Vídeo: ELIMINAR CUENTA GOOGLE, OFRP, OBYPASS NOKIA 5 2017 MODELO TA -1028 (Setembre 2024)
A principis d’aquest mes, el perpetuament flamant (i ocasionalment empresonat) Kim Dotcom va llançar un sistema d’emmagatzematge d’arxius xifrat anomenat Mega. Destacant els problemes legals que van tancar la seva anterior empresa, Megaupload, Dotcom va posar en valor el nou servei com a privat, xifrat i súper segur. És clar, però, que Mega tenia algunes idees força inusuals sobre el que això significa.
La situació de xifrat
Mega utilitza un sistema intel·ligent per proporcionar connexions segures a bon preu. Els usuaris es connecten a Mega mitjançant servidors centralitzats que utilitzen claus RSA de 2048 bits. Aquests servidors estan connectats a una xarxa distribuïda de servidors més barats mitjançant claus RSA de 1024 bits. Segons el bloc Naked Security de Sophos, "això vol dir que hauríeu de comprometre els servidors protegits de 2048 bits i els servidors protegits de 1024 bits per tal de servir scripts no autoritzats de la part de seguretat més baixa de la xarxa.
"Ja! Una manera perfecta de tenir el vostre pastís de seguretat, però pagueu menys per lliurar-lo."
L’esquema és intel·ligent, però no va passar per força amb algunes crítiques, que Sophos va documentar detalladament. El problema va empitjorar quan fail0verflow va mirar el JavaScript usat per moure les dades dels servidors de 1024 bits. Van descobrir que Mega utilitzava l'autenticació CBC-MAC, que contenia una clau codificada durament visible en l'script. Això va ser com fer servir un bloqueig de combinació, però escriure el codi a la part posterior per no oblidar-lo.
En el cas del problema Java, Mega va rectificar ràpidament la situació en qüestió d’hores. Tot i això, fins i tot aquella resposta ràpida no va posar tothom a gust. El conseller de seguretat principal de Sophos Canada Chester Wisniewski va dir a SecurityWatch : "la qüestió persistent és que el personal i els programadors de Mega tinguin la primera pista sobre com fer criptografia correctament? No esperaríeu que els experts en cripto cometin errors aficionats com aquest."
Va continuar, "quants altres errors podrien haver comès? Hauríeu de confiar en algú altre per protegir les vostres dades quan no veieu com les estan fent?"
Sean Bodmer, investigador en cap de CounterTack, per la seva banda, va ser contundent en la seva valoració dels sistemes de xifrat de Mega. "No, aquesta no és una solució a llarg termini per a la integritat de les dades, sinó més que com a solució de genolls una part d'una estratègia de mercat".
"Hi ha moltes implementacions més fiables, com Google Drive, Dropbox o SkyDrive, que ofereixen una solució d'emmagatzematge molt més robusta", va dir Bodmer a SecurityWatch .
Es tracta de mantenir la seguretat de Kim
Un dels punts de venda de Mega és que ofereix "xifratge de punta a extrem", on les dades es xifren abans que s'enviïn a Mega, mentre es troba a Mega, i només es desxifra quan és descarregat per un usuari amb una clau criptogràfica específica. La idea és que, fins i tot si Mega és piratejat o (més probablement) obligat a lliurar informació per part de la policia, les vostres dades serien inútils i fins i tot no identificables.
Això és crític perquè a l’empara de la Llei de drets d’autor dels Estats Units del Mil·lenari Digital, un lloc web pot evitar el càstig d’acollir contingut amb drets d’autor si coopera ràpidament amb les autoritats legals per eliminar-lo. La directiva de comerç electrònic de la UE conté un acord de responsabilitat limitada concebut de manera similar. Per a Mega, l’esquema de xifratge permet als usuaris emmagatzemar la seva informació de forma xifrada, però també permet a Dotcom i a la seva empresa la desconfiança total quan la policia arriba a trucar.
No obstant això, segons informa Mega, no xifra la informació de l'usuari. Els experts amb els quals vam parlar van dir que, tot i que això no era necessàriament peculiar, o fins i tot negligent, la majoria va fer que la relació amb la cooperació amb les forces de l'ordre.
"No és inusual, però suggereix que les proteccions criptogràfiques que han implementat són més per protegir Mega que l'usuari del servei", va dir Wisniewski. "Si les autoritats legals de Nova Zelanda volen saber sobre la propietat de fitxers i la informació de connexió, Mega ho podrà fer i suposem que està disposat a lliurar-los".
En els casos en què els usuaris de Mega envien les seves claus criptogràfiques per compartir arxius (que ja ho són) i l’aplicació de la llei pot confirmar que el contingut està sota drets d’autor, Mega té accés a la informació de l’usuari. Això podria permetre a Mega tenir-ne de les dues maneres; poden romandre cecs al contingut il·legal del seu sistema, però no deixa de ser un "port segur".
Bodmer va coincidir, dient: "La previsió de posar-se en pràctica per facilitar els futurs reptes legals sembla un enfocament lògic, jo faria el mateix si la meva última empresa hagués acabat de la manera que ho va fer."
Alex Horan, estratega de seguretat de CORE Security, va assenyalar que Mega no estaria sol a l’hora de prendre mesures per evitar embussos legals. "No hi ha molts sistemes dissenyats per protegir l'empresa de litigis? Jo defensaria que Mega està obligat a fer-ho", va dir a SecurityWatch .
"Pot ser més sensible a això que la persona mitjana, ja que pot suposar que el seu nou servei s'analitzaria amb molta atenció", va continuar Horan.
El menjar per emportar
Si bé Mega certament xifra informació, sembla que es tracti d’altres aspectes del seu funcionament. El més preocupant, més que fallades criptogràfiques i sistemes distribuïts, és la comercialització del servei. Hauria de ser clar des del primer moment: no està dissenyat per protegir- lo , sinó dissenyat per protegir -los .
Per obtenir més informació sobre Max, seguiu-lo a Twitter @wmaxeddy.
