Papo de Comando: Comandante Adonis
Representantes do recém-lançado serviço de armazenamento e compartilhamento de arquivos Mega abordou algumas das preocupações levantadas pelos pesquisadores de segurança nos últimos dias sobre a arquitetura do site ea implementação de seus recursos criptográficos. A Internet e o banido foragido Kim Dotcom recentemente lançaram o Mega (abreviação de Mega Encrypted Global Access), que possui 50GB de armazenamento livre. Mega é apenas um componente do que Dotcom e sua equipe esperam que seja um pacote de serviços online criptografados da Mega Ltd., incluindo e-mail, chamadas de voz, mensagens instantâneas e streaming de vídeo. que alguns dos riscos de segurança apontados pelos pesquisadores são válidos, mas disseram que os usuários já haviam sido informados sobre alguns deles através da seção FAQ (Frequently Asked Questions) do site. No caso de outros problemas, eles prometeram algumas melhorias.
[Leitura adicional: Como remover malware do seu PC com Windows]
Por exemplo, foi apontado que as chaves de criptografia geradas pelos usuários durante a assinatura up process, e que mais tarde são usados para criptografar seus arquivos, são criptografados usando a senha da conta e são armazenados apenas nos servidores da Mega. Como não há recurso de recuperação de senha, os usuários perderão a capacidade de descriptografar seus arquivos se esquecerem suas senhas, disseram algumas pessoas.
"Isso é correto - a única chave que o MEGA requer para ser armazenada no lado do usuário é a senha de login, no cérebro do usuário ", disseram os funcionários Mega. "Esta senha desbloqueia a chave mestra, que por sua vez desbloqueia o arquivo / pasta / compartilhamento / chaves privadas."
No entanto, um mecanismo que permitirá a recuperação de arquivos caso a senha seja esquecida será implementado em breve, eles disseram. Isso incluirá uma opção para alterar a senha e importar chaves de arquivos pré-exportadas para recuperar os arquivos correspondentes.
Pesquisadores de segurança também notaram o fato de que as chaves mestras de criptografia são geradas dentro do navegador ao se inscrever usando a matemática. A função JavaScript aleatória e avisou que esta função não faz um bom trabalho ao gerar números aleatórios, o que significa que as chaves resultantes podem ser fracas do ponto de vista criptográfico.
Em resposta, os funcionários do Mega disseram que a entropia-aleatoriedade- é adicionado usando dados coletados do mouse e do teclado do usuário. "Vamos, no entanto, adicionar um recurso que permita ao usuário adicionar tanta entropia manualmente como ele achar melhor antes de prosseguir para a geração de chaves", disseram.
Os representantes do Mega também esclareceram como funciona o sistema de verificação JavaScript do site. observando que o servidor HTTPS principal que usa um certificado SSL com uma chave de 2048 bits é usado para verificar a integridade do código JavaScript veiculado de servidores HTTPS secundários que usam certificados com chaves de 1024 bits. "Isso basicamente nos permite hospedar o conteúdo estático extremamente sensível à integridade em um grande número de servidores geograficamente diversificados sem se preocupar com segurança", disseram.
Um pesquisador chamado Steve Thomas, conhecido online como "Sc00bz", descobriu na terça-feira links incluídos nos e-mails de confirmação enviados pelo Mega durante o processo de registro da conta contêm o hash da senha do usuário
Thomas lançou uma ferramenta chamada MegaCracker que pode ser usada para extrair os hashes desses links e tentar quebrá-los usando um ataque de dicionário
Comentando sobre o lançamento da ferramenta, os funcionários do Mega disseram que o MegaCracker é "um excelente lembrete para não usar senhas de dicionário / adivinhadas, especificamente se sua senha também serve como chave mestra de criptografia para todos os arquivos que você armazena no MEGA. "
No entanto, eles não conseguiram abordar a questão de por que links de confirmação de conta enviados por email contêm o hash de senha do usuário em primeiro lugar. A técnica geral usada por outros sites é gerar códigos aleatórios especificamente para links de confirmação.
Para evitar que invasores em potencial obtenham seu hash de senha mais tarde, os usuários provavelmente devem excluir o e-mail Mega de confirmação após clicarem no link incluído. link e configurar suas contas.
E-mails sobre mudanças climáticas destacados Preocupações com segurança
No calor do debate sobre mudança climática causado por mensagens de e-mail hackeadas pouca discussão sobre como os e-mails vazaram. Em um mundo conectado, a segurança e a privacidade são mais importantes e mais difíceis de encontrar.
Gigantes da web se opõem à proposta de direitos autorais do Reino Unido e outros gigantes da Internet pressionam o governo do Reino Unido a abandonar uma proposta que permitiria mudanças O Google e vários outros gigantes da Internet estão fazendo lobby junto ao governo do Reino Unido para deixar uma proposta que permita ao secretário de Estado introduzir novas mudanças na lei de direitos autorais.
A proposta é parte do projeto de lei Digital Economy da Grã-Bretanha. pacote abrangente de legislação que contém outras medidas controversas, incluindo a exigência de que os provedores rastreiem o compartilhamento ilegal de arquivos e possivelmente suspendam as contas de reincidentes.
As preocupações com segurança no Facebook aumentaram depois que um consultor de segurança coletou 171 milhões de contas do Facebook de informações disponíveis publicamente. Aqui está o que você precisa saber.
As preocupações de segurança sobre o Facebook foram aumentadas novamente depois que um consultor de segurança coletou os nomes e URLs de perfil de 171 milhões de contas do Facebook a partir de informações disponíveis publicamente. O consultor, Ron Bowes, então carregou os dados como um arquivo torrent que permite a qualquer pessoa com uma conexão de computador baixar os dados.