Arthur Schopenhauer - El Arte de Ser Feliz (Audiolibro Completo en Español) "Voz Real Humana"
Internet y el delincuente digital acusado Kim Dotcom lanzaron recientemente Mega (abreviatura de Mega Encrypted Global Access), que cuenta con 50GB de almacenamiento gratuito. Mega es solo uno de los componentes de lo que Dotcom y su equipo esperan sea un conjunto de servicios cifrados en línea de Mega Ltd., incluyendo correo electrónico, llamadas de voz, mensajería instantánea y transmisión de video.
En una publicación de blog publicada el martes, Mega funcionarios reconocieron que algunos de los riesgos de seguridad señalados por los investigadores son válidos, pero dijo que los usuarios ya habían sido informados sobre algunos de ellos a través de la sección de preguntas frecuentes (FAQ, por sus siglas en inglés) del sitio web. En el caso de otros problemas, prometieron algunas mejoras.
[Lectura adicional: cómo eliminar el malware de su PC con Windows]
Por ejemplo, se ha señalado que las claves de encriptación generadas por los usuarios durante el registro hasta el proceso, y que luego se utilizan para encriptar sus archivos, se encriptan usando la contraseña de la cuenta y solo se almacenan en los servidores de Mega. Dado que no hay una función de recuperación de contraseñas, los usuarios perderán la capacidad de descifrar sus archivos si olvidan sus contraseñas, dijeron algunas personas.
"Esto es correcto: la única clave que MEGA requiere que se almacene en el lado del usuario es la contraseña de inicio de sesión, en el cerebro del usuario ", dijeron los megafuncionarios. "Esta contraseña desbloquea la clave maestra, que a su vez desbloquea el archivo / carpeta / compartir / claves privadas."
Sin embargo, un mecanismo que permitirá la recuperación de archivos en caso de que se olvide la contraseña se implementará en el futuro cercano, ellos dijeron. Esto incluirá una opción para cambiar la contraseña e importar las claves de archivo preexportadas para recuperar los archivos correspondientes.
Los investigadores de seguridad también notaron el hecho de que las claves de encriptación maestras se generan dentro del navegador cuando se registran usando las matemáticas..la función de JavaScript aleatorio y advirtió que esta función no hace un buen trabajo generando números aleatorios, lo que significa que las claves resultantes podrían ser débiles desde un punto de vista criptográfico.
En respuesta, los mega funcionarios dijeron que la entropía-aleatoriedad- se agrega al usar los datos recopilados del mouse y el teclado del usuario. "Sin embargo, agregaremos una función que le permita al usuario agregar tanta entropía manualmente como lo considere conveniente antes de continuar con la generación de claves", dijeron.
Los representantes de Mega también aclararon cómo funciona el sistema de verificación de JavaScript del sitio, teniendo en cuenta que el servidor HTTPS principal que usa un certificado SSL con una clave de 2048 bits se usa para verificar la integridad del código JavaScript servido desde servidores HTTPS secundarios que usan certificados con claves de 1024 bits. "Esto básicamente nos permite alojar el contenido estático extremadamente sensible a la integridad en una gran cantidad de servidores geográficamente diversos sin preocuparse por la seguridad", dijeron.
Un investigador llamado Steve Thomas, conocido en línea como "Sc00bz", descubrió el martes que los enlaces incluidos en los correos electrónicos de confirmación enviados por Mega durante el proceso de registro de la cuenta en realidad contienen el hash de contraseña del usuario.
Thomas lanzó una herramienta llamada MegaCracker que se puede usar para extraer los hash de dichos enlaces e intentar descifrarlos usando un ataque de diccionario..
Comentando sobre el lanzamiento de la herramienta, los mega funcionarios dijeron que MegaCracker es "un recordatorio excelente para no usar contraseñas de diccionario / adivinables, específicamente no si su contraseña también sirve como la clave de cifrado principal para todos los archivos que almacena en MEGA. "
Sin embargo, no abordaron la pregunta de por qué los enlaces de confirmación de la cuenta enviados por correo electrónico contienen el hash de contraseña del usuario en primer lugar. La técnica general utilizada por otros sitios web es generar códigos aleatorios específicamente para enlaces de confirmación.
Con el fin de evitar que los atacantes obtengan su hash de contraseña en otro momento, probablemente los usuarios eliminen el correo electrónico de confirmación de Mega después de hacer clic en el vincular y configurar sus cuentas.
ISP responde a las preocupaciones de los legisladores sobre el seguimiento de anuncios
Embarq, un ISP de Kansas, dice que no tiene planes de lanzar un servicio de anuncios específico controvertido de NebuAd .
Las demoras en proyectos de Google Apps destacan las preocupaciones de seguridad en la nube
El proyecto Google Apps de la ciudad de Los Angeles está retrasado debido a demoras causadas por preocupaciones sobre la confiabilidad de información confidencial a la nube.
China sigue siendo segura para externalización de TI, a pesar de las preocupaciones de seguridad de Estados Unidos, dice que la reputación de seguridad del proveedor
China Marcado por recientes acusaciones de Estados Unidos de piratería patrocinada por el estado, pero la nación sigue siendo un lugar seguro como subcontratista de tecnología para empresas extranjeras, según uno de los mayores proveedores de externalización de TI de China.