Artykuły dotyczące tematu: bezpieczenstwo mega

dodany: 30.07.2013 | tagi: , , ,

Schemat szyfrowania serwisu Mega hakera Kima DotComa

6

Kim DotCom, znany również pod pseudonimem „Najbardziej poszukiwany człowiek w Internecie”, nadal jest jednym z najpopularniejszych tematów doniesień prasowych, mimo że od momentu wyłączenia jego serwisu do udostępniania plików Megaupload Limited minęło już półtora roku. Przedstwiamy komentarz Ruchna Nigam, security researchers w FortiGuard Labs.

Zaledwie kilka tygodniu temu DotCom opublikował film wideo z systemu kamer przemysłowych CCTV, przedstawiający nalot agentów FBI na jego willę, który został przeprowadzony w styczniu 2012 roku. Film kończy się niezbyt subtelnym nawiązaniem do filmu „Człowiek z blizną”.

Dokładnie 5 miesięcy wcześniej DotCom powrócił na scenę, oferując internautom swoją nową i udoskonaloną usługę udostępniania plików o nazwie Mega. „Dziwnym zbiegiem okoliczności” usługa ta została uruchomiona w pierwszą rocznicę wyłączenia serwisu Megaupload.

Dla wszystkich tych, którzy nie pamiętają (mimo że bardzo trudno zapomnieć obsceniczną buńczuczność tego wydarzenia), oficjalna inauguracja usługi została zorganizowana zgodnie z charakterystyczną dla Kima DotComa zasadą „wszystkie chwyty dozwolone”, a relację z tego wydarzenia opublikowano na kanale YouTube hakera, aby wyryć ją w pamięci następnych pokoleń internautów.

kim dotcom

Kim Dotcom.

Od swojej inauguracji usługa Mega była przedmiotem wielu śledztw i dochodzeń dotyczących bezpieczeństwa infrastruktury i samej koncepcji. Jednak do chwili obecnej Mega znajduje się w doskonałej kondycji i dynamicznie się rozwija. Według mnie w przyszłości dynamika tego rozwoju może się tylko nasilić, biorąc pod uwagę zwłaszcza coraz większe kontrowersje wokół poufności danych w Internecie.

Wspomnianych wątpliwości w żadnym stopniu nie rozwiewają najnowsze rewelacje Edwarda Snowdena dotyczące programu PRISM, wykorzystywanego przez rząd USA do inwigilowania działań obywateli w Internecie. Rzeczywiście, danych przesyłanych do serwisu Mega i w nim przechowywanych teoretycznie nie można szpiegować na poziomie dostawcy usług internetowych – chyba że złamany zostanie sam mechanizm szyfrowania (AES/RSA). Jednak, zgodnie ze stanem wiedzy ogólnej i specjalistycznej, nie mówimy tutaj o takich przypadkach.

Mechanizm funkcjonowania serwisu Mega postaraliśmy się podsumować na prezentowanych poniżej schematach:

Część pierwsza: TWORZENIE KONTA UŻYTKOWNIKA 

schemat

Cześć druga: LOGOWANIE UŻYTKOWNIKA

schemat2

Część trzecia: PRZESYŁANIE PLIKÓW 

schemat3

Część czwarta: UZYSKIWANIE DOSTĘPU DO PLIKÓW 

schemat4

Część piąta: UDOSTĘPNIANIE I POBIERANIE PLIKÓW 

schemat5

Przewaga usługi Mega nad innymi usługami udostępniania plików:

  1. Poufność: Wszystkie dane przechowywane na serwerach Mega są szyfrowane, w związku z czym firma Mega nigdy nie widzi zawartości danych użytkownika. Można to bardzo łatwo zweryfikować, ponieważ pełne szyfrowanie realizują skrypty tekstowe oparte na otwartym kodzie źródłowym po stronie klienta. (DotCom jest tak pewny skuteczności swojego mechanizmu szyfrowania, że ufundował nagrodę w wysokości 10 000 EUR dla osoby, która zdoła go złamać). Podsumowując, bezpieczeństwo danych zależy od osoby dysponującej kluczami, czyli od użytkownika. Jest to również zdecydowana korzyść dla dostawcy usługi, ponieważ serwis może uniknąć problemów z prawami autorskimi, które wcześniej doprowadziły do ostatecznego wyłączenia serwisu Megaupload. Jednak, parafrazując słowa Kima DotComa, jest to niewielka korzyść w porównaniu z całkowitym uniezależnieniem się od inwigilacji, jakie Mega może zaoferować swoim użytkownikom.
  2. Bezpieczne udostępnianie plików: Użytkownicy (nawet ci, którzy nie zarejestrowali się w serwisach udostępniania plików) mogą w bezpieczny sposób udostępniać pliki między sobą, ponieważ odwołania do plików w serwisie Mega opierają się na łączu do pliku oraz kluczu pliku. Z tego względu dostęp do pliku może uzyskać osoba dysponująca informacjami o obu tych elementach. Jest to dodatkowa warstwa bezpieczeństwa dostępu do przesłanych plików.

Wady/luki w zabezpieczeniach:

  1. Ataki za pośrednictwem przeglądarek: Usługa jest nadal wrażliwa na ataki ze strony klienta, na przykład ataki typu „Man in the Browser”, które mogą zastąpić algorytmy szyfrowania używane przez serwis Mega, algorytmami znanymi dla osoby przeprowadzającej atak. Atak tego typu pozwala również obejść kontrolę spójności danych po stronie klienta, realizowaną poprzez wczytanie kodu Javascript z innego serwera Mega. Podsumowując, wszystkie znane słabości wszystkich mechanizmów uwierzytelniania (włącznie z uwierzytelnianiem dwuczynnikowym) występują również w mechanizmie uwierzytelniania serwisu Mega. Jeśli więc komputer klienta padnie ofiarą ataku, użytkownik jest „ugotowany”.
  2. Protokół SSL: Złamanie zabezpieczeń protokołu SSL (lub atak typu booby trap przeprowadzony przez NSA) oznacza złamanie zabezpieczeń serwisu Mega. Jednak według mnie przypadki złamania zabezpieczeń protokołu SSL będą oznaczały o wiele większe problemy dla całego Internetu niż dla serwisu Mega.

Nie wiadomo, co czeka hakera Kima DotComa w przyszłości, ponieważ daty jego ekstradycji i przesłuchania są konsekwentnie przesuwane. Możemy jednak śmiało stwierdzić, że jego druga próba zapewnienia użytkownikom swobody udostępniania treści przetrwa znacznie dłużej.

Źródło: Fortinet

Źródło grafiki głównej: telegraph.co.uk

 

Zobacz także: MEGA-problem nowego serwisu Kima Dotcoma