Car-tech

Doutes sur la sécurité du service Mega de Kim Dotcom

How to Hack a Car: Phreaked Out (Episode 2)

How to Hack a Car: Phreaked Out (Episode 2)
Anonim

La nouvelle entreprise audacieuse de Kim Dotcom, le service de stockage et de partage de fichiers Mega, est critiquée alors que les chercheurs en sécurité analysent comment le site protège les données des utilisateurs. En bref, ils conseillent: ne pas faire confiance.

Alors que les officiels Mega admettent qu'ils sont des "débutants" de JavaScript, le langage de programmation utilisé pour exécuter les éléments clés de leur service, ils disent que leur site web n'est pas plus vulnérable qu'en ligne

Dotcom a lancé une grande fête de lancement pour Mega dimanche dans son manoir à l'extérieur d'Auckland. Le service est le successeur de Megaupload, le site de partage de fichiers que Dotcom et ses collègues ont été inculpés aux États-Unis en janvier 2012 pour violation de droits d'auteur.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

MegaMega, le nouveau service de partage de fichiers de Kim Dotcom, a été critiqué par des experts en sécurité, mais le programmeur en chef Bram van der Kolk (à gauche) et le directeur technique Mathias Ortmann (à droite) disent que leur site n'est pas plus vulnérable que les sites bancaires en ligne.

Le flamboyant Dotcom assure aux utilisateurs de Mega que le cryptage du site protégera leur vie privée et leurs données, mais l'implémentation de ce système de cryptage est fondamentalement erronée, affirment les observateurs.

Mega utilise SSL (Secure Sockets Layer) cryptage sur Internet pour sécuriser la connexion entre les ordinateurs de ses utilisateurs et ses propres serveurs. Une fois la connexion SSL établie, Mega envoie le code JavaScript au navigateur d'une personne, qui crypte ensuite les fichiers de la personne avant que les données ne soient envoyées aux serveurs de Mega.

Le SSL est depuis longtemps reconnu comme un point faible sur le web. En 2009, le chercheur en sécurité Moxie Marlinspike a créé un outil appelé SSLstrip, qui permet à un attaquant d'intercepter et d'arrêter une connexion SSL. L'attaquant peut alors espionner les données envoyées par l'utilisateur au faux site Web.

Puisque Mega s'appuie fondamentalement sur le protocole SSL, «il n'y a vraiment aucune raison de procéder au cryptage côté client», a déclaré Marlinspike lundi. "Ce genre de stratagèmes est vulnérable à tous les problèmes de SSL."

Quelqu'un qui attaque Mega en utilisant SSLstrip pourrait alors envoyer son propre JavaScript malveillant personnalisé au navigateur de la victime. L'utilisateur divulguerait inévitablement son mot de passe, ce qui permettrait à l'attaquant de décrypter toutes ses données stockées avec Mega.

Mathias Ortmann, CTO de Mega, a déclaré dans une interview lundi qu'il existe une variété d'attaques Web que Mega serait vulnérable à tout comme tout autre site qui repose sur SSL pour la sécurité, comme pour les services bancaires en ligne. Ces scénarios sont décrits sur le site de Mega, dit-il.

"S'ils avaient pris la peine de lire qu'ils auraient vu que nous indiquions exactement ce qu'ils nous accusaient d'être des vecteurs d'attaque possibles et d'autres qu'ils ne nous accusent pas ", A déclaré Ortmann. "Toutes ces attaques liées à SSL ne s'appliquent pas spécifiquement à nous. Ils s'appliquent à des entreprises ayant des exigences de sécurité tout aussi élevées ou des exigences encore plus élevées. "

SSL repose sur des certificats de sécurité cryptés émis par des sociétés et des organisations autorisées. Mais le système d'émission a longtemps été critiqué depuis que les arnaqueurs ont pu obtenir des certificats valides pour des sites web qu'ils ne possèdent pas.

Ortmann a reconnu que quelqu'un pourrait essayer de tromper une autorité de certification en émettant un vrai certificat SSL pour mega.co. nz, qui permettrait à l'attaquant de créer un faux site Web Mega qui semble avoir des informations d'identification appropriées. En guise de remerciement à l'entreprise Mega de Kim Dotcom, M. Ortmann a déclaré: << Je m'attends à ce qu'un gouvernement ait un Le certificat fantôme de mega.co.nz a été émis à un moment donné et a été utilisé lors d'une attaque. "Mais Mega passera régulièrement en revue les certificats SSL non autorisés, at-il dit.

Courtoisie de Nadim KobeissLe nouveau service de partage de fichiers de Kim Dotcom, Mega, a été critiqué par des personnes comme Nadim Kobeissi, développeur du programme de messagerie instantanée cryptée Cryptocat, pour savoir comment Mega implémente le cryptage.

Si les serveurs de Mega étaient compromis, », a déclaré Nadim Kobeissi, développeur du programme de messagerie instantanée cryptée Cryptocat. Mega lui-même pourrait fournir du code malveillant.

«Chaque fois que vous ouvrez le site, le code de chiffrement est envoyé à partir de zéro», a déclaré Kobeissi, «Si un jour je décide de désactiver tout le chiffrement, Je peux juste servir votre code d'utilisateur différent qui ne crypte rien et vole vos clés de cryptage. "

Ortmann a répliqué que les utilisateurs sont toujours obligés de faire confiance à leur fournisseur de services lors du téléchargement et de l'exécution du code. Parce que le JavaScript de Mega est envoyé au navigateur, les gens seront en mesure d'analyser régulièrement le code et de s'assurer qu'il est fiable ou non. Si Mega altérait le JavaScript, "il serait détectable", dit Ortmann.

Marlinspike a indiqué que Mega utiliserait une extension de navigateur signée pour chiffrer les données, ce qui empêcherait une attaque par un attaquant. Alternativement, un client de logiciel installé accomplirait la même fin, il a dit, sans exposer un utilisateur aux insécurités de SSL. Marlinspike a dit qu'il pense fondamentalement que les utilisateurs de Mega ne se soucient pas tellement de la sécurité puisqu'ils sont juste intéressés par partage de fichiers. Puisque Mega ne verra que des données cryptées sur ses serveurs, l'installation semble absoudre les fondateurs du site des problèmes de violation de copyright de Megaupload.

"Tout ce qui compte, c'est que les opérateurs de Mega peuvent prétendre qu'ils n'ont pas la capacité technique Marlinspike a déclaré:

Comme tout nouveau service en ligne, le code de Mega est déjà activé. Dimanche, il a été révélé que le site comportait une faille de script intersite, qui dans certains cas peut permettre à un attaquant de voler les cookies d'un utilisateur, ce qui permettrait au moins une prise de contrôle temporaire du compte d'une victime. Il a été rapidement corrigé.

"Le problème XSS a été résolu en une heure", écrit Bram van der Kolk, programmeur en chef de Mega, sur Twitter dimanche. "Point très valable, bug embarrassant."

Ortmann a expliqué: "La question des scripts inter-sites était plus qu'embarrassante. Cela n'aurait pas dû se produire. Cela est vraiment dû au fait que Bram et moi sommes des débutants JavaScript complets et n'avons jamais attendu ce comportement d'un navigateur. Nous en avons discuté, mais nous ne l'avons pas testé, ce qui est plutôt embarrassant. Cela a été réglé après 30 minutes ou moins d'une heure après qu'on nous l'a signalé. "

Il a dit que Mega affichera plus de détails plus tard aujourd'hui sur le site Web traitant les points soulevés par ses détracteurs en matière de sécurité.