Kim Dotcom Police Raid Video Released
O novo empreendimento ousado de Kim Dotcom, o serviço de armazenamento e compartilhamento de arquivos Mega, está atraindo críticas à medida que os pesquisadores de segurança analisam como o site protege os dados dos usuários. Em suma, eles aconselham: não confie nisso.
Enquanto megaempresários admitem que são novatos em JavaScript, a linguagem de programação usada para executar elementos-chave de seus serviços, eles dizem que seu site não é mais vulnerável do que on-line. sites de bancos para atacar
Dotcom organizou uma grande festa de lançamento para a Mega no domingo em sua mansão nos arredores de Auckland. O serviço é o sucessor do Megaupload, o site de compartilhamento de arquivos que Dotcom e seus colegas foram acusados nos Estados Unidos em janeiro de 2012 por acusações de violação de direitos autorais. [
[Leia mais: Como remover malware do seu PC com Windows] O MegaMega, o novo serviço de compartilhamento de arquivos de Kim Dotcom, foi criticado por especialistas em segurança, mas o programador chefe Bram van der Kolk (esquerda) e o diretor de tecnologia Mathias Ortmann (à direita) dizem que o site não é mais vulnerável do que os sites bancários online.
Mega usa SSL (Secure Sockets Layer) um protocolo amplamente usado para criptografia em toda a Internet para garantir a conexão entre os computadores de seus usuários e seus próprios servidores. Uma vez que uma conexão SSL é feita, Mega envia o código JavaScript para o navegador de uma pessoa, que criptografa os arquivos da pessoa antes que os dados sejam enviados para os servidores da Mega.
O problema é que o SSL é reconhecido como um ponto fraco na web. Em 2009, o pesquisador de segurança Moxie Marlinspike criou uma ferramenta chamada SSLstrip, que permite que um invasor intercepte e interrompa uma conexão SSL. O atacante pode então espionar qualquer dado que o usuário enviar para o site falso.
Como o Mega depende fundamentalmente do SSL, "não há realmente nenhuma razão para fazer a criptografia do lado do cliente", disse Marlinspike em entrevista na segunda-feira. “Esses tipos de esquemas são vulneráveis a todos os problemas com SSL.”
Alguém que ataca Mega usando SSLstrip poderia enviar seu próprio JavaScript malicioso para o navegador da vítima. O usuário iria inevitavelmente divulgar sua senha, o que permitiria que o atacante descriptografasse todos os seus dados armazenados com o Mega. Mathias Ortmann, CTO da Mega, disse em uma entrevista segunda-feira que há uma variedade de ataques baseados na web que Mega seria vulnerável a qualquer outro site que use SSL para segurança, como para serviços bancários on-line. Esses cenários são descritos no site da Mega, ele disse. “Se eles tivessem se preocupado em ler que teriam visto que basicamente afirmamos exatamente o que eles estão nos acusando de possíveis vetores de ataque e outros que não estão nos acusando de “, Disse Ortmann. “Todos esses ataques relacionados a SSL não se aplicam especificamente a nós. Elas se aplicam a empresas com requisitos de segurança igualmente altos ou requisitos ainda mais altos. ”
O SSL é sustentado por certificados de segurança criptografados emitidos por empresas e organizações autorizadas. Mas o sistema de emissão tem sido criticado desde scammers foram capazes de obter certificados válidos para sites que não possuem.
Ortmann reconheceu que alguém poderia tentar enganar uma autoridade de certificação para emitir um certificado SSL real para mega.co.il nz, o que permitiria que o atacante criasse um falso site Mega que aparecesse com as credenciais adequadas.
Ao concordar com a intensa antipatia do Mega empreendimento de Kim Dotcom, Ortmann disse: “Na verdade, estou esperando que algum governo tenha um mega.co.nz certificado de sombra emitido em algum momento e usado em um ataque. "Mas Mega irá procurar periodicamente por certificados SSL não autorizados, disse ele.
Cortesia de Nadim Kobeiss O novo serviço de compartilhamento de arquivos de Kim Dotcom, Mega, tem sido criticado por pessoas como Nadim Kobeissi, desenvolvedor do programa criptografado de mensagens instantâneas Cryptocat, pela forma como Mega implementa criptografia.
Se os servidores da Mega fossem comprometidos, Também é possível que um invasor forneça JavaScript malicioso e modificado, disse Nadim Kobeissi, desenvolvedor do programa criptografado de mensagens instantâneas Cryptocat. Também seria possível para o próprio Mega entregar código malicioso.
“Toda vez que você abre o site, o código de criptografia é enviado do zero”, disse Kobeissi. “Então, se um dia eu decidir desabilitar toda a criptografia para você, Eu posso apenas servir seu nome de usuário de código diferente que não criptografa nada e rouba suas chaves de criptografia. ”
Marlinspike disse que uma maneira mais segura seria Mega usar uma extensão de navegador assinada para criptografar os dados, o que impediria a adulteração por um invasor. Alternativamente, um cliente de software instalado realizaria o mesmo fim, disse ele, sem expor um usuário às inseguranças do SSL.
Marlinspike disse acreditar que os usuários mega fundamentalmente não se importam muito com segurança, já que estão interessados apenas em compartilhamento de arquivos. Como o Mega apenas verá dados criptografados em seus servidores, a configuração parece absolver os fundadores do site dos problemas de violação de direitos autorais do Megaupload.
“Tudo o que importa é que os operadores da Mega possam alegar que não têm a capacidade técnica de inspecionar o conteúdo no servidor por violação de direitos autorais ", disse Marlinspike.
Como qualquer novo serviço online, o código da Mega já está sendo estimulado. No domingo, foi revelado que o site tinha uma falha de script entre sites, que em alguns casos pode permitir que um invasor roubasse os cookies de um usuário, o que permitiria pelo menos uma tomada temporária da conta da vítima. Ele foi rapidamente corrigido. "A questão do XSS foi resolvida em uma hora", escreveu Bram van der Kolk, o principal programador da Mega, no Twitter, no domingo. “Ponto muito válido, bug embaraçoso.”
Ortmann elaborou: “A questão do script entre sites foi mais do que embaraçosa. Isso não deveria ter acontecido. Isto é realmente devido ao fato de que Bram e eu somos iniciantes em JavaScript completos e nunca esperamos esse comportamento por um navegador. Nós realmente discutimos isso, mas não testamos, então é meio constrangedor. Isso foi corrigido depois de 30 minutos ou menos de uma hora depois que foi reportado a nós. ”
Ele disse que Mega publicará mais detalhes ainda hoje no site, abordando os pontos levantados por seus críticos em relação à segurança.
Snow Leopard Attack? O sistema operacional Snow Leopard, da Apple, vem com uma vulnerabilidade do Adobe Flash, segundo a empresa de segurança. Os clientes da Apple que estão migrando para o Snow Leopard podem ser vulneráveis a ataques do Adobe Flash, alertou a empresa de segurança Spohos. Se você atualizou para o Snow Leopard esta semana, seu Mac pode estar em risco, já que o novo sistema operacional reduz sua instalação do Adobe Flash, disse a empresa. O novo sistema operacional Snow Leopard
[Leia mais: Como remover malware do seu PC Windows]
Em 30 de abril de 2008, depois que ele foi demitido, Kim usou seu computador doméstico para se conectar para a rede de computadores da Gexa e para um banco de dados contendo informações sobre cerca de 150.000 clientes da Gexa, disse o DOJ. Kim danificou a rede de computadores e o banco de dados no processo, disse o DOJ.
Kim também copiou e salvou em seu computador um arquivo de banco de dados contendo informações pessoais sobre os clientes Gexa, incluindo seus nomes, endereços de faturamento, números da Previdência Social, datas de nascimento e números de carteira de motorista. As ações de Kim causaram uma perda de US $ 100.000 para a Gexa, disse o DOJ.
Mega aceitará o bitcoin de moeda virtual para assinaturas para mais espaço de armazenamento no serviço de compartilhamento de arquivos, cofundador Kim Dotcom anunciou no Twitter.
Harley Ogier / PCKorld New ZealandKim Dotcom na Mega introdução