Kim Dotcom Mega Launch Raided!
Usaha baru yang berani Kim Dotcom, perkhidmatan penyimpanan dan perkongsian Mega, menggambarkan kritikan kerana penyelidik keselamatan menganalisis bagaimana laman web itu melindungi data pengguna.
Sementara pejabat Mega mengakui mereka "pemula" kepada JavaScript, bahasa pengaturcaraan yang digunakan untuk melaksanakan elemen utama dalam perkhidmatan mereka, mereka mengatakan laman web mereka tidak lebih mudah terdedah daripada online laman web perbankan menyerang.
Dotcom melancarkan parti pelancaran besar untuk Mega pada hari Ahad di rumahnya di luar Auckland. Perkhidmatan ini adalah pengganti Megaupload, laman perkongsian fail yang Dotcom dan rakan-rakannya didakwa di Amerika Syarikat pada Januari 2012 mengenai caj pelanggaran hak cipta.
[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]
MegaMega, perkhidmatan perkongsian fail baru dari Kim Dotcom, telah dikritik oleh pakar keselamatan, tetapi Ketua Programmer Bram van der Kolk (kiri) dan CTO Mathias Ortmann (kanan) mengatakan laman web mereka tidak lebih terdedah daripada laman web perbankan dalam talian.
Masalahnya ialah bahawa SSL telah lama diakui sebagai titik lemah di web. Pada tahun 2009, penyelidik keselamatan Moxie Marlinspike mencipta alat yang dipanggil SSLstrip, yang membolehkan penyerang memintas dan menghentikan sambungan SSL. Penyerang kemudian boleh mengintip apa-apa data pengguna menghantar ke laman web yang palsu.
Oleh kerana Mega secara asasnya bergantung kepada SSL, "tidak ada sebab untuk melakukan penyulitan sisi klien," kata Marlinspike dalam satu wawancara Isnin. "Skim jenis ini terdedah kepada semua masalah dengan SSL."
Seseorang yang menyerang Mega menggunakan SSLstrip kemudian boleh menghantar JavaScript mereka sendiri yang berniat jahat kepada pelayar mangsa. Pengguna pasti akan membocorkan kata laluannya, yang membolehkan penyerang untuk menyahsulit semua datanya yang disimpan dengan Mega.
Mathias Ortmann, CTO Mega, dalam wawancara pada hari Isnin bahawa terdapat berbagai serangan berbasis web yang Mega akan terdedah kepada sama seperti laman web lain yang bergantung kepada SSL untuk keselamatan, seperti untuk perbankan dalam talian. "Senario itu digambarkan di laman Mega, katanya." Jika mereka telah mengganggu untuk membaca bahawa mereka akan melihat bahawa pada dasarnya kita menyatakan dengan tepat apa yang mereka menuduh kami sebagai vektor serangan yang mungkin ditambah beberapa orang lain yang tidak menuduh kami, "Kata Ortmann. "Semua serangan yang berkaitan SSL ini tidak berlaku secara khusus kepada kami. Mereka memohon kepada syarikat yang mempunyai keperluan keselamatan yang sama tinggi atau keperluan yang lebih tinggi. "
SSL disokong oleh sijil keselamatan yang disulitkan yang dikeluarkan oleh syarikat dan organisasi yang diberi kuasa. Tetapi sistem penerbitan telah lama dikritik kerana penipu telah memperolehi sijil yang sah untuk laman web yang tidak dimilikinya.
Ortmann mengakui bahawa seseorang boleh cuba menipu pihak berkuasa sijil untuk mengeluarkan sijil SSL sebenar untuk mega.co. nz, yang membolehkan penyerang untuk membuat laman web Mega palsu yang kelihatan mempunyai kelayakan yang betul.
Dengan mengangguk tidak suka dengan perusahaan Mega Kim Dotcom, Ortmann berkata, "Saya sebenarnya menjangkakan kerajaan sijil bayangan mega.co.nz dikeluarkan pada satu titik dan digunakan dalam serangan. "Tetapi Mega secara berkala akan mengimbas sijil SSL tanpa kebenaran, katanya.
Oleh: Nadim KobeissPenghantaran perkongsian fail baru dari Kim Dotcom, Mega, telah dikritik oleh orang-orang termasuk Nadim Kobeissi, pemaju program pesanan segera yang disulitkan Cryptocat, kerana bagaimana Mega melaksanakan penyulitan.
Jika pelayan Mega dikompromikan, juga mungkin bagi penyerang untuk menyampaikan JavaScript yang diubah suai, berniat jahat, kata Nadim Kobeissi, pemaju program pesanan segera yang disulitkan Cryptocat.
"Setiap kali anda membuka laman web, kod penyulitan dihantar dari awal," kata Kobeissi. "Jadi jika suatu hari saya memutuskan saya hendak mematikan semua penyulitan untuk anda, Saya hanya boleh menyampaikan kod nama pengguna anda yang berbeza yang tidak menyulitkan apa-apa dan sebaliknya mencuri kunci penyulitan anda. "
Marlinspike berkata cara yang lebih selamat adalah untuk Mega menggunakan sambungan penyemak imbas yang ditandatangani untuk menyulitkan data, yang akan menghalang penyalahgunaan oleh penyerang. Sebagai alternatif, pelanggan perisian yang dipasang akan mencapai tujuan yang sama, katanya, tanpa mendedahkan pengguna kepada ketidakamanan dari SSL.
Marlinspike berkata beliau berpendapat pengguna Mega pada dasarnya tidak peduli dengan banyak hal mengenai keselamatan kerana mereka hanya berminat perkongsian fail. Oleh kerana Mega hanya akan melihat data yang disulitkan pada pelayan mereka, persediaan itu kelihatannya membebaskan pengasas tapak dari isu pelanggaran hak cipta Megaupload.
"Yang penting adalah pengendali Mega boleh menuntut mereka tidak mempunyai keupayaan teknikal untuk periksa kandungan di pelayan untuk pelanggaran hak cipta, "kata Marlinspike.
Seperti mana-mana perkhidmatan dalam talian baru, kod Mega sudah diprogramkan. Pada hari Ahad, ia telah mendedahkan laman web tersebut mempunyai kelemahan skrip di seluruh tapak, yang dalam sesetengah keadaan boleh membenarkan penyerang untuk mencuri cookie pengguna, yang akan membenarkan sekurang-kurangnya pengambilalihan sementara akaun mangsa.
"Masalah XSS telah diselesaikan dalam masa sejam," kata Bram van der Kolk, ketua programmer Mega, di Twitter pada hari Ahad. "Titik yang sangat sah, bug yang memalukan."
Ortmann menjelaskan: "Masalah skrip silang tapak lebih daripada memalukan. Itu tidak sepatutnya berlaku. Ini benar-benar disebabkan oleh fakta bahawa Bram dan saya melengkapkan pemula JavaScript dan tidak pernah mengharapkan kelakuan ini oleh penyemak imbas. Kami sebenarnya membincangkannya, tetapi kami tidak mengujinya, jadi itu memalukan. Itu telah ditetapkan selepas 30 minit atau kurang daripada sejam selepas ia dilaporkan kepada kami. "
Beliau berkata Mega akan menyiarkan lebih banyak maklumat pada hari ini di laman web yang menangani perkara-perkara yang dibangkitkan oleh pengkritiknya mengenai keselamatan.
Wall Street Beat: Selepas Tahun Tinggi, Keraguan Kekal untuk Tech
Dalam minggu yang sibuk di pasaran, perhatian IT Pelabur telah ditangkap oleh beg campuran aktiviti pengambilalihan dan perolehan perkakasan.
Kim Dotcom dibenarkan menuntut agensi pengintip New Zealand
Kim Dotcom Megaupload akan dibenarkan untuk melakukan kerosakan terhadap agensi perisik New Zealand kerana mengintip secara haram beliau, Mahkamah Rayuan negara memerintah hari ini.
Kim Dotcom Mega yanks reka bentuk senjata kontroversi 3D
Kim Dotcom telah mengarahkan penyingkiran daripada rancangan penyimpanan perkhidmatan Mega-nya untuk satu peluru kontroversial