Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (November 2024)
Začiatkom tohto mesiaca neustále okúzľujúci (a občas uväznený) Kim Dotcom spustil šifrovaný systém na ukladanie súborov s názvom Mega. Megaupload, Dotcom, upozorňujúc na právne problémy, ktoré ukončili jeho predchádzajúcu spoločnosť, ponúkli novú službu ako súkromnú, šifrovanú a super bezpečnú. Je však zrejmé, že Mega mala dosť neobvyklé predstavy o tom, čo to znamená.
Situácia šifrovania
Mega používa šikovnú schému na poskytovanie bezpečných spojení za lacné. Používatelia sa pripájajú k Mega prostredníctvom centralizovaných serverov, ktoré používajú 2048-bitové RSA kľúče. Tieto servery sú pripojené k distribuovanej sieti „lacnejších“ serverov pomocou 1024-bitových kľúčov RSA. Podľa blogu Sophos 'Naked Security' to znamená, že by ste museli kompromitovať 2048-bitové servery a 1024-bitové servery, aby ste mohli obsluhovať neautorizované skripty z časti siete s nižšou bezpečnosťou.
„Hej! Úžasný spôsob, ako si dať bezpečnostný koláč, ale platiť menej za jeho doručenie.“
Schéma je šikovná, ale neprešla zhromaždením niektorých kritikov - čo Sophos podrobne dokumentoval. Táto záležitosť sa zhoršila, keď sa tok0 fail0verflow pozrel na javascript používaný na presun údajov z 1024-bitových serverov. Zistili, že Mega používa autentifikáciu CBC-MAC, ktorá obsahovala pevne zakódovaný kľúč jasne viditeľný v skripte. Bolo to ako používať kombinovaný zámok, ale písanie kódu na zadnú stranu, aby ste na to nezabudli.
V prípade problému Java, Mega pohotovo napravila situáciu do niekoľkých hodín. Ani táto rýchla reakcia však nezbavila každého. Senior Security Advisor v spoločnosti Sophos Canada Chester Wisniewski pre agentúru SecurityWatch povedal: „Zostávajúcou otázkou zostáva, či zamestnanci / programátori v spoločnosti Mega majú prvú stopu o tom, ako robiť kryptografiu správne? Neočakávali by ste, že by odborníci na kryptografiu robili také amatérske chyby."
Pokračoval: „Koľko ďalších chýb mohli urobiť? Mali by ste niekedy dôverovať niekomu inému na ochranu vašich údajov, keď neviete, ako to robia?“
Na druhej strane Sean Bodmer, hlavný výskumný pracovník v CounterTack, bol pri hodnotení šifrovacích systémov Mega tupý. „Nie, nie je to dobre premyslené dlhodobé riešenie integrity údajov, ale skôr ako riešenie kolenných škvŕn, ktoré je súčasťou stratégie trhu.“
„Existuje mnoho spoľahlivejších implementácií, ako sú napríklad Disk Google, Dropbox alebo SkyDrive, ktoré ponúkajú oveľa robustnejšie riešenie úložného priestoru, “ povedal Bodmer pre SecurityWatch .
Je to všetko o udržiavaní bezpečnosti Kim
Jedným z predajných bodov spoločnosti Mega je to, že ponúka „šifrovanie end-to-end“, kde sú dáta zašifrované skôr, ako sú odoslané do Mega, zatiaľ čo sedí v Mega, a dešifrované sú iba vtedy, keď ich používateľ stiahne pomocou špecifického kryptografického kľúča. Myšlienka je taká, že aj keď je Mega napadnutý hackerom (alebo s väčšou pravdepodobnosťou) nútený odovzdať informácie orgánmi činnými v trestnom konaní, vaše údaje by boli zbytočné a dokonca neidentifikovateľné.
Je to dôležité, pretože podľa zákona o autorských právach súvisiacich s informačnými technológiami (Digital Millennium Copyright Act) sa webová stránka môže vyhnúť trestu za umiestnenie obsahu chráneného autorskými právami, ak na jeho odstránenie rýchlo spolupracuje s orgánmi činnými v trestnom konaní. Smernica EÚ o elektronickom obchode obsahuje podobnú koncepciu obmedzenej zodpovednosti. Pokiaľ ide o Mega, šifrovacia schéma umožňuje používateľom ukladať ich informácie v zašifrovanej podobe, ale tiež umožňuje Dotcom a jeho spoločnosti úplnú deniability, keď polícia klepe.
Mega však údajne nešifruje informácie o používateľovi. Odborníci, s ktorými sme hovorili, uviedli, že hoci to nebolo nevyhnutne zvláštne - alebo dokonca nedbanlivé -, väčšina sa však spojila so spoluprácou s orgánmi činnými v trestnom konaní.
„Nie je to nič neobvyklé, naznačuje to však, že kryptografické ochrany, ktoré implementovali, chránia Mega viac ako užívateľ služby, “ uviedol Wisniewski. „Ak sa novozélandské orgány činné v trestnom konaní chcú dozvedieť viac o vlastníckych právach k súborom a informácie o pripojení, spoločnosť Mega bude schopná tieto informácie prevziať.
V situácii, keď používatelia Mega rozdávajú svoje kryptografické kľúče, aby zdieľali súbory (ktoré už sú) a orgány činné v trestnom konaní môžu potvrdiť, že na obsah sa skutočne vzťahujú autorské práva, Mega má prístup k informáciám používateľa. To by Mega umožnilo mať oboje; môžu zostať slepí k nezákonnému obsahu vo svojom systéme, ale stále môžu byť „bezpečným prístavom“.
Bodmer súhlasil a povedal: „Predpovede, ktoré by mohli pomôcť pri budúcich právnych výzvach, sa zdajú byť logickým prístupom, urobil by som to isté, keby môj posledný podnik skončil tak, ako to urobil.“
Alex Horan, bezpečnostný stratég v spoločnosti CORE Security, poukázal na to, že Mega by nebol sám v podnikaní krokov na zabránenie legálnym zapleteniam. „Nie je veľa systémov určených na ochranu spoločnosti pred súdnymi spormi? Tvrdil by som, že Mega je povinná to urobiť, “ povedal pre SecurityWatch .
„môže byť na to citlivejší ako priemerný človek, pretože môže predpokladať, že jeho nová služba bude analyzovaná veľmi podrobne, “ pokračoval Horan.
Stánok so sebou
Aj keď Mega určite šifruje informácie, iné aspekty jej fungovania sa zdajú sporné. Najviac znepokojujúce, viac ako kryptografické poruchy a distribuované systémy, je spôsob, akým sa služba predáva. Malo by byť jasné od začiatku: nie je navrhnuté tak, aby vás chránilo, je určené na ich ochranu.
Ak chcete získať viac od Maxa, sledujte ho na Twitteri @ Wmaxeddy.