ספק מטיל על האבטחה של שירות קים דוטקום של מגה

המיזם החדש והנועז של קים דוטקום, שירות האחסון והשיתוף של הקבצים, מגה, עורר ביקורת כאשר חוקרי אבטחה מנתחים כיצד האתר מגן על נתוני המשתמשים. בקיצור, הם מייעצים: אל תסמכו על זה. למרות שפקידים של מגה מודים שהם "מתחילים" ל- JavaScript, שפת התכנות המשמשת לביצוע אלמנטים מרכזיים בשירותם, הם אומרים שהאתר שלהם אינו פגיע יותר מאשר באינטרנט בנקאות לתקוף.

דוטקום השליכה מסיבת השקה גדולה עבור מגה ביום ראשון בביתו מחוץ לאוקלנד. השירות הוא היורש של Megaupload, אתר שיתוף הקבצים, כי Dotcom ועמיתיו הוגש נגדו כתב אישום בגין הפרת זכויות יוצרים בארה"ב. [

] [קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows] מג'מגה, שירות שיתוף הקבצים החדש של קים דוטקום, זכה לביקורת על ידי מומחי אבטחה, אך מתכנת ראשי בראם ואן דר קולק (משמאל) ו- CTO מתיאס אורטמן (מימין) טוענים שהאתר שלהם אינו פגיע יותר מאתר בנקאות מקוונת.

דוטקום הדואגת מבטיחה למשתמשי מגה שהצפנת האתר תגן על הפרטיות והנתונים שלהם, אך יישום ערכת ההצפנה הזו פגום באופן בסיסי, כך טוענים משקיפים.

Mega משתמשת בפרוטוקול SSL (Secure Sockets Layer) הצפנה ברחבי האינטרנט לאבטחת החיבור בין מחשבי המשתמשים לבין השרתים שלה. לאחר חיבור SSL, מגה דוחפת קוד JavaScript לדפדפן של המשתמש, אשר לאחר מכן מצפין את הקבצים של האדם לפני שהנתונים נשלחים לשרתים של Mega.

הבעיה היא ש- SSL הוכרה מזה זמן רב כנקודת תורפה ברשת. בשנת 2009, חוקר האבטחה Moxie Marlinspike יצר כלי שנקרא SSLstrip, אשר מאפשר לתוקף ליירט ולהפסיק חיבור SSL. התוקף יוכל לרגל אחר כל הנתונים שהמשתמש שולח לאתר המזויף.

מכיוון שמגה מסתמכת ביסודה על SSL, "אין באמת סיבה לעשות הצפנה בצד הלקוח", אמר אתמול מרלינספיק בראיון. "תוכניות מסוג זה חשופות לכל הבעיות עם SSL."

מישהו שתוקף את Mega באמצעות SSLstrip יוכל לשלוח את JavaScript הזדוני המותאם אישית שלו לדפדפן הקורבן. המשתמש היה מגלה את הסיסמה שלו באופן בלתי נמנע, דבר שיאפשר לתוקף לפענח את כל הנתונים המאוחסנים במגה.

מתיאס אורטמן, מנהל הטכנולוגיה של מגה, אמר בראיון כי "יש מגוון של התקפות מבוססות אינטרנט שמגה תהיה פגיע בדיוק כמו כל אתר אחר אשר מסתמך על SSL אבטחה, כגון עבור בנקאות מקוונת. תרחישים אלה מתוארים באתר של מגה, "הוא אמר." אם הם טרחו לקרוא כי הם היו רואים שאנחנו בעצם המדינה בדיוק מה הם מאשימים אותנו ככל האפשר ווקטורים ההתקפה ועוד כמה אחרים הם לא מאשימים אותנו, "אמר אורטמן. "כל ההתקפות הקשורות ל- SSL אינן חלות עלינו במיוחד. הם חלים על חברות בעלות דרישות אבטחה גבוהות לא פחות או דרישות גבוהות יותר. "

SSL נתמכת על ידי תעודות אבטחה מוצפנות המונפקות על ידי חברות וארגונים מורשים. אבל מערכת ההנפקה כבר זמן רב ביקורת מאז הרמאים הצליחו לקבל אישורים תקפים עבור אתרי אינטרנט שהם לא הבעלים.

Ortmann הודה כי מישהו יכול לנסות להערים על הסמכה הסמכה להנפיק תעודת SSL אמיתי עבור mega.co. nz, אשר יאפשר לתוקף ליצור אתר מגה מזויף שנראה כי יש לו אישורים מתאימים.

בהנהון לסלידה האינטנסיבית של מפעל מגה של קים דוטקום, אמר אורטמן, "אני באמת מצפה לממשלה מסוימת תעודת צל של mega.co.nz שהונפקו בשלב מסוים והשתמשה בהתקפה ". אך מגה תחקור מעת לעת תעודות SSL לא מורשות, אמר.

באדיבות נדים קוביס השירות החדש של שיתוף קבצים מקים דוטקום, מגה, זכה לביקורת על ידי אנשים, כולל נדים קוביסי, מפתח תוכנית ההצפנה המיידית להצפנת Cryptocat, על האופן שבו מגה מיישמת הצפנה.

אם השרתים של מגה נפגעו, גם אפשרי עבור התוקף לספק JavaScript שונה, זדוני, אמר נדים Kobeissi, המפתחים של תוכנית מוצפנת הודעות מיידיות Cryptocat. זה יהיה אפשרי גם עבור מגה עצמו כדי לספק קוד זדוני. "בכל פעם שאתה פותח את האתר, קוד הצפנה נשלחת מאפס", אמר Kobeissi "אז אם יום אחד אני מחליט אני רוצה להשבית את כל ההצפנה בשבילך, אני יכול פשוט לשרת את שם המשתמש שלך קוד שונה, כי לא להצפין שום דבר במקום לגנוב את מפתחות ההצפנה שלך. "

Ortmann טען כי משתמשים תמיד נאלצים לסמוך על ספק השירות שלהם בעת הורדת והפעלת קוד. מכיוון ש- JavaScript של Mega נשלח לדפדפן, אנשים יוכלו לנתח את הקוד באופן קבוע ולהבטיח שהוא אמין או לא. אם מגה התעסק עם ה- JavaScript, "זה יהיה ניתן לזיהוי", אמר אורטמן.

מרלינספיק אמר כי הדרך הבטוחה יותר תהיה עבור מגה להשתמש בתוסף דפדפן חתום כדי להצפין את הנתונים, אשר ימנע חבלה על ידי התוקף. לחלופין, לקוח תוכנה מותקן ישיג את אותו קצה, הוא אמר, מבלי לחשוף משתמש לחוסר הביטחון של SSL.

מרלינספיק אמר שהוא חושב שמשתמשי Mega ביסודו לא איכפת להם כל כך מהביטחון שכן הם מעוניינים רק שיתוף קבצים. מאז Mega יהיה רק ​​לראות נתונים מוצפנים בשרתים שלהם, ההתקנה נראה לפסול את המייסדים של האתר מן הפרת זכויות יוצרים בעיות של Megaupload.

"כל מה שחשוב הוא מפעילי מגה יכול לטעון שאין להם את היכולת הטכנית כדי לבדוק את התוכן בשרת להפרת זכויות יוצרים ", אמר מרלינספיק.

כמו כל שירות מקוון חדש, הקוד של מגה כבר דחק. ביום ראשון, התגלה כי באתר היה ליקוי scripting בין אתרים, שבמקרים מסוימים יכול לאפשר לתוקף לגנוב קובצי cookie של משתמש, דבר שיאפשר לפחות השתלטות זמנית על חשבון הקורבן. זה היה במהירות.

"XSS הבעיה נפתרה בתוך שעה," כתב בראם ואן דר קולק, המתכנת הראשי של מגה, בטוויטר ביום ראשון. "נקודה תקפה מאוד, באג מביך."

אורטמן פירט: "נושא התסריט בין האתרים היה יותר מביך. זה לא היה צריך לקרות. זה באמת בשל העובדה כי אני בראם ואני newbies להשלים JavaScript ומעולם לא ציפיתי התנהגות זו על ידי דפדפן. למעשה דיברנו על זה, אבל לא בדקנו את זה, אז זה קצת מביך. זה נקבע אחרי 30 דקות או פחות משעה אחרי שהיא דווחה לנו ".

הוא אמר כי מגה תפרסם פרטים נוספים בהמשך היום באתר האינטרנט המפנה את הנקודות שהעלו מבקריה בנוגע לביטחון.