No dudes en la seguridad del servicio Mega de Kim Dotcom

La audaz nueva empresa de Kim Dotcom, el servicio de almacenamiento y uso compartido de archivos Mega, está recibiendo críticas ya que los investigadores de seguridad analizan cómo el sitio protege los datos de los usuarios. En resumen, aconsejan: no confíes en él.

Mientras los mega funcionarios admiten que son "novatos" de JavaScript, el lenguaje de programación utilizado para ejecutar los elementos clave de su servicio, dicen que su sitio web no es más vulnerable que en línea. sitios bancarios para atacar.

Dotcom lanzó una gran fiesta de lanzamiento para Mega el domingo en su mansión en las afueras de Auckland. El servicio es el sucesor de Megaupload, el sitio de intercambio de archivos que Dotcom y sus colegas fueron acusados ​​en los EE. UU. En enero de 2012 de cargos por infracción de derechos de autor.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

MegaMega, el nuevo servicio de intercambio de archivos de Kim Dotcom, ha sido criticado por expertos en seguridad, pero el programador en jefe Bram van der Kolk (izquierda) y CTO Mathias Ortmann (derecha) dicen que su sitio no es más vulnerable que los sitios web de banca en línea.

El extravagante Dotcom asegura a los usuarios de Mega que el cifrado del sitio protegerá su privacidad y datos, pero la implementación de ese esquema de cifrado es fundamentalmente defectuosa, alegan los observadores.

Mega usa SSL (Secure Sockets Layer) un protocolo ampliamente utilizado para cifrado en Internet para asegurar la conexión entre las computadoras de sus usuarios y sus propios servidores. Una vez que se establece una conexión SSL, Mega REPLACEa código JavaScript en el navegador de una persona, que luego cifra los archivos de la persona antes de enviar los datos a los servidores de Mega.

El problema es que SSL ha sido reconocido como un punto débil en la web. En 2009, el investigador de seguridad Moxie Marlinspike creó una herramienta llamada SSLstrip, que permite a un atacante interceptar y detener una conexión SSL. El atacante puede espiar cualquier información que el usuario envíe al sitio web falso.

Dado que Mega depende fundamentalmente de SSL, "realmente no hay ninguna razón para estar encriptando el lado del cliente", dijo Marlinspike en una entrevista el lunes. "Este tipo de esquemas son vulnerables a todos los problemas con SSL".

Alguien que ataque Mega con SSLstrip podría enviar su propio JavaScript malicioso personalizado al navegador de la víctima. El usuario inevitablemente divulgaría su contraseña, lo que permitiría al atacante descifrar todos sus datos almacenados con Mega.

Mathias Ortmann, CTO de Mega, dijo en una entrevista el lunes que hay una variedad de ataques basados ​​en la web que Mega sería vulnerable a cualquier otro sitio que confíe en SSL para seguridad, como en el caso de la banca en línea. Esos escenarios están delineados en el sitio de Mega, dijo.

"Si se hubieran molestado en leer, habrían visto que, básicamente, afirmamos exactamente de lo que nos acusan como posibles vectores de ataque más algunos otros de los que no nos acusan. ", Dijo Ortmann. "Todos estos ataques relacionados con SSL no se aplican específicamente a nosotros. Se aplican a compañías con requisitos de seguridad igualmente elevados o incluso requisitos más elevados. "

SSL está respaldado por certificados de seguridad cifrados emitidos por empresas y organizaciones autorizadas. Pero el sistema de emisión ha sido criticado desde hace tiempo porque los estafadores han podido obtener certificados válidos para sitios web que no son de su propiedad.

Ortmann reconoció que alguien podría intentar engañar a una autoridad certificadora para que emita un certificado SSL real para mega.co. nz, lo que le permitiría al atacante crear un falso sitio web Mega que parece tener las credenciales adecuadas.

En un guiño a la intensa aversión a la empresa Mega de Kim Dotcom, Ortmann dijo: "Realmente estoy esperando que algún gobierno tenga una El certificado sombra mega.co.nz emitido en algún momento y utilizado en un ataque. "Pero Mega buscará periódicamente certificados SSL no autorizados, dijo.

Cortesía de Nadim Kobeiss. El nuevo servicio de intercambio de archivos de Kim Dotcom, Mega, ha sido criticado por personas como Nadim Kobeissi, desarrollador del programa cifrado de mensajería instantánea Cryptocat, de cómo Mega implementa el cifrado.

Si los servidores de Mega se veían comprometidos, también es posible que un atacante entregue JavaScript modificado y malicioso, dijo Nadim Kobeissi, desarrollador del programa cifrado de mensajería instantánea Cryptocat. También sería posible que Mega mismo entregue código malicioso.

"Cada vez que abres el sitio web, el código de cifrado se envía desde cero", dijo Kobeissi. "Entonces, si algún día decido que quiero deshabilitar todo el cifrado para ti", Puedo servirle a su nombre de usuario un código diferente que no encripta nada y en su lugar roba sus claves de cifrado. "

Ortmann respondió que los usuarios siempre están obligados a confiar en su proveedor de servicios cuando descargan y ejecutan código. Debido a que el JavaScript de Mega se envía al navegador, las personas podrán analizar regularmente el código y asegurarse de que sea confiable o no. Si Mega manipuló el JavaScript, "sería detectable", dijo Ortmann.

Marlinspike dijo que una forma más segura sería que Mega usara una extensión de navegador firmada para encriptar los datos, lo que evitaría la manipulación por parte de un atacante. Alternativamente, un cliente de software instalado lograría el mismo fin, dijo, sin exponer a un usuario a las inseguridades de SSL.

Marlinspike dijo que cree que a los usuarios de Mega no les importa mucho la seguridad ya que solo están interesados ​​en compartición de archivos. Como Mega solo verá datos encriptados en sus servidores, la configuración parece absolver a los fundadores del sitio de los problemas de infracción de derechos de autor de Megaupload.

"Lo único que importa es que los operadores de Mega pueden reclamar que no tienen la capacidad técnica para hacerlo. inspeccionar los contenidos en el servidor por infracción de derechos de autor ", dijo Marlinspike.

Al igual que cualquier otro servicio en línea, el código de Mega ya está siendo detectado. El domingo, se reveló que el sitio tenía una falla de script entre sitios, que en algunos casos puede permitir que un atacante robe las cookies de un usuario, lo que permitiría al menos una toma temporaria de la cuenta de la víctima. Se corrigió rápidamente.

"El problema de XSS se resolvió en una hora", escribió Bram van der Kolk, el principal programador de Mega, en Twitter el domingo. "Punto muy válido, error vergonzoso".

Ortmann explicó: "El problema del guión a través del sitio era más que vergonzoso. Eso no debería haber sucedido. Esto se debe realmente al hecho de que Bram y yo somos completos novatos de JavaScript y nunca hemos esperado este comportamiento por parte de un navegador. Realmente lo discutimos, pero no lo probamos, así que es un poco embarazoso. Eso se solucionó después de 30 minutos o menos de una hora después de que se nos informara. "

Dijo que Mega publicará más detalles más tarde en el sitio web que aborda los puntos planteados por sus críticos en cuanto a la seguridad.