Dobleng ipinalabas sa seguridad ng serbisyo ng Kim Dotcom ni

Ang bold new venture ng Kim Dotcom, ang file-storage at pagbabahagi ng serbisyo sa Mega, ay ang pagguhit ng kritika habang pinaniniwalaan ng mga mananaliksik ng seguridad kung paano pinoprotektahan ng site ang data ng mga gumagamit. Sa maikli, nagpapayo sila: huwag kang magtiwala.

Habang tinatanggap ng mga opisyal ng Mega na sila ay "newbies" sa JavaScript, ang wika ng programming na ginagamit upang maisagawa ang mga pangunahing elemento ng kanilang serbisyo, sinasabi nila na ang kanilang website ay hindi mas madaling masugatan kaysa online ang mga site ng pagbabangko ay sinasalakay.

Dotcom ay nagtapon ng isang malaking party ng paglunsad para sa Mega sa Linggo sa kanyang mansiyon sa labas ng Auckland. Ang serbisyo ay ang kahalili sa Megaupload, ang site ng pagbabahagi ng file na Dotcom at ang kanyang mga kasamahan ay naakusahan sa US noong Enero 2012 sa mga singil sa paglabag sa copyright.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang MegaMega, ang bagong file-sharing service mula sa Kim Dotcom, ay binatikos ng mga eksperto sa seguridad, ngunit ang Chief Programmer na si Bram van der Kolk (kaliwa) at CTO Mathias Ortmann (kanan) ay nagsabi na ang kanilang site ay mas mahina kaysa sa mga online banking website.

Ang napakagandang Dotcom ay nagbibigay katiyakan sa mga gumagamit ng Mega na ang encryption ng site ay mapoprotektahan ang kanilang privacy at data, ngunit ang pagpapatupad ng na scheme ng encryption ay sa panimula ay may depekto, ayon sa mga nagmamasid.

Mega ay gumagamit ng SSL (Secure Sockets Layer) na malawakang ginagamit na protocol para sa encryption sa internet para sa pag-secure ng koneksyon sa pagitan ng mga computer ng mga gumagamit nito at ng sarili nitong mga server. Sa sandaling ginawa ang isang koneksyon sa SSL, tinutulak ng Mega ang JavaScript code sa browser ng isang tao, na pagkatapos ay ine-encrypt ang mga file ng tao bago ipadala ang data sa mga server ng Mega.

Ang problema ay na ang SSL ay matagal na kinikilala bilang isang mahinang punto sa web. Noong 2009, lumikha ang security researcher na si Moxie Marlinspike ng isang tool na tinatawag na SSLstrip, na nagpapahintulot sa isang magsasalakay na maharang at huminto sa isang koneksyon sa SSL. Ang magsasalakay ay maaaring pagkatapos ay sumubaybay sa kahit anong data na ipinadala ng gumagamit sa pekeng website.

Dahil ang Mega sa panimula ay nakasalalay sa SSL, "wala talagang dahilan upang mag-encrypt ng client-side," sabi ni Marlinspike sa isang pakikipanayam noong Lunes. "Ang ganitong mga uri ng mga scheme ay maaaring masugatan sa lahat ng mga problema sa SSL."

Ang isang tao na pag-atake ng Mega gamit ang SSLstrip ay maaaring magpadala ng kanilang sariling custom na malisyosong JavaScript sa browser ng biktima. Ang user ay hindi maaaring hindi ipahayag ang kanyang password, na kung saan ay magpapahintulot sa magsasalakay na i-decrypt ang lahat ng kanyang data na naka-imbak sa Mega.

Mathias Ortmann, Mega's CTO, sinabi sa isang panayam Lunes na mayroong iba't ibang mga web-based na pag-atake na Mega ay magiging mahina tulad ng anumang iba pang mga site na umaasa sa SSL para sa seguridad, tulad ng para sa online banking. Ang mga sitwasyong iyon ay nakabalangkas sa site ng Mega, sinabi niya.

"Kung sila ay nag-aalala na basahin na sana nakita nila na talaga nating sinasabi kung ano ang kanilang inaakusahan sa amin ng posibleng mga vectors ng pag-atake at ilang iba pa na hindi nila inaakusahan sa amin ng, "Sabi ni Ortmann. "Ang lahat ng mga pag-atake na may kaugnayan sa SSL na ito ay hindi partikular na inilalapat sa amin. Nalalapat ang mga ito sa mga kumpanya na may parehong mataas na mga kinakailangan sa seguridad o kahit na mas mataas na mga kinakailangan. "

SSL ay underpinned ng naka-encrypt na mga sertipiko ng seguridad na inisyu ng mga awtorisadong kumpanya at mga organisasyon. Ngunit ang pag-isyu ng sistema ay matagal nang pinagtutuunan dahil ang mga scammer ay nakakuha ng mga wastong sertipiko para sa mga website na hindi nila pagmamay-ari.

Ortmann ay kinilala na maaaring subukan ng isang tao na lilinlang ang isang sertipiko ng awtoridad sa pag-isyu ng tunay na SSL certificate para sa mega.co. nz, na kung saan ay magpapahintulot sa magsasalakay na lumikha ng isang pekeng Mega website na lumilitaw na may tamang kredensyal.

Sa isang tumango sa matinding hindi nagugustuhan ng Mega enterprise ni Kim Dotcom, sinabi ni Ortmann, "Talaga nga umaasa akong may ilang gobyerno na magkaroon ng isang mega.co.nz anino certificate na ibinigay sa ilang mga punto at ginagamit sa isang pag-atake. "Ngunit Mega ay paminsan-minsan i-scan para sa hindi awtorisadong SSL certificate, sinabi niya.

Sa kagandahang-loob ni Nadim KobeissAng bagong file-sharing service mula sa Kim Dotcom, Mega, ay sinaway ng mga tao kasama na si Nadim Kobeissi, developer ng encrypted program sa instant messaging na Cryptocat, kung paano ipinapatupad ng Mega ang pag-encrypt.

Kung nakompromiso ang mga server ng Mega, posible din para sa isang magsasalakay na maghatid ng binagong, malisyosong JavaScript, sabi ni Nadim Kobeissi, developer ng naka-encrypt na programang instant messaging na Cryptocat. Maaari ring maging posible para sa Mega mismo na maghatid ng malisyosong code.

"Sa bawat oras na buksan mo ang website, ang encryption code ay ipinadala mula sa simula," sabi ni Kobeissi "Kaya kung isang araw magpasiya ako na gusto kong huwag paganahin ang lahat ng encryption para sa iyo, Maaari ko lang ibigay ang iyong username ng ibang code na hindi naka-encrypt sa anumang bagay at sa halip ay aagaw ang iyong mga key ng pag-encrypt. "

Ortmann ay tumanggi na ang mga gumagamit ay palaging pinilit na magtiwala sa kanilang service provider kapag nagda-download at nagpapatakbo ng code. Dahil ang JavaScript ng Mega ay ipinadala sa browser, ang mga tao ay maaaring regular na pag-aralan ang code at matiyak na ito ay mapagkakatiwalaan o hindi. Kung Mega tampered sa JavaScript, "ito ay detectable," sinabi Ortmann.

Marlinspike sinabi ng isang mas ligtas na paraan ay magiging para sa Mega na gumamit ng isang naka-sign browser extension upang i-encrypt ang data, na kung saan ay maiwasan ang pag-tamper ng isang pag-atake. Bilang kahalili, ang isang naka-install na client ng software ay magawa ang parehong dulo, sinabi niya, nang hindi ilantad ang isang gumagamit sa mga insecurities ng SSL.

Marlinspike sinabi niya sa tingin ng mga gumagamit Mega sa panimula hindi mahalaga na magkano ang tungkol sa seguridad dahil sila ay interesado lamang sa pagbabahagi ng file. Dahil ang Mega ay makakakita lamang ng naka-encrypt na data sa kanilang mga server, ang setup ay lilitaw na pawalang-bisa ang mga tagapagtatag ng site mula sa mga isyu sa paglabag sa copyright ng Megaupload.

"Ang lahat ng bagay na iyon ay ang mga operator ng Mega ay maaaring mag-claim na wala silang teknikal na kakayahan siyasatin ang mga nilalaman sa server para sa paglabag sa copyright, "sabi ni Marlinspike.

Tulad ng anumang mga bagong online na serbisyo, ang code ng Mega ay na-prodded. Sa araw ng Linggo, ipinahayag na ang site ay nagkaroon ng depekto sa scripting ng cross-site, na sa ilang mga pagkakataon ay maaaring pahintulutan ang isang magsasalakay na magnakaw ng cookies ng gumagamit, na magpapahintulot ng hindi bababa sa pansamantalang pagkuha sa isang account ng biktima. Ito ay mabilis na naayos.

"Ang problema sa XSS ay nalutas sa loob ng oras," ang isinulat ni Bram van der Kolk, punong programmer ni Mega, sa Twitter noong Linggo. "Napaka-wastong punto, nakakahiya na bug."

Ortmann ay nagsabi: "Ang isyu sa scripting ng cross-site ay higit pa sa nakakahiya. Iyon ay hindi dapat nangyari. Ito ay talagang dahil sa ang katunayan na ako Bram at ako ay kumpleto na JavaScript newbies at hindi kailanman inaasahan ang pag-uugali na ito sa pamamagitan ng isang browser. Talaga naming tinalakay ito, ngunit hindi namin sinubok ito, kaya na uri ng nakakahiya. Naayos na pagkatapos ng 30 minuto o mas mababa sa isang oras pagkatapos na ito ay iniulat sa amin. "

Sinabi niya Mega ay mag-post ng higit pang mga detalye sa ibang pagkakataon sa araw na ito sa website addressing ang mga punto na itinaas ng mga kritiko nito tungkol sa seguridad.