Image
25.1.2013 0 Comments

Mega: Experti spochybňujú zabezpečenie novej služby

MEGA.jpg Nástupca Megaupload vraj nie je taký bezpečný, ako tvrdia jeho tvorcovia. Najnovší počin Kima Dotcoma sa stal predmetom kritiky zo strany bezpečnostných expertov, podľa ktorých si služba Mega rozhodne nezaslúži dôveru potenciálnych používateľov. Tvorcovia dátového úložiska síce priznávajú, že s používaním JavaScriptu nemajú veľa skúseností, použitý programovací jazyk im však vraj umožnil do služby implementovať také prvky, vďaka ktorým nie je Mega o nič viac zraniteľnejšia útokmi než stránky elektronického bankovníctva.

Mega používa protokol SSL, ktorý je najrozšírenejším webovým štandardom používaným na šifrovanie komunikácie medzi používateľským zariadením a serverom. Len čo dôjde k pripojeniu cez SSL, Mega vnúti webovému prehliadaču svoj kód napísaný v JavaScripte, ktorý sa následne používa na šifrovanie používateľských dát ešte predtým, ako sú odoslané na servery služby.

Odborníci na počítačovú bezpečnosť vidia problém v tom, že protokol SSL je dlhodobo považovaný za jedno zo slabých miest internetu. Výskumník Moxie Marlinspike v roku 2009 vytvoril nástroj nazvaný SSLstrip, ktorý útočníkom umožňuje zachytiť pokus o pripojenie cez SSL a toto pripojenie potom zastaviť ešte v jeho zárodku. Útočník takto získa voľný prístup k používateľským dátam.

Mega sa spolieha zásadne na SSL, takže „rozhodne neexistuje žiadny dôvod na šifrovanie dát na strane klienta", hovorí teraz Marlinspike. Niekto, kto používa SSLStrip, by podľa neho jednoducho mohol používateľskému prehliadaču poslať vlastný kus škodlivého kódu. Získal by tak prístupové heslo, ktorým by sa potom dostal k už nešifrovaným dátam uloženým na Mega. Riešením by podľa Marlinspikea bolo použiť namiesto JavaScriptu napríklad podpísaný modul pre prehliadač alebo softvérového klienta.

Technický riaditeľ Mega Mathias Ortmann v rozhovore uznal, že existuje niekoľko rôznych hrozieb, proti ktorým môže byť Mega zraniteľná. Nie je však o nič zraniteľnejšia ako stránky, ktoré sa tiež spoliehajú na SSL, teda napríklad internetové bankovníctvo. S takýmito scenármi sa podľa neho otvorene počíta. Dokonca sa o nich píše priamo na stránkach služby. „Keby sa obťažovali si ich prečítať, zistili by, že o všetkých nimi spomínaných možných problémoch, ako aj o niekoľkých ďalších vieme," prešiel Ortmann do protiútoku. Tieto scenáre sa navyše podľa neho priamo netýkajú služieb typu Mega.

Mega podľa Ortmanna počíta aj s tým, že by sa niekto mohol pokúsiť získať falošný certifikát od príslušnej certifikačnej autority a s jeho pomocou vytvoriť zdanlivo dôveryhodnú kópiu služby. Podobné správanie očakáva najmä zo strany rôznych vládnych organizácií. Z toho dôvodu chce Mega vykonávať pravidelný monitoring, ktorý by mal na falošné certifikáty upozorniť.

Zdroj: computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá