Video: Dotcom - Gang Shit ft. Lil Toe [BTS Video w/ Casey Frey, Nick Colletti, Evan Breen, & FaZe Clan] (November 2024)
Eerder deze maand lanceerde de eeuwig flamboyante (en soms gevangen) Kim Dotcom een gecodeerd bestandsopslagsysteem genaamd Mega. Dotcom benadrukte de juridische problemen waardoor zijn vorige bedrijf, Megaupload, werd afgesloten en noemde de nieuwe service privé, gecodeerd en superveilig. Het is echter duidelijk dat Mega nogal ongebruikelijke ideeën had over wat dat betekent.
De versleutelingssituatie
Mega maakt gebruik van een slim schema om goedkope veilige verbindingen te bieden. Gebruikers maken verbinding met Mega via gecentraliseerde servers die 2048-bit RSA-sleutels gebruiken. Die servers zijn verbonden met een gedistribueerd netwerk van "goedkopere" servers met 1024-bit RSA-sleutels. Volgens het Naked Security-blog van Sophos 'betekent dit dat je een compromis moet sluiten tussen de 2048-bits beveiligde servers en de 1024-bits beveiligde servers om ongeautoriseerde scripts van het lager beveiligde deel van het netwerk te kunnen aanbieden.
"Lo! Een nette manier om uw veiligheidstaart te hebben, maar betaal minder om het te bezorgen."
Het schema is slim, maar is bij sommige critici niet doorgedrongen - wat Sophos gedetailleerd heeft gedocumenteerd. De kwestie verergerde toen fail0verflow keek naar het JavaScript dat werd gebruikt om de gegevens van de 1024-bits servers te verplaatsen. Ze ontdekten dat Mega CBC-MAC-authenticatie gebruikte, die een hard gecodeerde sleutel bevat die duidelijk zichtbaar is in het script. Dit was hetzelfde als een combinatieslot gebruiken, maar de code op de achterkant schrijven zodat je deze niet vergeet.
In het geval van het Java-probleem heeft Mega de situatie binnen enkele uren snel verholpen. Maar zelfs die snelle reactie stelde niet iedereen op zijn gemak. Senior Security Advisor bij Sophos Canada Chester Wisniewski vertelde SecurityWatch : "De resterende vraag die overblijft is of het personeel / programmeurs van Mega de eerste aanwijzing hebben over hoe cryptografie goed te doen? Je zou niet verwachten dat crypto-experts dergelijke amateuristische fouten maken."
Hij vervolgde: "Hoeveel andere fouten zouden ze hebben gemaakt? Moet je ooit iemand anders vertrouwen om je gegevens te beschermen als je niet kunt zien hoe zij het doen?"
Sean Bodmer, hoofdonderzoeker bij CounterTack, was daarentegen bot in zijn beoordeling van Mega's versleutelingssystemen. "Nee, dit is niet goed doordachte langetermijnoplossing voor gegevensintegriteit, maar meer als een rukoplossing een onderdeel van een go to market-strategie."
"Er zijn veel betrouwbaardere implementaties zoals Google Drive, Dropbox of SkyDrive die een veel robuustere opslagoplossing bieden, " vertelde Bodmer aan SecurityWatch .
Het draait allemaal om Kim veilig te houden
Een van de verkoopargumenten van Mega is dat het "end-to-end-codering" biedt, waarbij gegevens worden gecodeerd voordat ze naar Mega worden verzonden, terwijl ze in Mega worden opgeslagen, en alleen worden gedecodeerd wanneer ze worden gedownload door een gebruiker met een specifieke cryptografische sleutel. Het idee is dat zelfs als Mega wordt gehackt of (waarschijnlijker) wordt gedwongen informatie door de politie te overhandigen, uw gegevens nutteloos en zelfs niet identificeerbaar zijn.
Dit is van cruciaal belang omdat een website volgens de Amerikaanse Digital Millennium Copyright Act straf kan vermijden voor het hosten van auteursrechtelijk beschermde inhoud als deze snel samenwerkt met de politie om deze te verwijderen. De EU-richtlijn inzake elektronische handel bevat een op dezelfde manier ontworpen regeling voor beperkte aansprakelijkheid. Voor Mega stelt het coderingsschema gebruikers in staat om hun informatie in een gecodeerde vorm op te slaan, maar het geeft Dotcom en zijn bedrijf ook volledige ontkenning wanneer de politie aanklopt.
Naar verluidt versleutelt Mega gebruikersinformatie echter niet. De experts met wie we spraken zeiden dat hoewel dit niet noodzakelijk vreemd was - of zelfs nalatig - de meeste wel het verband legden met samenwerking met de politie.
"Het is niet ongebruikelijk, maar suggereert wel dat de cryptografische beveiligingen die ze hebben geïmplementeerd er meer zijn om Mega te beschermen dan de gebruiker van de service, " zei Wisniewski. "Als de Nieuw-Zeelandse rechtshandhaving meer wil weten over het eigendom van bestanden en verbindingsinformatie, zal Mega dat kunnen en nemen we aan dat we die informatie willen overhandigen."
In een situatie waarin Mega-gebruikers hun cryptografische sleutels uitdelen om bestanden te delen (die ze al hebben) en wetshandhavers kunnen bevestigen dat de inhoud inderdaad auteursrechtelijk beschermd is, heeft Mega wel toegang tot de informatie van de gebruiker. Hierdoor kan Mega het op beide manieren hebben; ze kunnen blind blijven voor illegale inhoud op hun systeem, maar toch een 'veilige haven' zijn.
Bodmer was het ermee eens en zei: "De gedachte om metingen in te bouwen om toekomstige juridische uitdagingen te verlichten lijkt een logische benadering, ik zou hetzelfde doen als mijn laatste onderneming was afgelopen."
Alex Horan, beveiligingsstrateeg bij CORE Security, wees er wel op dat Mega niet alleen zou zijn in het nemen van stappen om juridische verwikkelingen te voorkomen. "Zijn niet veel systemen ontworpen om het bedrijf tegen rechtszaken te beschermen? Ik zou beweren dat Mega daartoe verplicht is", zei hij tegen SecurityWatch .
"kan er gevoeliger voor zijn dan de gemiddelde persoon, omdat hij kan aannemen dat zijn nieuwe dienst vrij nauwkeurig zou worden geanalyseerd", vervolgt Horan.
De afhaalmaaltijden
Hoewel Mega zeker informatie versleutelt, lijken andere aspecten van de werking ervan twijfelachtig. Het meest verontrustende, meer dan cryptografische storingen en gedistribueerde systemen, is hoe de service op de markt wordt gebracht. Het moet vanaf het begin duidelijk zijn: het is niet ontworpen om u te beschermen, het is ontworpen om hen te beschermen.
Volg hem op Twitter @wmaxeddy voor meer informatie van Max.
