Image
25.1.2013 0 Comments

Mega: Experti spochybňujú zabezpečenie novej služby

MEGA.jpg Nástupca Megaupload vraj nie je taký bezpečný, ako tvrdia jeho tvorcovia. Najnovší počin Kima Dotcoma sa stal predmetom kritiky zo strany bezpečnostných expertov, podľa ktorých si služba Mega rozhodne nezaslúži dôveru potenciálnych používateľov. Tvorcovia dátového úložiska síce priznávajú, že s používaním JavaScriptu nemajú veľa skúseností, použitý programovací jazyk im však vraj umožnil do služby implementovať také prvky, vďaka ktorým nie je Mega o nič viac zraniteľnejšia útokmi než stránky elektronického bankovníctva.

Mega používa protokol SSL, ktorý je najrozšírenejším webovým štandardom používaným na šifrovanie komunikácie medzi používateľským zariadením a serverom. Len čo dôjde k pripojeniu cez SSL, Mega vnúti webovému prehliadaču svoj kód napísaný v JavaScripte, ktorý sa následne používa na šifrovanie používateľských dát ešte predtým, ako sú odoslané na servery služby.

Odborníci na počítačovú bezpečnosť vidia problém v tom, že protokol SSL je dlhodobo považovaný za jedno zo slabých miest internetu. Výskumník Moxie Marlinspike v roku 2009 vytvoril nástroj nazvaný SSLstrip, ktorý útočníkom umožňuje zachytiť pokus o pripojenie cez SSL a toto pripojenie potom zastaviť ešte v jeho zárodku. Útočník takto získa voľný prístup k používateľským dátam.

Mega sa spolieha zásadne na SSL, takže „rozhodne neexistuje žiadny dôvod na šifrovanie dát na strane klienta", hovorí teraz Marlinspike. Niekto, kto používa SSLStrip, by podľa neho jednoducho mohol používateľskému prehliadaču poslať vlastný kus škodlivého kódu. Získal by tak prístupové heslo, ktorým by sa potom dostal k už nešifrovaným dátam uloženým na Mega. Riešením by podľa Marlinspikea bolo použiť namiesto JavaScriptu napríklad podpísaný modul pre prehliadač alebo softvérového klienta.

Technický riaditeľ Mega Mathias Ortmann v rozhovore uznal, že existuje niekoľko rôznych hrozieb, proti ktorým môže byť Mega zraniteľná. Nie je však o nič zraniteľnejšia ako stránky, ktoré sa tiež spoliehajú na SSL, teda napríklad internetové bankovníctvo. S takýmito scenármi sa podľa neho otvorene počíta. Dokonca sa o nich píše priamo na stránkach služby. „Keby sa obťažovali si ich prečítať, zistili by, že o všetkých nimi spomínaných možných problémoch, ako aj o niekoľkých ďalších vieme," prešiel Ortmann do protiútoku. Tieto scenáre sa navyše podľa neho priamo netýkajú služieb typu Mega.

Mega podľa Ortmanna počíta aj s tým, že by sa niekto mohol pokúsiť získať falošný certifikát od príslušnej certifikačnej autority a s jeho pomocou vytvoriť zdanlivo dôveryhodnú kópiu služby. Podobné správanie očakáva najmä zo strany rôznych vládnych organizácií. Z toho dôvodu chce Mega vykonávať pravidelný monitoring, ktorý by mal na falošné certifikáty upozorniť.

Zdroj: computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá