Car-tech

キム・ドットコムのメガ・サービスのセキュリティに疑問を投げかけた

オリックスチャンステーマ

オリックスチャンステーマ
Anonim

Kim Dotcomの大胆な新ベンチャーであるファイルストレージおよび共有サービスMegaは、セキュリティ研究者がサイトがユーザーのデータをどのように保護しているかを分析しているため、批判を浴びている。つまり、それを信用しないように助言する。メガの役人はJavaScriptの "初心者"であると認めているが、プログラミング言語はサービスの重要な要素を実行するために使用され、ウェブサイトはオンラインよりも脆弱ではない

ドットコムは、日曜日にオークランド以外の大邸宅でメガに大きな打ち上げパーティーを行った。

[詳しい読書:あなたのWindows PCからマルウェアを削除する方法]

Mogauploadのサービスは、Dotcomとその同僚が米国で2012年1月に著作権侵害訴訟で起訴されたファイル共有サイトの後継です。 > Kim Dotcomの新しいファイル共有サービスであるMegaMegaは、セキュリティ専門家によって批判されていますが、Bram van der Kolk(左)とCTO Mathias Ortmann(右)は、オンラインバンキングのWebサイトよりも、

誇らしげなドットコムは、サイトの暗号化がプライバシーとデータを保護することをメガのユーザーに保証しているが、その暗号化スキームの実装には根本的に欠陥がある、とメガはSSL(Secure Sockets Layer)ユーザのコンピュータとそれ自身のサーバとの間の接続を確保するためにインターネット上で暗号化されます。 SSL接続が確立されると、MegaはJavaScriptコードを人のブラウザにプッシュし、データをメガのサーバーに送信する前にその人のファイルを暗号化します。

問題は、SSLが長い間Web上の弱点。 2009年、セキュリティ研究者のMoxie MarlinspikeはSSLstripというツールを作成しました。これは、攻撃者がSSL接続を傍受して停止することを可能にします。ユーザーが偽のウェブサイトに送信したいかなるデータであっても、攻撃者はそのデータを盗み見ることができます。

メガは基本的にSSLに依存しているため、クライアント側の暗号化を行う理由はありません。 「この種のスキームはSSLに関するすべての問題に対して脆弱です。」SSLストライプを使ってメガを攻撃する人は、悪質なカスタムJavaScriptを被害者のブラウザに送ることができます。ユーザーは必然的にパスワードを漏らしてしまい、メガに保存されているすべてのデータを解読することが可能になる。

Mega's Ortmann、メガのCTOは、月曜日のインタビューで、メガがさまざまなWebベースの攻撃オンラインバンキングなど、セキュリティのためにSSLに依存する他のサイトと同様に脆弱です。

「彼らが読むことに気をつけていたら、彼らは、可能な攻撃ベクトルと、私たちを告発していない他のいくつかのものを私たちに告発しているものを基本的に述べていると思うでしょう。 "オルトマン氏は語った。 「これらのSSL関連の攻撃はすべて、特に私たちには当てはまりません。セキュリティ要件が同等かそれ以上の企業に適用されます」。

SSLは、認可された企業や組織が発行する暗号化されたセキュリティ証明書によって支えられています。しかし、詐欺師が所有していないウェブサイトに対して有効な証明書を入手できるようになって以来、発行体制は長い間批判されてきた。

Ortmannは、認証機関がmega.co.kr Ortmann氏は、Kim DotcomのMegaエンタープライズの激しい嫌悪感を無視して、「実際に一部の政府にMegaは定期的に不正なSSL証明書をスキャンする、と彼は言った。Megaが暗号化を実装する方法については、暗号化インスタント・メッセージング・プログラムCryptocatの開発者であるNadim Kobeissiを含む人々がKim Dotcomの新しいファイル共有サービスを批判しています。暗号化されたインスタントメッセージングプログラム「Cryptocat」の開発者であるNadim Kobeissi氏は、攻撃者が改ざんされた悪質なJavaScriptを提供することも可能であると述べています。また、Mega自身が悪意のあるコードを配信する可能性もあります。

「Webサイトを開くたびに暗号化コードが一から送信されます」とKobeissi氏は言いました。「いつでもすべての暗号化を無効にしたいOrtmann氏は、コードをダウンロードして実行する際、常にユーザーがサービスプロバイダーを信頼しなければならないと反論していました。メガのJavaScriptがブラウザに送られるので、人々は定期的にコードを分析し、それが信頼できるかどうかを確かめることができます。 Marlinspike氏は、メガが署名されたブラウザエクステンションを使ってデータを暗号化し、攻撃者の改ざんを防ぐより安全な方法があると述べている。また、インストールされたソフトウェアクライアントは、SSLのセキュリティが不安定な状態に陥ることなく、同じ目的を達成するだろうとマリンズピーク氏は言う。ファイル共有。メガはサーバ上で暗号化されたデータを見るだけなので、サイトの創設者はMegauploadの著作権侵害の問題から免除されているようだ。

「メガの運営者は技術的能力がない新しいオンラインサービスと同様に、メガのコードはすでに生産されています」とMarlinspike氏は述べています。日曜日に、サイトにクロスサイトスクリプティングの欠陥があることが明らかになりました。この脆弱性は、場合によっては攻撃者がユーザーのCookieを盗み、犠牲者のアカウントを少なくとも一時的に引き継ぐことを可能にします。それはすぐに修正された。

メガのチーフプログラマーであるBram van der Kolk氏は、「XSSの問題は1時間以内に解決された」と、日曜日にTwitterに書いた。 「非常に有効な点、恥ずかしいバグ」Ortmann氏は、「クロスサイトスクリプティングの問題は恥ずかしいことではありませんでした。それは起こってはいけません。これは本当にBramと私が完全なJavaScriptの初心者であり、ブラウザでこの動作を期待したことがないという事実によるものです。私たちは実際にそれについて議論しましたが、テストしなかったので、恥ずかしいです。これは、30分後、あるいは1時間も経たないうちに修正された」と述べた。メジャー氏は、セキュリティに関して批評家から提唱された点について、