Mega מגיבה לדאגות אבטחה; מבטיח כמה שינויים

נציגים של שיתוף קבצים שהושק לאחרונה ושיתוף שירות מגה התייחס לחלק מהנושאים שהועלו על ידי חוקרי האבטחה בימים האחרונים על האדריכלות של האתר ועל יישום תכונות הקריפטוגרפיות שלו.

האינטרנט והאשים את הפורטל הדיגיטלי קים דוטקום השיקה לאחרונה את Mega (קיצור של Mega Encrypted Global Access), אשר כולל 50GB של שטח אחסון בחינם. מגה הוא רק מרכיב אחד של מה שדוטקום וצוותו מקווה שיהיו חבילה של שירותים מוצפנים מקוונים ממגה בע"מ כולל דואר אלקטרוני, שיחות קוליות, הודעות מיידיות וזרמת וידאו.

בהודעת בלוג שפורסמה ביום שלישי, כי חלק מהסיכונים הביטחוניים שמציינים החוקרים הם תקפים, אך אמרו כי משתמשים כבר הודיעו על חלק מהם דרך השאלות הנפוצות (שאלות נפוצות) של האתר. במקרה של נושאים אחרים, הם הבטיחו שיפורים מסוימים. [

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

לדוגמה, צוין שמפתחות ההצפנה שנוצרו על ידי המשתמשים במהלך השלט,, ולאחר מכן משמשים להצפנת הקבצים שלהם, מוצפנים באמצעות סיסמת החשבון ומאוחסנים רק בשרתים של מגה. מאחר שאין תכונה לשחזור סיסמה, משתמשים יאבדו את היכולת לפענח את הקבצים שלהם אם הם ישכחו את הסיסמאות שלהם, אמרו כמה אנשים. "זה נכון - המפתח היחיד ש- MEGA דורש לאחסן בצד המשתמש הוא סיסמת התחברות, במוח של המשתמש ", אמרו פקידי מגה. "סיסמה זו פותחת את המפתח הראשי, אשר בתורו פותחת את הקובץ / תיקייה / שיתוף / מפתחות פרטיים."

עם זאת, מנגנון שיאפשר שחזור קבצים במקרה הסיסמה נשכח תיושם בעתיד הקרוב, הם אמרו. זה יכלול אפשרות לשנות את הסיסמה ולייבא מראש את מקשי הקבצים המיועדים כדי לשחזר את הקבצים המתאימים.

חוקרי אבטחה ציינו גם את העובדה שמפתחות ההצפנה הראשיים נוצרים בתוך הדפדפן בעת ​​ההרשמה באמצעות המתמטיקה.Random פונקציה JavaScript הזהיר כי פונקציה זו לא עושה עבודה טובה של יצירת מספרים אקראיים, כלומר המפתחות שהתקבל עשוי להיות חלש מנקודת מבט קריפטוגרפי.

בתגובה, אמרו אנשי מגה כי אנטרופיה אקראיות- נוסף על ידי שימוש בנתונים שנאספו מעכבר המשתמש וממקלדת. "עם זאת, אנו מוסיפים תכונה המאפשרת למשתמש להוסיף כמות גדולה של אנטרופיה ידנית כפי שהוא רואה לנכון לפני שימשיך לדור המפתח", אמרו.

נציגי מגה גם הבהירו כיצד פועלת מערכת האימות של JavaScript באתר, וציין כי שרת HTTPS הראשי המשתמש בתעודת SSL עם מפתח 2048 סיביות משמש לאימות שלמות קוד ה- JavaScript שנמצא משרתי HTTPS משניים המשתמשים באישורים עם מפתחות של 1024 סיביות. "זה בעצם מאפשר לנו לארח את התוכן הסטטי הרגיש ביותר על מספר רב של שרתים מגוונים מבחינה גיאוגרפית מבלי לדאוג לביטחון", אמרו החוקרים. קישורים הכלולים בהודעות האימייל שנשלחו על ידי Mega במהלך תהליך רישום החשבון למעשה מכילים את הסיסמה hash של המשתמש.

תומאס פרסמה כלי שנקרא MegaCracker שניתן להשתמש בהם כדי לחלץ את hashes מקישורים כאלה ולנסות לפצח אותם באמצעות התקפה מילון. לדבריה, "MegaCracker היא תזכורת מצוינת לא להשתמש בסיסמאות ניחוש / מילון, במיוחד אם הסיסמה שלך משמש גם מפתח ההצפנה הראשי לכל הקבצים שאתה מאחסן על MEGA. "

עם זאת, הם לא התייחסו לשאלה מדוע הקישורים לאישור החשבון שנשלחו באמצעות הדוא"ל מכילים את הסיסמה hash של המשתמש מלכתחילה. טכניקה כללית בשימוש על ידי אתרי אינטרנט אחרים היא ליצור קודים אקראיים במיוחד עבור קישורים אישור.

כדי למנוע התוקפים הפוטנציאליים להשיג hash הסיסמה שלהם במועד מאוחר יותר, המשתמשים כנראה צריך למחוק את הדוא"ל אישור מגה לאחר שהם לוחצים על הקישור ולהגדיר את חשבונותיהם