บ้าน Securitywatch mega ของ Dotcom: ความเป็นส่วนตัวและความปลอดภัย

mega ของ Dotcom: ความเป็นส่วนตัวและความปลอดภัย

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

เมื่อต้นเดือนนี้คิมดอทคอมได้เปิดตัวระบบจัดเก็บไฟล์ที่เข้ารหัสซึ่งเรียกว่าเมก้า ไฮไลต์ประเด็นทางกฎหมายที่ปิด บริษัท ก่อนหน้านี้ของเขา Megaupload, Dotcom โน้มน้าวให้บริการใหม่เป็นส่วนตัวเข้ารหัสและปลอดภัยสุด ๆ อย่างไรก็ตามมันชัดเจนว่า Mega มีความคิดที่ผิดปกติเกี่ยวกับความหมายของมัน

สถานการณ์การเข้ารหัส

Mega ใช้รูปแบบที่ชาญฉลาดในการรองรับการเชื่อมต่อที่ปลอดภัยในราคาถูก ผู้ใช้เชื่อมต่อกับ Mega ผ่านเซิร์ฟเวอร์รวมศูนย์ซึ่งใช้คีย์ RSA 2048 บิต เซิร์ฟเวอร์เหล่านั้นเชื่อมต่อกับเครือข่ายแบบกระจายของเซิร์ฟเวอร์ "ถูกกว่า" โดยใช้คีย์ RSA 1024- บิต อ้างอิงจากบล็อก Naked Security ของ Sophos "หมายความว่าคุณจะต้องประนีประนอมเซิร์ฟเวอร์ที่ได้รับการป้องกันด้วย 2048 บิตและเซิร์ฟเวอร์ที่ได้รับการป้องกัน 1024 บิตเพื่อให้บริการสคริปต์ที่ไม่ได้รับอนุญาตจากส่วนล่างของเครือข่าย

"Lo! วิธีที่ประณีตในการมีเค้กรักษาความปลอดภัย แต่จ่ายน้อยกว่าเพื่อส่งมอบ"

โครงการนี้ฉลาด แต่ไม่ผ่านการรวบรวมกับนักวิจารณ์บางคน - ซึ่ง Sophos บันทึกรายละเอียดไว้ ปัญหาแย่ลงเมื่อ fail0verflow ดูที่ JavaScript ที่ใช้เพื่อย้ายข้อมูลจากเซิร์ฟเวอร์ 1024 บิต พวกเขาค้นพบว่า Mega ใช้การรับรองความถูกต้องของ CBC-MAC ซึ่งมีคีย์รหัสตายตัวอย่างชัดเจนในสคริปต์ นี่เป็นเหมือนการใช้รหัสล็อค แต่เขียนรหัสที่ด้านหลังเพื่อให้คุณไม่ลืมมัน

ในกรณีของปัญหา Java, Mega แก้ไขสถานการณ์อย่างรวดเร็วภายในเวลาไม่กี่ชั่วโมง อย่างไรก็ตามการตอบสนองที่รวดเร็วนั้นไม่ได้ทำให้ทุกคนสบายใจ ที่ปรึกษาด้านความปลอดภัยอาวุโสที่ Sophos Canada Chester Wisniewski กล่าวกับ SecurityWatch ว่า "คำถามที่ยังคงหลงเหลืออยู่คือเจ้าหน้าที่ / โปรแกรมเมอร์ของ Mega มีข้อสงสัยแรกเกี่ยวกับวิธีการเข้ารหัสอย่างถูกต้องคุณไม่คาดหวังว่าผู้เชี่ยวชาญ crypto จะทำผิดพลาดแบบนี้ "

เขากล่าวต่อไปว่า "พวกเขาอาจทำผิดพลาดอีกกี่ครั้ง? คุณควรไว้ใจคนอื่นเพื่อปกป้องข้อมูลของคุณเมื่อคุณไม่เห็นว่าพวกเขากำลังทำอะไรอยู่"

ในทางกลับกัน Sean Bodmer หัวหน้านักวิจัยของ CounterTack รู้สึกทื่อในการประเมินระบบเข้ารหัสของ Mega "ไม่นี่ไม่ใช่วิธีแก้ปัญหาระยะยาวสำหรับความถูกต้องของข้อมูล แต่ก็มีวิธีแก้ปัญหาข้อเข่ากระตุกซึ่งเป็นส่วนหนึ่งของกลยุทธ์การตลาด"

"มีการใช้งานที่เชื่อถือได้หลายอย่างเช่น Google Drive, Dropbox หรือ SkyDrive ที่นำเสนอโซลูชั่นการจัดเก็บที่แข็งแกร่งยิ่งขึ้น" Bodmer กล่าวกับ SecurityWatch

ทุกอย่างเกี่ยวกับการดูแลคิมให้ปลอดภัย

หนึ่งในจุดขายของ Mega คือการให้ "การเข้ารหัสแบบ end-to-end" ซึ่งข้อมูลถูกเข้ารหัสก่อนที่จะถูกส่งไปยัง Mega ในขณะที่มันอยู่ใน Mega และจะถอดรหัสเมื่อดาวน์โหลดโดยผู้ใช้ที่มีรหัสลับเฉพาะเท่านั้น แนวคิดก็คือแม้ว่า Mega จะถูกแฮ็กหรือถูกบังคับให้ต้องส่งมอบข้อมูลโดยการบังคับใช้กฎหมายข้อมูลของคุณก็จะไร้ประโยชน์และไม่สามารถพิสูจน์ได้

สิ่งนี้มีความสำคัญเนื่องจากตามพระราชบัญญัติลิขสิทธิ์ดิจิทัลแห่งสหัสวรรษของสหรัฐอเมริกาเว็บไซต์สามารถหลีกเลี่ยงการลงโทษในการโฮสต์เนื้อหาที่มีลิขสิทธิ์หากเว็บไซต์นั้นร่วมมือกับการบังคับใช้กฎหมายอย่างรวดเร็วเพื่อลบออก คำสั่งพาณิชย์อิเล็กทรอนิกส์ของสหภาพยุโรปมีข้อ จำกัด ด้านหนี้สินที่คล้ายคลึงกัน สำหรับ Mega รูปแบบการเข้ารหัสนั้นอนุญาตให้ผู้ใช้จัดเก็บข้อมูลของพวกเขาในรูปแบบที่เข้ารหัส แต่มันยังช่วยให้ Dotcom และ บริษัท ของเขาปฏิเสธไม่ได้ทั้งหมดเมื่อตำรวจมาเคาะ

อย่างไรก็ตาม Mega รายงานว่าไม่มีการเข้ารหัสข้อมูลผู้ใช้ ผู้เชี่ยวชาญที่เราพูดด้วยกล่าวว่าในขณะนี้ไม่จำเป็นต้องแปลกประหลาดหรือแม้แต่ประมาท - ส่วนใหญ่ทำให้การเชื่อมต่อกับความร่วมมือกับการบังคับใช้กฎหมาย

“ มันไม่ได้ผิดปกติ แต่ขอแนะนำว่าการป้องกันการเข้ารหัสที่พวกเขานำมาใช้นั้นมีไว้เพื่อปกป้อง Mega มากกว่าผู้ใช้บริการ” Wisniewski กล่าว "หากผู้บังคับใช้กฎหมายของนิวซีแลนด์ต้องการทราบเกี่ยวกับความเป็นเจ้าของไฟล์และข้อมูลการเชื่อมต่อ Mega จะสามารถทำได้และเรายินดีที่จะมอบข้อมูลดังกล่าว"

ในสถานการณ์ที่ผู้ใช้ Mega กำลังส่งคีย์เข้ารหัสของพวกเขาเพื่อแบ่งปันไฟล์ (ที่พวกเขามีอยู่แล้ว) และการบังคับใช้กฎหมายสามารถยืนยันได้ว่าเนื้อหานั้นอยู่ภายใต้ลิขสิทธิ์อย่างแท้จริง Mega มีสิทธิ์เข้าถึงข้อมูลของผู้ใช้ นี่อาจทำให้ Mega มีทั้งสองวิธี พวกเขาสามารถตาบอดต่อเนื้อหาที่ผิดกฎหมายในระบบของพวกเขา แต่ก็ยังคงเป็น

Bodmer เห็นด้วยพูดว่า "ความคาดหวังในการทำตัวชี้วัดในการบรรเทาความท้าทายทางกฎหมายในอนาคตดูเหมือนจะเป็นวิธีการที่มีเหตุผลฉันจะทำสิ่งเดียวกันถ้ากิจการสุดท้ายของฉันสิ้นสุดลงอย่างที่มันทำ"

Alex Horan นักยุทธศาสตร์ด้านความปลอดภัยของ CORE Security ชี้ให้เห็นว่า Mega จะไม่โดดเดี่ยวในการทำตามขั้นตอนเพื่อหลีกเลี่ยงสิ่งกีดขวางทางกฎหมาย “ ระบบจำนวนมากไม่ได้ออกแบบมาเพื่อปกป้อง บริษัท จากการดำเนินคดีหรือไม่ฉันจะยืนยันว่า Mega จำเป็นต้องทำเช่นนั้น” เขากล่าวกับ SecurityWatch

"อาจมีความอ่อนไหวมากกว่าคนทั่วไปเพราะเขาสามารถรับบริการใหม่ของเขาได้อย่างใกล้ชิด" Horan กล่าวต่อ

The Takeaway

ในขณะที่ Mega ทำการเข้ารหัสข้อมูลอย่างแน่นอน สิ่งที่น่าเป็นห่วงมากที่สุดคือความล้มเหลวของการเข้ารหัสลับและระบบกระจายคือการบริการที่ออกวางตลาด ควรชัดเจนตั้งแต่เริ่มต้น: ไม่ได้ออกแบบมาเพื่อปกป้อง คุณ แต่ได้รับการออกแบบมาเพื่อปกป้อง พวกเขา

สำหรับข้อมูลเพิ่มเติมจาก Max ติดตามเขาบน Twitter @wmaxeddy

mega ของ Dotcom: ความเป็นส่วนตัวและความปลอดภัย