Car-tech

Mega reagerer på sikkerhetsproblemer; lover noen endringer

VICTOR BRYTER LOVEN #3

VICTOR BRYTER LOVEN #3
Anonim

Representanter for nylig lansert filoppbevaring og delingstjeneste Mega adresserte noen av de bekymringene som sikkerhetsforskere de siste dagene har oppdaget om områdets arkitektur og implementeringen av dens kryptografiske funksjoner.

Internett og den anklagede digitale forbryteren Kim Dotcom lanserte nylig Mega (kort for Mega Encrypted Global Access), som har 50 GB av fri lagring. Mega er bare en komponent av hva Dotcom og hans laghåp vil være en serie med online krypterte tjenester fra Mega Ltd., inkludert e-post, taleanrop, direktemeldinger og video-streaming.

I et blogginnlegg publisert tirsdag, anerkjente Mega-tjenestemenn at noen av sikkerhetsrisikoen påpekt av forskere er gyldige, men sa at brukerne allerede hadde blitt informert om noen av dem gjennom FAQ-delen (Ofte stilte spørsmål) på nettstedet. I andre tilfeller lovet de noen forbedringer.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det har for eksempel vært påpekt at krypteringsnøklene generert av brukere under signatur- up-prosessen, og som senere brukes til å kryptere filene deres, krypteres ved hjelp av kontospassordet og lagres bare på Megas servere. Siden det ikke er noen passordgjenoppretting, vil brukerne miste muligheten til å dekryptere filene deres hvis de glemmer passordene sine, sa noen.

"Dette er riktig - den eneste nøkkelen MEGA må lagre på bruker siden er innloggingspassord, i brukerens hjerne, "sa Mega-tjenestemennene. "Dette passordet låser opp hovednøkkelen, som igjen låser opp filen / mappen / deling / private nøkler."

En mekanisme som tillater gjenoppretting av filer hvis passordet er glemt, vil bli implementert i nær fremtid, sa de. Dette vil inneholde et alternativ for å endre passordet og importere forhåndseksporterte filtaster for å gjenopprette de tilsvarende filene.

Sikkerhetsforskere bemerket også det faktum at hovedkrypteringsnøklene genereres inne i nettleseren ved påmelding ved hjelp av matte.avhengig JavaScript-funksjon og advart om at denne funksjonen ikke gjør en god jobb med å generere tilfeldige tall, noe som betyr at de resulterende nøklene kan være svake fra et kryptografisk synspunkt.

Som svar sa Mega-tjenestemenn at entropi-tilfeldighet- er lagt til ved å bruke data samlet fra brukerens mus og tastatur. "Vi vil imidlertid legge til en funksjon som tillater brukeren å legge til så mye entropi manuelt som han ser hensiktsmessig før han går videre til nøkkelgenerasjonen," sa de.

Mega-representantene forklarte også hvordan nettstedets JavaScript-verifikasjonssystem fungerer, bemerker at hoved HTTPS-serveren som bruker et SSL-sertifikat med en 2048-bit nøkkel, brukes til å verifisere integriteten til JavaScript-koden som vises fra sekundære HTTPS-servere som bruker sertifikater med 1024-biters nøkler. "Dette gjør oss i utgangspunktet vert for det ekstremt integritetsfølsomme statiske innholdet på et stort antall geografisk varierte servere uten å bekymre oss for sikkerhet," sa de.

En forsker ved navn Steve Thomas, kjent som "Sc00bz", fant tirsdag at linker som er inkludert i bekreftelsesemailene som sendes av Mega under kontoregistreringsprosessen, inneholder faktisk brukerens passord hash.

Thomas lanserte et verktøy som heter MegaCracker, som kan brukes til å trekke ut hashene fra slike koblinger og forsøke å knekke dem ved hjelp av et ordbokangrep.

Kommentering av verktøyets utgivelse, sa Mega-tjenestemenn at MegaCracker er "en utmerket påminnelse om ikke å bruke gjettbare / ordbokpassord, spesielt ikke hvis passordet ditt også fungerer som hovedkrypteringsnøkkelen til alle filene du lagrer på MEGA. "

Men de klarte ikke å ta opp spørsmålet om hvorfor kontobekreftelseskoblinger sendt via e-post inneholder brukerens passord hash i utgangspunktet. Den generelle teknikken som brukes av andre nettsteder, er å generere tilfeldige koder spesifikt for bekreftelseskoblinger.

For å forhindre potensielle angripere i å oppnå passord hash på et senere tidspunkt, bør brukerne trolig slette Mega-bekreftelsesmeldingen etter at de klikker på den medfølgende lenke og sette opp sine kontoer.