r   e   k   l   a   m   a
r   e   k   l   a   m   a

Mega bezpieczniejsze; Kim Dotcom dosłownie płaci za błędy

Strona główna Aktualności

Premiera nowego cyberschowka Mega, reklamowanego przez Kima Dotcoma jako rozwiązanie naprawdę chroniące prywatność użytkowników, zachęciła wielu ekspertów w dziedzinie bezpieczeństwa do przyjrzenia się bliżej tej usłudze – przynajmniej od strony tego, co działa w przeglądarce. Na efekty nie przyszło długo czekać: w Mega znaleziono liczne słabości, niektóre wręcz „podręcznikowe”. Pojawiły się wątpliwości – czy zespół Dotcoma zna się w ogóle na kryptografii, mającej gwarantować prywatność użytkowników Mega?

Twórca usługi odpowiedział na większość zarzutów. Część zbagatelizował (jak np. zarzuty dotyczące sposobu wykorzystania SSL), niektóre uznał i zapowiedział poprawki. Co jednak najważniejsze, przyjął proaktywną postawę w kwestii bezpieczeństwa Mega: ogłosił oficjalny program zgłaszania luk w Mega, dzięki któremu ich odkrywcy mogliby zarobić niezłe pieniądze – do 10 tys. euro za odkrytą podatność (wypłacana kwota uzależniona miała być od wagi odkrycia).

Zgłoszone odkrycia miały być przypisane do jednej z sześciu kategorii, z których „najlżejszą” były zgłoszenia podatności czysto teoretycznych, lub mających niewielki wpływ na bezpieczeństwo serwisu, zaś „najcięższą” – zdalne wykonanie kodu na serwerach Mega oraz fundamentalne błędy w architekturze kryptograficznej.

Dodatkowo, w ramach programu Dotcom zaproponował hakerom wzięcie udziału w trzech „konkurencjach”:

  • Przejęty statyczny węzeł CDN – przy założeniu, że jeden z serwerów statycznej treści został przejęty i napastnik może zmieniać zawartość wszystkich znajdujących się na nim plików, należy spróbować naruszyć zabezpieczenia całego serwisu.

  • Przejęty węzeł danych użytkownika – przy założeniu, że jeden z węzłów storage zawierających dane użytkownika został przejęty, a użytkownik ma pobrać konkretny plik, należy zmodyfikować zawartość tego pliku (nie posiadając klucza).

  • Przejęty serwer kluczowej infrastruktury – przy założeniu, że przejęty został jeden z serwerów API, należy nakłonić klienty do wydania kluczy do plików na kontach, które nie mają ustawionych żadnych aktywnych form współdzielenia.

Miłośnicy siłowych rozwiązań też dostali coś dla siebie: każdy, kto prześle klucz deszyfrujący wskazany plik wraz z hasłem zakodowanym w linku potwierdzającym rejestrację, może otrzymać maksymalną kwotę nagrody.

Po niespełna 10 dniach od uruchomienia programu zgłaszania podatności, Dotcom przedstawił pierwsze rezultaty starań hakerów. Uznano siedem zgłoszeń, z czego żadne nie należało do kategorii najcięższych – klasy V i VI:

  • Kategoria IV: niewłaściwe zastosowanie funkcji skrótu CBC-MAC do sprawdzania poprawności treści pobieranych z zewnętrznych serwerów – klastra statycznych treści. Problem usunięto w kilka godzin, wzmacniając szyfrowanie i eliminując ryzyko ataków man-in-the-middle. Warto podkreślić, że żaden z serwerów statycznych treści nie znajdował się w niezaufanych centrach danych.

  • Kategoria III: a) atak XSS za pomocą nazw plików i folderów (naprawiono), b) atak XSS na stronie pobierania plików (naprawiono), c) atak XSS w komponencie flashowym (naprawiono),

  • Kategoria II: XSS za pomocą łańcuchów przekazywanych z serwera API na stronę pobierań, stronę konta i moduł eksportowania linków (naprawiono).

  • Kategoria I (najlżejsza): a) brak nagłówka HTTP Strict Transport Security (naprawiono), b) brak nagłówka X-Frame-Options, co otwierało drogę do ataku typu clickjacking i przekierowań.

Kim Dotcom nie ujawnił, ile do tej pory wypłacił odkrywcom, wiadomo jedynie, że za jeden z błędów kategorii III odkrywca otrzymał tysiąc euro. Czy to dużo, czy mało? W porównaniu do cen, jakie otrzymać można za skuteczne exploity dla mobilnych systemów operacyjnych, to oczywiście grosze. Z drugiej strony, nie mieliśmy chyba do tej pory sytuacji, w której autorzy serwisów internetowych outsource'owaliby testowanie zastosowanych mechanizmów zabezpieczeń – i byliby gotowi za to płacić. Z tego choćby powodu, należą się twórcom serwisu Mega wyrazy uznania.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.