dodany: 11.02.2013 | tagi: , ,

Autor:

7 MEGA grzechów

0

Pamiętacie jak nie dawno Kim Dotcom ogłosił wyzwanie (zobacz newsa: Kim rzuca wyzwanie), które polegało na próbie złamania zabezpieczeń jego nowego serwisu? Tak jak się można było spodziewać, na efekty nie trzeba było długo czekać. Spryciarze znaleźli 7 poważnych błędów w usłudze Mega. Kim wprowadził 6-stopniową klasyfikację odnalezionych słabości, przy czym klasa VI oznacza najpoważniejszą, natomiast I najmniej istotną.

Kim po części miał rację, gdyż nikomu nie udało się znaleźć luk klasyfikujących się jako V i VI kategoria. Istnieje co prawda szansa, że po prostu nie pochwalił się tym publicznie, aczkolwiek raczej szybko Internet by to rozdmuchał.

 

Oto 7 grzechów popełnionych przy stworzeniu serwisu Mega:

IV kategoria

Błąd w aplikacji  CBC-MAC, która to zabezpiecza haszem integralność statycznej zawartości klastra ładowanej z serwerów rozproszonych. Kim bronił się, że żaden z statycznych serwerów nie znajdował się w niezaufanych centrach danych. Problem został naprawiony w kilka godzin, pomijając teoretyczną możliwość wykonania ataku typu man-in-the-middle, poprzez zastosowanie 1024-bitowego klucza SSL.

III kategoria

Tu znaleziono kilka problemów z możliwością wykonania zdalnego kodu poprzez cross-site scripting:

  • Pierwszy XSS był możliwy poprzez odpowiednio spreparowane nazwy plików. Przypomnijmy, że podobną wpadkę zaliczył ostatnio serwis Mediafire, który znacznie dłużej jest na rynku. W przeciwieństwie do konkurencji problem został naprawiony niemal natychmiast.
  • Drugi atak XSS był możliwy do wykonania na stronie pozwalającej ściągać pliki. Problem dotyczył wszystkich przeglądarek poza Chrome. Usterka ta została naprawiona w ciągu kilku godzin od zgłoszenia.
  • Trzeci XSS był spowodowany nie bezpośrednio samym serwisem Mega, a użytym komponentem Flash o nazwie ZeroClipboard.swf – problem także szybko został załatany.

II kategoria

W tym wypadku także stwierdzono dziury, które mogły posłużyć do ataków XSS – problem leżał dokładnie w API serwera, który przekazywał łańcuchy przekierowujące do strony ściągania – zastosowanie 3 różnych wektorów umożliwiało zastosowanie ataku man-in-the-middle. Błąd ten został także sprawnie usunięty.

I kategoria

Do „najlżejszej” kategorii zakwalifikowano brak nagłówka Strict Transport Security w HTTP na stronach mega.co.nz i *.api.mega.co.nz. Oprócz tego stwierdzono także luki w nagłówku X-Frame, które mogły spowodować clickjacking. Oczywiście naprawa tych drobnostek była najprostsza.

 

I to już wszystkie problemy, które zostały ujawnione. Konkurs jeszcze się nie skończył, więc jest szansa, że ktoś znajdzie poważniejsze odstępstwa. Szkoda tylko, że Kim nie pochwalił się na blogu, jakie rozdał nagrody.
Akutalizacja godz. 11:03  12-02-2013

W sieci jeden z odkrywców błędów kryjący pod nickiem Frans pochwalił się nagrodą na Twitterze, którą otrzymał od serwisu Mega:

Twitter Frans

Organizatorzy nie omieszkali poinformować, że Google za ten sam błąd płaci mniej… Nagroda ta dotyczy III kategorii, a konkretniej problemu z flashem.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *