Casa Securitywatch La mega di Dotcom: problemi di privacy e sicurezza

La mega di Dotcom: problemi di privacy e sicurezza

Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (Novembre 2024)

Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (Novembre 2024)
Anonim

All'inizio di questo mese il perpetuamente sgargiante (e occasionalmente imprigionato) Kim Dotcom ha lanciato un sistema di archiviazione di file crittografato chiamato Mega. Evidenziando i problemi legali che hanno chiuso la sua precedente società, Megaupload, Dotcom ha pubblicizzato il nuovo servizio come privato, crittografato e super sicuro. È chiaro, tuttavia, che Mega aveva delle idee piuttosto insolite su cosa significhi.

La situazione di crittografia

Mega utilizza uno schema intelligente per servire connessioni sicure a basso costo. Gli utenti si connettono a Mega tramite server centralizzati che utilizzano chiavi RSA a 2048 bit. Tali server sono collegati a una rete distribuita di server "più economici" mediante chiavi RSA a 1024 bit. Secondo il blog di Naked Security di Sophos, "ciò significa che dovresti compromettere i server protetti a 2048 bit e i server protetti a 1024 bit per servire script non autorizzati dalla parte di sicurezza inferiore della rete.

"Ecco! Un modo pulito per avere la tua torta di sicurezza ma pagare di meno per consegnarla."

Lo schema è intelligente, ma non è stato accolto da alcuni critici, cosa che Sophos ha documentato in dettaglio. La questione è peggiorata quando fail0verflow ha esaminato il JavaScript utilizzato per spostare i dati dai server a 1024 bit. Hanno scoperto che Mega utilizzava l'autenticazione CBC-MAC, che conteneva una chiave codificata chiaramente visibile nello script. È stato come usare un lucchetto a combinazione, ma scrivere il codice sul retro in modo da non dimenticarlo.

Nel caso del problema con Java, Mega ha rapidamente risolto la situazione nel giro di poche ore. Tuttavia, anche quella risposta rapida non ha messo tutti a proprio agio. Il consulente senior per la sicurezza di Sophos Canada, Chester Wisniewski, ha dichiarato a SecurityWatch : "La domanda che rimane è che il personale / i programmatori di Mega hanno il primo indizio su come eseguire correttamente la crittografia? Non ti aspetteresti che gli esperti di crittografia commettano errori da dilettanti come questo."

Ha continuato, "quanti altri errori potrebbero aver commesso? Dovresti mai fidarti di qualcun altro per proteggere i tuoi dati quando non riesci a vedere come lo stanno facendo?"

Sean Bodmer, capo ricercatore di CounterTack, invece, è stato schietto nella sua valutazione dei sistemi di crittografia di Mega. "No, questa non è una soluzione a lungo termine per l'integrità dei dati, ma più come una soluzione istintiva che fa parte di una strategia di mercato".

"Esistono molte implementazioni più affidabili come Google Drive, Dropbox o SkyDrive che offrono una soluzione di archiviazione molto più solida", ha dichiarato Bodmer a SecurityWatch .

Si tratta di mantenere Kim al sicuro

Uno dei punti di forza di Mega è che offre "crittografia end-to-end", in cui i dati vengono crittografati prima di essere inviati a Mega, mentre si trovano in Mega, e vengono decrittografati solo quando scaricati da un utente con una chiave crittografica specifica. L'idea è che anche se Mega viene violato o (più probabilmente) costretto a consegnare informazioni dalle forze dell'ordine, i tuoi dati sarebbero inutili e persino non identificabili.

Ciò è fondamentale perché ai sensi del Digital Millennium Copyright Act degli Stati Uniti, un sito Web può evitare la punizione per l'hosting di contenuti protetti da copyright se coopera rapidamente con le forze dell'ordine per rimuoverlo. La direttiva sul commercio elettronico dell'UE contiene un accordo di responsabilità limitata concepito in modo simile. Per Mega, lo schema di crittografia consente agli utenti di archiviare le proprie informazioni in forma crittografata, ma consente anche a Dotcom e alla sua compagnia di negare totalmente quando la polizia bussa.

Tuttavia, secondo quanto riferito, Mega non crittografa le informazioni dell'utente. Gli esperti con cui abbiamo parlato hanno affermato che sebbene ciò non fosse necessariamente peculiare - o addirittura negligente - la maggior parte ha fatto il collegamento con la cooperazione con le forze dell'ordine.

"Non è insolito, ma suggerisce che le protezioni crittografiche che hanno implementato sono lì per proteggere Mega più che l'utente del servizio", ha detto Wisniewski. "Se le forze dell'ordine neozelandesi vogliono conoscere la proprietà dei file e le informazioni sulla connessione, Mega sarà in grado di farlo e noi assumiamo la volontà di consegnare tali informazioni."

In una situazione in cui gli utenti Mega distribuiscono le loro chiavi crittografiche per condividere file (che già sono) e le forze dell'ordine possono confermare che il contenuto è effettivamente protetto da copyright, Mega ha accesso alle informazioni dell'utente. Ciò potrebbe consentire a Mega di farlo in entrambi i modi; possono rimanere ciechi nei confronti dei contenuti illegali sul loro sistema, ma possono comunque essere un "porto sicuro".

Bodmer concordò, dicendo: "La previsione di elaborare metriche per facilitare le future sfide legali sembra un approccio logico, farei la stessa cosa se la mia ultima impresa fosse finita così".

Alex Horan, stratega della sicurezza presso CORE Security, ha sottolineato che Mega non sarebbe il solo a prendere provvedimenti per evitare problemi legali. "Non ci sono molti sistemi progettati per proteggere l'azienda dalle controversie? Direi che Mega è obbligata a farlo", ha detto a SecurityWatch .

"potrebbe essere più sensibile rispetto alla persona media in quanto può presumere che il suo nuovo servizio venga analizzato abbastanza da vicino", ha continuato Horan.

The Takeaway

Mentre Mega certamente crittografa le informazioni, altri aspetti del suo funzionamento sembrano discutibili. La cosa più preoccupante, oltre agli errori crittografici e ai sistemi distribuiti, è il modo in cui il servizio viene commercializzato. Dovrebbe essere chiaro dall'inizio: non è progettato per proteggerti, è progettato per proteggerli.

Per ulteriori informazioni su Max, seguilo su Twitter @wmaxeddy.

La mega di Dotcom: problemi di privacy e sicurezza