul problemelor de nesiguranță puse de protocolul SSL. Marlinspike mai crede și că de fapt, utilizatorii Mega sunt prea puțin interesați de securitatea serviciului cât sunt de ceea ce oferă serviciul în sine, și anume distribuirea de fișiere. Totuși, se pare că motivația lui Kim Dotcom de a utiliza această metodă nesigură de criptare și transmitere de date este faptul că, în acest fel, site-ul nu „vede” decât informații criptate, așa încât fondatorul portalului este absolvit de orice problemă legată de încălcarea drepturilor de autor.

„Tot ceea ce contează este faptul că operatorii serviciului Mega pot să pretindă că nu au abilitățile tehnice de a inspecta contentul de pe server în vederea identificării situațiilor de încălcare a drepturilor de autor”, spune Marlinspike. Ca orice serviciu online nou lansat, și codul Mega a fost supus unor tentative de atac. Duminică s-a scos la iveală faptul că site-ul avea o eroare de script, care ar fi permis, în unele cazuri unui atacator să sustragă cookie-urile de pe computerul victimei, fiindu-i astfel foarte ușor să intre în posesia contului victimei. Eroarea a fost imediat reparată.

„Problema XSS a fost rezolvată într-o oră”, a scris Bram van der Kolk, unul dintre co-fondatorii serviciilor Mega și MegaUpload duminică.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*