Mega lansează un concurs pentru detectarea vulnerabilităților

Fondatorii Mega se oferă să răsplătească cu 10 000 €  pe oricine descoperă o eroare de securitate în platformă și o raportează în mod responsabil.

KimDotcomTweetServiciul de file-sharing Mega a lansat un program prin care invită amatorii să descopere vulnerabilități în sistemul de securitate al serviciului. Orice eroare serioasă detectată în platformă și raportată în mod responsabil va fi gratificată cu un premiu de 10 000 Euro. Sâmbăta aceasta au fost făcute publice regulile programului într-un articol pe blog.

Tipurile de erori care se califică pentru premiu includ: injecțiile SQL și erorile XSS (cross-site scripting) care pot avea ca rezultat controlarea de la distanță a serverelor Mega în orice browser sau aplicație-client, problemele care pun în pericol modelul de securitate criptografic al site-ului, permițând accesul neautorizat  la informațiile utilizatorilor sau la cele criptate, sisteme de evitare a accesului controlat care ar permite distrugerea cheilor de criptare sau a informațiilor, precum și orice alte probleme care pot avea ca rezultat compromiterea unui cont din cauza spargerii contului de mail asociat cu acesta.

Tipurile de erori a căror descoperire NU va fi gratificată includ: probleme de securitate care necesită interacțiunea utilizatorului asupra contului, cum ar fi metoda phishing sau alte forme de atacuri de inginerie socială, probleme ce rezultă din faptul că parolele conturilor sunt prea slabe, atacurile realizate prin interogări masive de server (brute-force attack), orice problemă ce rezultă din utilizarea unor mașini-client compromise, probleme care apar prin utilizarea unui browser nesuportat sau neactualizat, vulnerabilități ale serviciilor terțe cum ar fi cele care rulează sub reselleri, probleme de tip DoS (Denial-of-Service), probleme pentru generarea cărora este nevoie de accesul fizic la serverele Mega, problemele ce pot apărea din utilizarea unor certificate SSL falsificate, deficiențe criptografice care necesită putere de calcul extrem de mare pentru a fi exploatate cum ar fi predicția numerelor aleatoare, sau orice altă problemă care nu afectează integritatea, disponibilitatea și confidențialitatea informațiilor utilizatorilor.

Programul de gratificare vine ca urmare a criticilor comunităților din domeniul securității digitale și a criptografiei, care fac referire la concepțiile de securitate ale serviciului și la reclamațiile conform cărora serviciul nu va putea face față provocărilor din zona securității și nu va putea proteja informațiile clienților. Imediat după lansarea Mega de acum două săptămâni, experții în securitate au observat mai multe nereguli care amenințau securitatea serviciului.

Fondatorii Mega au răspuns la respectivele critici într-un articol anterior pe blog, admițând unele dintre ele, respingând altele. „Criptarea open-source Mega rămâne neînfrântă! Oferim 10 000 Euro oricui o poate înfrânge”, a spus Kim Dotcom vineri pe Twitter.

Ca răspuns la respectivul mesaj, unii oameni au venit cu argumentul că validitatea declarației depinde de interpretarea termenului „învins” într-un context criptografic. Spre exemplu, fondatorii Mega au spus că orice necesită putere extremă de calcul (2 la puterea 60 operații criptografice) sau un computer cuantic (quantum computer)” nu se califică pentru gratificare. „Asta include pretinsa predicție a numerelor aleatoare. Te califici doar dacă ești în stare să prezinți o slăbiciune reală și nu o conjunctură generală”, au spus ei.

Într-o discuție ulterioară pe Twitter dintre Bram van der Kolk, șeful programator de la Mega și Nadim Kobeissi, dezvoltatorul programului de mesagerie instant Cryptocat, Kobeissi a spus: „Omule, algoritmii tăi au coliziuni în spațiul 2 la puterea 64 și tu crezi că așa ceva ‘nu se califică’???”

Ca parte a programului de gratificări, Mega a mai anunțat că va oferi un premiu de maxim 10 000 €, celui ce va reuși, printr-un atac brute-force, să decripteze un anume fișier criptat cu schema de criptare Mega, sau oricărei persoane care va reuși să spargă o parolă cu ajutorul codului criptografic inclus în link-ul de confirmare a înregistrării contului, trimis în e-mail. Acum două săptămâni, un cercetător în probleme de securitate, Steve Thomas, a creat un instrument pe care l-a denumit MegaCracker, care putea extrage codul de criptare a parolelor din link-ul de confirmare a înregistrării trimis pe e-mail, putând ulterior să extragă parola dintr-un dicționar de spargere a parolelor.

Ca răspuns, administratorii Mega au declarat la momentul respectiv că instrumentul „este un excelent memento ca utilizatorii să nu folosească parole ușoare sau din dicționar”.

Administratorii serviciului vor decide care cazuri vor fi gratificate și cu cât, în funcție de complexitatea și impactul erorii descoperite. „Decizia dacă te califici sau cât anume vei câștiga este la discreția noastră. Noi vom fi corecți și generoși, iar voi va trebui să acceptați decizia noastră ca finală”.

Dacă aceeași eroare este raportată de mai mulți utilizatori, cel ce o va face primul va primi premiul. După rezolvarea erorii, descoperitorul său poate să o facă publică.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*