Domov Varnostna ura Dotcomov mega: težave pri zasebnosti in varnosti

Dotcomov mega: težave pri zasebnosti in varnosti

Video: Kim Dotcom: The Man Behind Megaupload (November 2024)

Video: Kim Dotcom: The Man Behind Megaupload (November 2024)
Anonim

V začetku tega meseca je večno ognjena (in občasno zaprta) Kim Dotcom lansirala šifriran sistem za shranjevanje datotek, imenovan Mega. Izpostavil pravna vprašanja, ki so ustavila njegovo prejšnje podjetje, Megaupload, je Dotcom novo storitev označil za zasebno, šifrirano in super varno. Jasno pa je, da je imela Mega nekaj precej nenavadnih idej, kaj to pomeni.

Razmere šifriranja

Mega uporablja pametno shemo za zagotavljanje varnih povezav na poceni. Uporabniki se na Mego povežejo prek centraliziranih strežnikov, ki uporabljajo 2048-bitne RSA ključe. Ti strežniki so povezani s porazdeljenim omrežjem "cenejših" strežnikov s pomočjo 1024-bitnih RSA ključev. Po Sophosovem spletnem dnevniku Naked Security to pomeni, da boste morali ogrožati 2048-bitne zaščitene strežnike in 1024-bitne zaščitene strežnike, da bi lahko služili nepooblaščenim skriptom iz dela omrežja z nižjo zaščito.

"Takole! Čudovit način, da imate varnostno torto, vendar plačajte manj, da jo dostavite."

Shema je pametna, vendar se ni zbrala z nekaterimi kritiki - kar je Sophos podrobno dokumentiral. Zadeva se je poslabšala, ko je fail0verflow pogledal JavaScript, ki se uporablja za premikanje podatkov s 1024-bitnih strežnikov. Odkrili so, da je Mega uporabila avtentikacijo CBC-MAC, ki je vsebovala trdo kodiran ključ, ki je jasno viden v scenariju. To je bilo kot uporaba kombinirane ključavnice, vendar kodo napišite na zadnjo stran, da je ne pozabite.

V primeru vprašanja Java je Mega v nekaj urah hitro odpravila situacijo. Vendar pa niti ta hitri odziv ni vsem popustil. Starejši varnostni svetovalec v Sophosu Kanada Chester Wisniewski je povedal za SecurityWatch , "dolgotrajno vprašanje je, ali imajo zaposleni / programerji v Megi prvi namig, kako pravilno narediti kriptografijo? Ne bi pričakovali, da bodo kripto strokovnjaki naredili amaterske napake, kot je ta."

Nadaljuje: "Koliko drugih napak bi lahko storili? Ali bi morali kdaj zaupati nekomu drugemu, da varuje vaše podatke, ko ne vidite, kako to počnejo?"

Sean Bodmer, glavni raziskovalec podjetja CounterTack, je bil na drugi strani pri svoji oceni Mega šifrirnih sistemov nejasen. "Ne, to ni dobro premišljena dolgoročna rešitev glede integritete podatkov, ampak bolj kot rešitev za koleno del poti do tržne strategije."

"Obstaja veliko bolj zanesljivih izvedb, kot so Google Drive, Dropbox ali SkyDrive, ki ponujajo veliko bolj zanesljivo rešitev za shranjevanje, " je Bodmer povedal za SecurityWatch .

Vse je v tem, da Kim zaščitimo

Eno izmed prodajnih mest Mege je, da ponuja »šifriranje od konca do konca«, kjer se podatki šifrirajo, preden so poslani v Mego, medtem ko je sedeč v Megi, in jih dešifrirajo le, ko jih uporabnik prenese z določenim kriptografskim ključem. Ideja je, da tudi če bi Mega vdrli ali (bolj verjetno) prisiljeni predati informacije organom kazenskega pregona, bi bili vaši podatki neuporabni in celo neopredeljivi.

To je ključnega pomena, saj se lahko v skladu z ameriškim zakonom o avtorskih pravicah digitalnega tisočletja spletno mesto izogne ​​kaznovanju za gostovanje vsebine, zaščitene z avtorskimi pravicami, če pri odstranjevanju le-te sodeluje z organi pregona. Direktiva EU o elektronski trgovini vsebuje podobno zasnovan dogovor z omejeno odgovornostjo. Za Mega shema šifriranja uporabnikom omogoča shranjevanje njihovih podatkov v šifrirani obliki, hkrati pa Dotcomu in njegovemu podjetju omogoča popolno zanikanje, ko policija trka.

Vendar Mega menda ne šifrira podatkov o uporabnikih. Strokovnjaki, s katerimi smo govorili, so dejali, da čeprav to ni nujno svojevrstno - ali celo malomarno -, je večina povezala sodelovanje s organi pregona.

"Ni nenavadno, vendar vsekakor kaže, da so kriptografske zaščite, ki so jih izvajali, bolj zaščitene Mega kot uporabnik storitve, " je dejal Wisniewski. "Če bodo organi pregona Nove Zelandije želeli vedeti o podatkih o lastništvu datotek in informacijah o povezavi, bo Mega lahko to sprejela in predvidevamo, da bodo te podatke predali."

V primeru, ko uporabniki Mege izročajo svoje kriptografske ključe za skupno rabo datotek (kakršne že so) in organi kazenskega pregona lahko potrdijo, da je vsebina res pod avtorskimi pravicami, ima Mega dostop do podatkov uporabnika. To bi lahko Mega omogočilo oboje; lahko ostanejo slepi za nezakonite vsebine v svojem sistemu, vendar so še vedno "varen pristan".

Bodmer se je strinjal in rekel: "Zamisel o vnašanju metrike za olajšanje prihodnjih pravnih izzivov se zdi kot logičen pristop. Naredil bi isto, če bi se moj zadnji podvig končal tako, kot je bilo."

Alex Horan, varnostni strateg pri CORE Security, je poudaril, da Mega ne bo sama pri sprejemanju ukrepov za preprečevanje zakonskih zapletov. "Ali ni veliko sistemov, namenjenih zaščiti podjetja pred sodnimi spori? Trdim, da je Mega to dolžna storiti, " je dejal za SecurityWatch .

"je morda bolj občutljiv nanjo kot povprečen človek, saj lahko domnevamo, da bi njegovo novo službo analizirali precej natančno, " je nadaljeval Horan.

Odvzem

Medtem ko Mega zagotovo šifrira informacije, se zdijo drugi vidiki njenega delovanja vprašljivi. Najbolj je mučno, kot kriptografske napake in porazdeljeni sistemi, kako se storitev trži. Od začetka bi moralo biti jasno: ni zasnovan za zaščito vas , temveč je zasnovan tako, da jih ščiti.

Več o Maxu spremljajte na Twitterju @wmaxeddy.

Dotcomov mega: težave pri zasebnosti in varnosti