Video: Helbredelse meditationsmusik, Afslappende musik, stress lettelse musik, Fredfyldt musik, ☯933 (Oktober 2024)
Tidligere denne måned lancerede den evigt flamboyante (og lejlighedsvis fængslede) Kim Dotcom et krypteret fillagringssystem kaldet Mega. Dotcom fremhævede de juridiske problemer, der lukkede hans tidligere firma, Megaupload, og udpegede den nye service som privat, krypteret og supersikker. Det er dog klart, at Mega havde nogle ret usædvanlige ideer om, hvad det betyder.
Krypteringssituationen
Mega bruger en smart ordning til at servere sikre forbindelser på det billige. Brugere opretter forbindelse til Mega via centraliserede servere, der bruger 2048-bit RSA-nøgler. Disse servere er forbundet til et distribueret netværk af "billigere" servere ved hjælp af 1024-bit RSA-nøgler. I henhold til Sophos 'Naked Security-blog "betyder det, at du bliver nødt til at gå på kompromis med de 2048-bit-beskyttede servere og de 1024-bit-beskyttede servere for at kunne tjene uautoriserede scripts fra den nedre sikkerhedsdel af netværket.
"Lo! En pæn måde at have din sikkerhedskage på, men betaler mindre for at levere den."
Skemaet er smart, men passerede ikke mønstre med nogle kritikere - som Sophos dokumenterede detaljeret. Sagen forværredes, når fail0verflow kiggede på den JavaScript, der blev brugt til at flytte dataene fra 1024-bit-serverne. De opdagede, at Mega benyttede CBC-MAC-godkendelse, som indeholdt en hårdkodet nøgle, der er synlig i scriptet. Dette var som at bruge en kombinationslås, men at skrive koden på bagsiden, så du ikke glemmer det.
I tilfælde af Java-problemet rettede Mega hurtigt situationen inden for få timer. Selv den hurtige reaktion bragte imidlertid ikke alle i brug. Senior sikkerhedsrådgiver hos Sophos Canada Chester Wisniewski fortalte SecurityWatch , "det tilbageholdende spørgsmål, der er tilbage, er, at personalet / programmører på Mega har den første ledetråd om, hvordan man udfører kryptografi korrekt? Du ville ikke forvente, at kryptoekspertise begår amatørmissige fejl som dette."
Han fortsatte, "hvor mange andre fejl kunne de have gjort? Skal du nogensinde have tillid til en anden til at beskytte dine data, når du ikke kan se, hvordan de gør det?"
Sean Bodmer, Chief Researcher hos CounterTack, var på den anden side sløv i sin vurdering af Megas krypteringssystemer. "Nej, dette er ikke gennemtænkt langsigtet løsning på dataintegritet, men mere specifikt som en knæ-skræddersyet løsning en del af en gå til markedsstrategi."
"Der er mange mere pålidelige implementeringer såsom Google Drive, Dropbox eller SkyDrive, der tilbyder en langt mere robust opbevaringsløsning, " fortalte Bodmer til SecurityWatch .
Det handler om at holde Kim i sikkerhed
Et af Megas salgssteder er, at det tilbyder "ende-til-ende-kryptering", hvor data krypteres, før de sendes til Mega, mens de sidder i Mega, og kun dekrypteres, når de downloades af en bruger med en bestemt kryptografisk nøgle. Tanken er, at selv hvis Mega er hacket eller (mere sandsynligt) tvunget til at udlevere information ved lovhåndhævelse, ville dine data være ubrugelige og endda uidentificerbare.
Dette er kritisk, fordi et websted under US Digital Millennium Copyright Act kan undgå straf for at være vært for copyright-indhold, hvis det samarbejder hurtigt med retshåndhævelse for at fjerne det. EU's direktiv om elektronisk handel indeholder en lignende udtænkt aftale om begrænset ansvar. For Mega giver krypteringsskemaet brugere mulighed for at gemme deres oplysninger i en krypteret form, men det giver også Dotcom og hans virksomhed fuldstændig fornøjelighed, når politiet kommer bankende.
Mega krypterer angiveligt ikke brugerinformation. De eksperter, vi talte med, sagde, at selv om dette ikke nødvendigvis var ejendommeligt - eller endda uagtsomt - gjorde de fleste forbindelsen til at samarbejde med retshåndhævelse.
"Det er ikke usædvanligt, men antyder, at de kryptografiske beskyttelser, de har implementeret, er der mere for at beskytte Mega end brugeren af tjenesten, " sagde Wisniewski. "Hvis New Zealand retshåndhævelse ønsker at vide om filejerskab og forbindelsesinformation Mega vil være i stand til, og vi antager villige til at udlevere disse oplysninger."
I en situation, hvor Mega-brugere uddeler deres kryptografiske nøgler for at dele filer (som de allerede er), og retshåndhævelse kan bekræfte, at indholdet faktisk er under copyright, har Mega adgang til brugerens oplysninger. Dette muliggør, at Mega kan have det begge veje; de kan forblive blinde for ulovligt indhold på deres system, men stadig være en "sikker havn."
Bodmer accepterede og sagde, "Den forestillede om at bage-in-metrics for at lette fremtidige juridiske udfordringer virker som en logisk tilgang. Jeg ville gøre det samme, hvis min sidste venture var afsluttet, som det gjorde."
Alex Horan, sikkerhedsstrateg ved CORE Security, påpegede, at Mega ikke ville være alene om at tage skridt for at undgå juridiske sammenfiltringer. "Er der ikke mange systemer designet til at beskytte virksomheden mod retssager? Jeg vil hævde, at Mega er forpligtet til at gøre det, " sagde han til SecurityWatch .
"kan være mere følsom overfor det end den gennemsnitlige person, da han kan antage, at hans nye tjeneste ville blive analyseret temmelig nøje, " fortsatte Horan.
Takeaway
Selvom Mega bestemt krypterer information, forekommer andre aspekter af dens funktion tvivlsomme. Det mest bekymrende, mere end kryptografiske fejl og distribuerede systemer, er, hvordan tjenesten markedsføres. Det skal være klart fra starten: det er ikke designet til at beskytte dig , det er designet til at beskytte dem .
For mere fra Max, følg ham på Twitter @wmaxeddy.
