Rumah Jam keamanan Mega Dotcom: masalah privasi dan keamanan

Mega Dotcom: masalah privasi dan keamanan

Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (Desember 2024)

Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (Desember 2024)
Anonim

Awal bulan ini, Kim Dotcom yang terus-menerus flamboyan (dan kadang-kadang dipenjara) meluncurkan sistem penyimpanan file terenkripsi yang disebut Mega. Menyoroti masalah hukum yang menutup perusahaan sebelumnya, Megaupload, Dotcom menggembar-gemborkan layanan baru sebagai pribadi, terenkripsi, dan super-aman. Namun, jelas bahwa Mega memiliki beberapa ide yang tidak biasa tentang apa artinya itu.

Situasi Enkripsi

Mega menggunakan skema pintar untuk melayani koneksi aman dengan harga murah. Pengguna terhubung ke Mega melalui server terpusat yang menggunakan kunci RSA 2048-bit. Server-server itu terhubung ke jaringan server "murah" yang terdistribusi menggunakan kunci RSA 1024-bit. Menurut blog Nakos Security Sophos, "itu berarti Anda harus berkompromi dengan server yang dilindungi 2048-bit dan server yang dilindungi 1024-bit untuk melayani skrip yang tidak sah dari bagian keamanan yang lebih rendah dari jaringan.

"Lo! Cara yang rapi untuk mendapatkan kue keamananmu tetapi membayar lebih sedikit untuk mengirimkannya."

Skema ini cerdas, tetapi tidak sesuai dengan beberapa kritik - yang didokumentasikan Sophos secara rinci. Masalahnya memburuk ketika fail0verflow melihat JavaScript yang digunakan untuk memindahkan data dari server 1024-bit. Mereka menemukan bahwa Mega menggunakan otentikasi CBC-MAC, yang berisi kunci kode keras yang jelas terlihat dalam skrip. Ini seperti menggunakan kunci kombinasi, tetapi menulis kode di belakang sehingga Anda tidak melupakannya.

Dalam kasus Java, Mega dengan cepat memperbaiki situasi dalam hitungan jam. Namun, bahkan tanggapan cepat itu tidak membuat semua orang merasa nyaman. Penasihat Keamanan Senior di Sophos Canada Chester Wisniewski mengatakan kepada SecurityWatch , "pertanyaan yang tersisa adalah apakah staf / programer di Mega memiliki petunjuk pertama tentang bagaimana melakukan kriptografi dengan benar? Anda tidak akan mengharapkan ahli kripto untuk membuat kesalahan amatir seperti ini."

Dia melanjutkan, "berapa banyak kesalahan lain yang mungkin mereka lakukan? Haruskah Anda memercayai orang lain untuk melindungi data Anda ketika Anda tidak dapat melihat bagaimana mereka melakukannya?"

Sean Bodmer, Kepala Peneliti di CounterTack, di sisi lain, tumpul dalam penilaiannya terhadap sistem enkripsi Mega. "Tidak, ini bukan solusi jangka panjang untuk integritas data yang dipikirkan dengan baik, tetapi lebih sebagai solusi sederhana yang merupakan bagian dari strategi pemasaran."

"Ada banyak implementasi yang lebih andal seperti Google Drive, Dropbox, atau SkyDrive yang menawarkan solusi penyimpanan yang jauh lebih kuat, " kata Bodmer kepada SecurityWatch .

Ini Semua Tentang Menjaga Keamanan Kim

Salah satu nilai jual Mega adalah bahwa ia menawarkan "enkripsi ujung ke ujung, " di mana data dienkripsi sebelum dikirim ke Mega, sementara itu duduk di Mega, dan hanya didekripsi ketika diunduh oleh pengguna dengan kunci kriptografi tertentu. Idenya adalah bahwa bahkan jika Mega diretas atau (lebih mungkin) dipaksa untuk menyerahkan informasi oleh penegak hukum, data Anda akan menjadi tidak berguna dan bahkan tidak dapat diidentifikasi.

Ini sangat penting karena berdasarkan Undang-Undang Hak Cipta Digital Millennium AS, sebuah situs web dapat menghindari hukuman karena hosting konten yang dilindungi hak cipta jika bekerja sama dengan cepat dengan penegak hukum untuk menghapusnya. Arahan Perdagangan Elektronik UE mengandung pengaturan kewajiban terbatas yang disusun serupa. Untuk Mega, skema enkripsi memang memungkinkan pengguna untuk menyimpan informasi mereka dalam bentuk terenkripsi, tetapi itu juga memungkinkan Dotcom dan penyangkalan total perusahaannya ketika polisi datang mengetuk.

Namun, Mega dilaporkan tidak mengenkripsi informasi pengguna. Para ahli yang kami ajak bicara mengatakan bahwa sementara ini tidak selalu aneh - atau bahkan lalai - sebagian besar memang membuat hubungan dengan bekerja sama dengan penegakan hukum.

"Ini tidak biasa, tetapi memang menunjukkan bahwa perlindungan kriptografi yang telah mereka implementasikan ada lebih banyak untuk melindungi Mega daripada pengguna layanan, " kata Wisniewski. "Jika penegak hukum Selandia Baru ingin tahu tentang kepemilikan file dan informasi koneksi, Mega akan dapat dan kami menganggap bersedia untuk menyerahkan informasi itu."

Dalam situasi di mana pengguna Mega membagikan kunci kriptografi mereka untuk berbagi file (yang sudah ada) dan penegak hukum dapat mengkonfirmasi bahwa konten memang di bawah hak cipta, Mega memang memiliki akses ke informasi pengguna. Ini memungkinkan Mega untuk memiliki keduanya; mereka dapat tetap buta terhadap konten ilegal di sistem mereka, tetapi tetap menjadi "pelabuhan aman".

Bodmer setuju, dengan mengatakan, "Metrik ke depan untuk memanggang untuk meringankan tantangan hukum di masa depan tampak seperti pendekatan logis, saya akan melakukan hal yang sama jika usaha terakhir saya telah mengakhiri seperti itu."

Alex Horan, ahli strategi keamanan di CORE Security, memang menunjukkan bahwa Mega tidak akan sendirian dalam mengambil langkah-langkah untuk menghindari keterlibatan hukum. "Tidak banyak sistem yang dirancang untuk melindungi perusahaan dari litigasi? Saya berpendapat bahwa Mega wajib melakukan itu, " katanya kepada SecurityWatch .

"Mungkin lebih sensitif daripada orang kebanyakan karena dia menganggap layanan barunya akan dianalisis dengan cukup cermat, " lanjut Horan.

The Takeaway

Meskipun Mega tentu mengenkripsi informasi, aspek-aspek lain dari operasinya tampak dipertanyakan. Apa yang paling meresahkan, lebih dari kegagalan kriptografi dan sistem terdistribusi, adalah bagaimana layanan ini dipasarkan. Itu harus jelas dari awal: itu tidak dirancang untuk melindungi Anda , itu dirancang untuk melindungi mereka .

Untuk informasi lebih lanjut dari Max, ikuti dia di Twitter @wmaxeddy.

Mega Dotcom: masalah privasi dan keamanan