Dubbi per la sicurezza del servizio Mega di Kim Dotcom

La coraggiosa nuova avventura di Kim Dotcom, il servizio di archiviazione e condivisione di file Mega, sta attirando critiche mentre i ricercatori di sicurezza analizzano il modo in cui il sito protegge i dati degli utenti. In breve, consigliano: non fidatevi di esso.

Mentre i funzionari Mega ammettono di essere "principianti" di JavaScript, il linguaggio di programmazione utilizzato per eseguire elementi chiave del loro servizio, dicono che il loro sito web non è più vulnerabile di quello online i siti bancari per attaccare.

Dotcom ha organizzato una grande festa di lancio per Mega domenica nella sua villa fuori Auckland. Il servizio è il successore di Megaupload, il sito di condivisione di file che Dotcom e i suoi colleghi sono stati incriminati negli Stati Uniti nel gennaio 2012 per accuse di violazione del copyright.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

MegaMega, il nuovo servizio di condivisione di file di Kim Dotcom, è stato criticato dagli esperti di sicurezza, ma il capo programmatore Bram van der Kolk (a sinistra) e CTO Mathias Ortmann (a destra) dicono che il loro sito non è più vulnerabile dei siti di online banking.

Il fiammeggiante Dotcom sta assicurando agli utenti di Mega che la crittografia del sito proteggerà la loro privacy e dati, ma l'implementazione di tale schema di crittografia è fondamentalmente errata, secondo gli osservatori.

Mega utilizza SSL (Secure Sockets Layer) un protocollo ampiamente utilizzato per crittografia su Internet per proteggere la connessione tra i computer degli utenti e i propri server. Una volta stabilita una connessione SSL, Mega invia il codice JavaScript al browser di una persona, che quindi crittografa i file della persona prima che i dati vengano inviati ai server di Mega.

Il problema è che SSL è stato a lungo riconosciuto come un punto debole sul web. Nel 2009, la ricercatrice della sicurezza Moxie Marlinspike ha creato uno strumento chiamato SSLstrip, che consente a un utente malintenzionato di intercettare e interrompere una connessione SSL. L'attaccante può quindi spiare i dati che l'utente invia al sito Web falso.

Poiché Mega si basa fondamentalmente su SSL, "non c'è davvero alcuna ragione per fare la crittografia sul lato client", ha detto Marlinspike in un'intervista lunedì. "Questi tipi di schemi sono vulnerabili a tutti i problemi con SSL."

Qualcuno che attacca Mega utilizzando SSLstrip potrebbe quindi inviare il proprio codice JavaScript dannoso personalizzato al browser della vittima. L'utente avrebbe inevitabilmente divulgato la sua password, che avrebbe permesso all'hacker di decrittografare tutti i suoi dati archiviati con Mega.

Mathias Ortmann, CTO di Mega, ha detto in un'intervista lunedì che ci sono una serie di attacchi basati sul web che Mega sarebbe vulnerabile a proprio come qualsiasi altro sito che si basa su SSL per la sicurezza, come per l'online banking. Questi scenari sono delineati sul sito di Mega, ha detto.

"Se si fossero presi la briga di leggere che avrebbero visto che sostanzialmente dichiarano esattamente cosa ci stanno accusando di possibili vettori di attacco più altri non ci accusano di ", Ha detto Ortmann. "Tutti questi attacchi relativi a SSL non si applicano specificamente a noi. Si applicano a società con requisiti di sicurezza ugualmente elevati o requisiti ancora più elevati. "

SSL è sostenuto da certificati di sicurezza crittografati emessi da società e organizzazioni autorizzate. Ma il sistema di rilascio è stato a lungo criticato da quando i truffatori sono stati in grado di ottenere certificati validi per i siti Web che non possiedono.

Ortmann ha riconosciuto che qualcuno potrebbe provare a ingannare un'autorità di certificazione per emettere un vero certificato SSL per mega.co. nz, che consentirebbe all'attaccante di creare un falso sito web Mega che sembra avere credenziali adeguate.

In un cenno all'intensa avversione per l'impresa Mega di Kim Dotcom, Ortmann ha detto: "In realtà mi aspetto che qualche governo abbia un mega.co.nz shadow certificate emesso a un certo punto e utilizzato in un attacco. "Ma Mega esaminerà periodicamente i certificati SSL non autorizzati, ha detto.

Courtesy of Nadim KobeissIl nuovo servizio di condivisione file di Kim Dotcom, Mega, è stato criticato da persone come Nadim Kobeissi, sviluppatore del programma di messaggistica istantanea crittografato Cryptocat, per come Mega implementa la crittografia.

Se i server di Mega fossero compromessi, sarebbe Inoltre, è possibile che un utente malintenzionato fornisca un codice JavaScript pericoloso e modificato, ha dichiarato Nadim Kobeissi, sviluppatore del programma di messaggistica istantanea crittografato Cryptocat. Sarebbe anche possibile che Mega stessa fornisse il codice dannoso.

"Ogni volta che apri il sito web, il codice di crittografia viene inviato da zero", ha detto Kobeissi. Quindi, se un giorno deciderò di disabilitare tutta la crittografia per te, Posso semplicemente servire il tuo nome utente codice diverso che non cripta nulla e invece ruba le tue chiavi di crittografia. "

Ortmann ha risposto che gli utenti sono sempre costretti a fidarsi del loro fornitore di servizi quando scaricano e eseguono il codice. Poiché il codice JavaScript di Mega viene inviato al browser, le persone saranno in grado di analizzare regolarmente il codice e assicurarsi che sia affidabile o meno. Se Mega ha manomesso il codice JavaScript, "sarebbe rilevabile", ha detto Ortmann.

Marlinspike ha detto che un modo più sicuro sarebbe per Mega utilizzare un'estensione browser firmata per crittografare i dati, il che impedirebbe la manomissione da parte di un utente malintenzionato. In alternativa, un client software installato avrebbe realizzato lo stesso fine, ha affermato, senza esporre un utente alle insicurezze di SSL.

Marlinspike ha detto che pensa che i mega utenti fondamentalmente non si preoccupino molto della sicurezza poiché sono solo interessati a condivisione di file. Poiché Mega vedrà solo i dati crittografati sui loro server, l'installazione sembra assolvere i fondatori del sito dai problemi di violazione del copyright di Megaupload.

"Tutto ciò che conta è che gli operatori di Mega possono affermare di non avere la capacità tecnica di ispezionare i contenuti sul server per violazione del copyright ", ha detto Marlinspike.

Come ogni nuovo servizio online, il codice di Mega è già stato spinto. Domenica, è stato rivelato che il sito aveva un difetto di scripting cross-site, che in alcuni casi può consentire a un utente malintenzionato di rubare i cookie di un utente, il che consentirebbe almeno un'acquisizione temporanea dell'account di una vittima. È stato risolto rapidamente.

"Il problema XSS è stato risolto nel giro di un'ora", ha scritto su Twitter Bram van der Kolk, capo programmatore di Mega, su Twitter. "Punto molto valido, bug imbarazzante."

Ortmann ha elaborato: "Il problema degli script tra siti era più che imbarazzante. Non dovrebbe essere successo. Questo è dovuto al fatto che Bram e io sono principianti completi di JavaScript e non mi sarei mai aspettato questo comportamento da un browser. Ne abbiamo discusso, ma non l'abbiamo testato, quindi è un po 'imbarazzante. Ciò è stato risolto dopo 30 minuti o meno di un'ora dopo che ci è stato segnalato. "

Ha detto che Mega pubblicherà ulteriori dettagli oggi sul sito web affrontando i punti sollevati dai suoi critici in merito alla sicurezza.