Un crimen llamado educación - Documental completo dirigido por Jürgen Klaric
Dans un article publié mardi, les responsables de Mega ont reconnu que certains des risques de sécurité signalés par les chercheurs sont valides, mais que les utilisateurs ont déjà été informés de certains d'entre eux via la section FAQ (Foire aux questions) du site Web. Dans le cas d'autres problèmes, ils ont promis quelques améliorations
[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]
Par exemple, il a été signalé que les clés de cryptage générées par les utilisateurs lors de la signature processus, et qui sont ensuite utilisés pour crypter leurs fichiers, sont cryptés en utilisant le mot de passe du compte et sont uniquement stockés sur les serveurs de Mega. Comme il n'y a pas de fonction de récupération de mot de passe, les utilisateurs perdront la possibilité de déchiffrer leurs fichiers s'ils oublient leurs mots de passe.
"C'est correct - la seule clé dont MEGA a besoin pour être stocké côté utilisateur est le mot de passe de connexion, dans le cerveau de l'utilisateur », ont déclaré les fonctionnaires Mega. "Ce mot de passe déverrouille la clé principale, qui à son tour déverrouille les clés fichier / dossier / partage / privé."
Cependant, un mécanisme qui permettra la récupération des fichiers en cas d'oubli du mot de passe sera implémenté dans un avenir proche, ils ont dit. Cela inclura une option pour changer le mot de passe et importer les clés de fichier pré-exportées afin de récupérer les fichiers correspondants.
Les chercheurs en sécurité ont également noté le fait que les clés de cryptage principales sont générées dans le navigateur lors de l'inscription. La fonction JavaScript de.random et averti que cette fonction ne fait pas un bon travail de génération de nombres aléatoires, ce qui signifie que les clés résultantes pourraient être faibles d'un point de vue cryptographique.
En réponse, les fonctionnaires Mega ont dit que l'entropie est ajouté en utilisant les données collectées à partir de la souris et du clavier de l'utilisateur. "Nous allons cependant ajouter une fonctionnalité qui permet à l'utilisateur d'ajouter autant d'entropie qu'il le souhaite avant de passer à la génération de clé", ont-ils dit.
Les représentants Mega ont également clarifié le fonctionnement du système de vérification JavaScript du site. notant que le serveur HTTPS principal qui utilise un certificat SSL avec une clé de 2048 bits est utilisé pour vérifier l'intégrité du code JavaScript servi par les serveurs HTTPS secondaires qui utilisent des certificats avec des clés de 1024 bits. "Cela nous permet essentiellement d'héberger le contenu statique extrêmement sensible à l'intégrité sur un grand nombre de serveurs géographiquement divers sans se soucier de la sécurité", ont-ils déclaré.
Un chercheur nommé Steve Thomas, connu en ligne sous le nom de "Sc00bz" Les liens inclus dans les e-mails de confirmation envoyés par Mega pendant le processus d'enregistrement contiennent en fait le mot de passe de l'utilisateur.
Thomas a sorti un outil appelé MegaCracker qui peut être utilisé pour extraire les hachages de ces liens Cependant, ils ont échoué à répondre à la question de savoir pourquoi les liens de confirmation de compte envoyés par courrier électronique contiennent le hachage de mot de passe de l'utilisateur en premier lieu. La technique générale utilisée par les autres sites est de générer des codes aléatoires pour les liens de confirmation. Afin d'empêcher les attaquants potentiels d'obtenir leur mot de passe plus tard, les utilisateurs devraient probablement supprimer le mail de confirmation Mega après avoir cliqué sur relier et configurer leurs comptes.
Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.
Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.
Espérant stimuler les ventes alors que les entreprises réduisent leurs dépenses en capital, Microsoft a annoncé jeudi que les nouveaux clients de ses applications ERP et CRM de Dynamics dans certaines parties du monde peuvent demander un financement à zéro pour cent sur 36 mois. > L'accord, via Microsoft Financing, est bon sur les achats de 20 000 à 1 million de dollars. Elle s'applique aux licences et aux «frais d'amélioration de première année» sur Dynamics NAV, AX, GP et SL, ainsi que Dynamic
Microsoft propose également des taux de financement standard sur d'autres dépenses de propriété, telles que les services partenaires et la personnalisation
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.