Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

MEGA

2013.02.01. 13:03 | buherator | Szólj hozzá!

Kim Dotcom nem rég 10.000 euró jutalmat ajánlott annak, aki sikeresen "feltöri" (bármit jelentsen is ez) a nem rég indult MEGA.co.nz védelmét. A felajánlásra azután került sor, hogy biztonsági szakértők számos kritikát fogalmaztak meg az oldallal kapcsolatban. 

Kriptót csinálni "a felhőben" ugyanis bajos, leginkább azért, mert a szolgáltató nem igazán tudja garantálni, hogy saját maga (vagy egy őt komprommitáló támadó) nem tud hozzáférni az elméletben titkosított adatokhoz. A MEGA helyzete első blikkre annyival egyszerűbb, hogy a szolgáltató elsősorban a jogi bonyadalmaktól igyekszik megóvni felhasználóit azzal a felkiáltással, hogy maga sem tud információt szolgáltatni a hatóságoknak.

Ez azonban valójában azonos helyzet: mint azt többen észrevételezték, onnantól kezdve, hogy a szolgáltató szerver-oldalon végez titkosítást, a hatóság (vagy ismét egy támadó) elméletileg elérheti, hogy pl. a titkosító szkript mentsen egy nyílt változatot is minden feltöltött anyagból. 

De nem ez volt az egyetlen probléma: a szolgáltatás külső felhőszolgáltatóktól lehúzott JavaScriptjeinek integritását például sima CRC-MAC-el ellenőrizte a rendszer, ez az amatőr megoldás pedig nem sok jót ígér a teljes rendszer biztonságával kapcsolatban, mint ahogy a felfedezett XSS-ek sem a nagy gonddal felügyelt fejlesztés képét mutatják. 

Mindez persze nem jelenti azt, hogy Dotcom úr a közeljövőben megrövidülne néhány lepedővel. A most feszegetett támadások leginkább egy 10.000 eurónál eleve jobban motivált támadói modellre épülnek, illetve a szolgáltatás elvi működőképességét kérdőjelezik meg, így az alapvetően szimpatikus felajánlás mégis csak egy egyszerű marketingfogásnak tűnik.

Címkék: mega

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.