Pemanfaat Drone dalam Pengelolaan SDAL oleh Dr. Hikmat Ramdan | Webinar PSLH ITB
Wakil-stesen perkhidmatan penyimpanan dan perkongsian yang baru dilancarkan Mega mengatasi beberapa kebimbangan yang dikemukakan oleh penyelidik keselamatan pada hari-hari kebelakangan ini mengenai seni bina laman web dan pelaksanaan ciri kriptografinya.
Internet dan dituduh melanggar undang-undang digital Kim Dotcom baru-baru ini melancarkan Mega (pendek untuk Akses Global yang Disulitkan Mega), yang mempunyai 50GB penyimpanan percuma. Mega adalah satu-satunya komponen yang diharapkan oleh Dotcom dan pasukannya sebagai rangkaian perkhidmatan tersulut dalam talian dari Mega Ltd. termasuk e-mel, panggilan suara, mesej segera, dan streaming video.
Dalam catatan blog yang diterbitkan Selasa, para pegawai Mega mengakui bahawa beberapa risiko keselamatan yang ditunjukkan oleh penyelidik adalah sah, tetapi mengatakan bahawa pengguna telah dimaklumkan mengenai sebahagian daripada mereka melalui bahagian FAQ (Soalan Lazim) di laman web.
[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]
Sebagai contoh, telah dinyatakan bahawa kunci penyulitan yang dihasilkan oleh pengguna semasa tanda- proses, dan yang kemudiannya digunakan untuk menyulitkan fail mereka, dienkripsi menggunakan kata laluan akaun dan hanya disimpan di pelayan Mega. Oleh kerana tidak ada ciri pemulihan kata laluan, pengguna akan kehilangan keupayaan untuk menyahsulit fail mereka jika mereka lupa kata laluan mereka, sesetengah orang berkata.
"Ini betul-satu-satunya kunci yang diperlukan oleh MEGA untuk disimpan di sisi pengguna ialah kata laluan masuk, di otak pengguna, "kata pegawai Mega itu. "Kata laluan ini membuka kunci utama, yang seterusnya membuka kunci fail / folder / saham / persendirian."
Walau bagaimanapun, satu mekanisme yang akan membolehkan pemulihan fail sekiranya kata laluan terlupa akan dilaksanakan dalam masa terdekat, mereka berkata. Ini termasuk pilihan untuk mengubah kata laluan dan mengimport kekunci fail pra-eksport untuk memulihkan fail-fail yang sama.
Penyelidik keselamatan juga menyatakan hakikat bahawa kekunci penyulitan induk dijana di dalam penyemak imbas pada pendaftaran menggunakan matematik fungsi JavaScript yang biasa dan memberi amaran bahawa fungsi ini tidak berfungsi dengan baik untuk menjana nombor rawak, yang bermaksud kunci yang terhasil mungkin lemah dari sudut kriptografi.
Sebagai respons, pegawai Mega berkata bahawa entropi-rawak- ditambah dengan menggunakan data yang dikumpulkan dari tetikus dan papan kekunci pengguna. "Akan tetapi, kami akan menambah ciri yang membolehkan pengguna menambah entropi secara manual seperti yang dia lihat sesuai sebelum meneruskan ke generasi utama," kata mereka.
Wakil Mega juga menjelaskan bagaimana sistem pengesahan JavaScript berfungsi, dengan menyatakan bahawa pelayan HTTPS utama yang menggunakan sijil SSL dengan kunci 2048-bit digunakan untuk mengesahkan integriti kod JavaScript yang dihidangkan dari pelayan HTTPS menengah yang menggunakan sijil dengan kunci 1024-bit. "Ini pada dasarnya membolehkan kami menjadi tuan rumah kandungan statik sensitif yang sangat integriti ke atas sejumlah besar pelayan pelbagai geografi tanpa bimbang tentang keselamatan," kata mereka.
Seorang penyelidik bernama Steve Thomas, yang dikenali sebagai "Sc00bz" pautan yang termasuk dalam e-mel pengesahan yang dihantar oleh Mega semasa proses pendaftaran akaun sebenarnya mengandungi hash kata laluan pengguna.
Thomas mengeluarkan alat yang dipanggil MegaCracker yang boleh digunakan untuk mengekstrak hash dari pautan tersebut dan cuba untuk memecahkannya menggunakan serangan kamus Mengulas mengenai pembebasan alat itu, pegawai Mega berkata bahawa MegaCracker adalah "peringatan yang sangat baik untuk tidak menggunakan kata laluan / kata laluan kamus, khususnya jika kata laluan anda juga berfungsi sebagai kunci penyulitan utama untuk semua fail yang anda simpan di MEGA. "
Walau bagaimanapun, mereka gagal menangani soalan mengapa pautan pengesahan akaun yang dihantar melalui e-mel mengandungi hash kata laluan pengguna di tempat pertama. Teknik umum yang digunakan oleh laman web lain adalah untuk menghasilkan kod rawak khusus untuk pautan pengesahan.
Untuk menghalang penyerang berpotensi untuk mendapatkan hash kata laluan mereka pada suatu masa kemudian, pengguna mungkin perlu memadam e-mel pengesahan Mega setelah mereka mengklik pada yang disertakan pautan dan sediakan akaun mereka.
Firma Keselamatan Memandang Kebimbangan Mengejutkan dalam Ancaman 'Transient'
Firma anti-virus AVG mengatakan ia melihat melompat mengejutkan dalam bilangan laman web- "ancaman sementara."
Mozilla menarik versi Firefox baru atas kebimbangan keselamatan
Kerentanan boleh membenarkan laman web berniat jahat menangkap sejarah Web seseorang
ZTE China menemui beberapa kebimbangan positif dalam keselamatan, mahu meningkatkan jenama
Pembuat telefon pintar China ZTE meletakkan spin positif pada baru-baru ini Kajian AS terhadap perniagaan rangkaiannya, menyatakan bahawa kontroversi sekurang-kurangnya memberi syarikat itu publisiti dan pengiktirafan nama.