Video: SOLICITA YA EL INGRESO MINIMO VITAL (Nobyembre 2024)
Mas maaga sa buwang ito ang patuloy na flamboyant (at paminsan-minsang nakulong) inilunsad ni Kim Dotcom ang isang naka-encrypt na sistema ng imbakan ng file na tinatawag na Mega. Ang pag-highlight ng mga ligal na isyu na isinara ang kanyang nakaraang kumpanya, Megaupload, Dotcom na-tout ang bagong serbisyo bilang pribado, naka-encrypt, at sobrang secure. Gayunpaman, malinaw, na ang Mega ay may ilang mga hindi pangkaraniwang mga ideya tungkol sa kung ano ang ibig sabihin nito.
Ang Sitwasyon ng Pag-encrypt
Gumagamit si Mega ng isang matalinong pamamaraan upang maghatid ng mga secure na koneksyon sa murang. Kumokonekta ang mga gumagamit kay Mega sa pamamagitan ng mga sentralisadong server na gumagamit ng 2048-bit RSA key. Ang mga server na iyon ay konektado sa isang ipinamamahaging network ng mga "mas murang" server gamit ang 1024-bit RSA key. Ayon sa blog na Naked Security ng Sophos, "nangangahulugan ito na kailangan mong ikompromiso ang mga server na protektado ng 2048-bit at ang mga server na 1024-bit na protektado upang maghatid ng hindi awtorisadong script mula sa mas mababang seguridad na bahagi ng network.
"Lo! Isang masinop na paraan upang magkaroon ng iyong cake ng seguridad ngunit mas mababa magbayad upang maihatid ito."
Ang iskema ay matalino, ngunit hindi pinapasa ang ilang mga kritiko - na detalyado na na-dokumentado ni Sophos. Ang bagay ay lumala kapag ang fail0verflow ay tumingin sa JavaScript na ginamit upang ilipat ang data mula sa 1024-bit server. Natuklasan nila na ang Mega ay nagtatrabaho sa pagpapatotoo ng CBC-MAC, na naglalaman ng isang hard-coded key na malinaw na nakikita sa script. Ito ay tulad ng paggamit ng isang lock ng kumbinasyon, ngunit ang pagsulat ng code sa likod upang hindi mo ito malimutan.
Sa kaso ng isyu ng Java, mabilis na naitama ni Mega ang sitwasyon sa loob ng isang oras. Gayunpaman, kahit na ang mabilis na pagtugon na ito ay hindi naging madali ang lahat. Tagapayo ng Senior Security sa Sophos Canada Chester Wisniewski sinabi sa SecurityWatch, "ang matagal na tanong na nananatili ay ang ginagawa ng mga kawani / programmer sa Mega ay may unang pahiwatig tungkol sa kung paano gawin ang kriptograpiya nang maayos? Hindi mo inaasahan ang mga eksperto sa crypto na gumawa ng mga pagkakamali sa pagkagusto tulad nito. "
Ipinagpatuloy niya, "ilan pang mga pagkakamali ang maaaring nagawa nila? Dapat mo bang magtiwala sa ibang tao upang maprotektahan ang iyong data kapag hindi mo makita kung paano nila ito ginagawa?"
Si Sean Bodmer, Chief Researcher sa CounterTack, sa kabilang banda, ay namula sa kanyang pagtatasa ng mga sistema ng pag-encrypt ng Mega. "Hindi ito ay hindi naisip na mabuti ang pangmatagalang solusyon sa integridad ng data, ngunit higit pa bilang isang solusyon sa isang tuhod-tuhod na isang bahagi ng diskarte sa merkado sa merkado."
"Maraming mas maaasahang pagpapatupad tulad ng Google Drive, Dropbox, o SkyDrive na nag-aalok ng isang mas matatag na solusyon sa imbakan, " sinabi ni Bodmer sa SecurityWatch .
Lahat ng Tungkol sa Pagpapanatiling Safe sa Kim
Ang isa sa mga puntos na nagbebenta ng Mega ay nag-aalok ito ng "end-to-end encryption, " kung saan ang data ay naka-encrypt bago ito ipinadala sa Mega, habang nakaupo ito sa Mega, at naka-decrypted lamang kapag nai-download ng isang gumagamit na may isang tiyak na cryptographic key. Ang ideya ay kahit na ang Mega ay na-hack o (mas malamang) na napilitang ibigay ang impormasyon sa pamamagitan ng pagpapatupad ng batas, ang iyong data ay magiging walang silbi at kahit na hindi nakikilala.
Ito ay kritikal dahil sa ilalim ng US Digital Millennium Copyright Act, maiiwasan ng isang website ang parusa sa pagho-host ng nilalaman na may copyright na nakikipagtulungan ito nang mabilis sa pagpapatupad ng batas upang maalis ito. Ang direktoryo ng Electronic Commerce ng EU ay naglalaman ng isang katulad na naisip na limitadong pag-aayos ng pananagutan. Para sa Mega, pinahihintulutan ng scheme ng pag-encrypt ang mga gumagamit na mag-imbak ng kanilang impormasyon sa isang naka-encrypt na form, ngunit pinapayagan din nito ang Dotcom at ang kanyang kumpanya na kabuuang kawalang-galang kapag ang mga pulis ay may katok.
Gayunpaman, iniulat ni Mega na hindi naka-encrypt ang impormasyon ng gumagamit. Sinabi ng mga eksperto na sinabi namin na kahit na ito ay hindi kinakailangan kakaiba - o kahit pabaya - karamihan ay gumawa ng koneksyon sa pakikipagtulungan sa pagpapatupad ng batas.
"Hindi pangkaraniwan, ngunit iminumungkahi na ang mga proteksyon ng cryptographic na kanilang ipinatupad ay may higit na protektahan ang Mega kaysa sa gumagamit ng serbisyo, " sabi ni Wisniewski. "Kung nais malaman ng pagpapatupad ng batas ng New Zealand tungkol sa pagmamay-ari ng file at impormasyon ng koneksyon ay makakaya si Mega at ipinapalagay namin na handang ibigay ang impormasyong iyon."
Sa isang sitwasyon kung saan ang mga gumagamit ng Mega ay naghahatid ng kanilang mga susi sa kriptograpya upang ibahagi ang mga file (na mayroon na sila) at ang pagpapatupad ng batas ay maaaring kumpirmahin na ang nilalaman ay nasa ilalim ng copyright, ang Mega ay may access sa impormasyon ng gumagamit. Ito ay maaaring payagan ang Mega na magkaroon ng parehong paraan; maaari silang manatiling bulag sa iligal na nilalaman sa kanilang system, ngunit maging isang "ligtas na daungan."
Sumang-ayon si Bodmer, na sinasabi, "Ang pag-aakala na maghurno sa mga sukatan upang mapagaan ang hinaharap na ligal na mga hamon ay parang isang lohikal na diskarte, gagawin ko ang parehong bagay kung ang aking huling pakikipagsapalaran ay natapos sa paraang ginawa nito."
Sinabi ni Alex Horan, security strategist sa CORE Security, na hindi nag-iisa si Mega sa paggawa ng mga hakbang upang maiwasan ang mga ligal na pag-aalalang. "Hindi ba maraming mga sistema na idinisenyo upang maprotektahan ang kumpanya mula sa paglilitis? Gusto kong magtaltalan na obligado si Mega na gawin iyon, " sinabi niya sa SecurityWatch .
"maaaring maging mas sensitibo dito kaysa sa average na tao dahil maaari niyang isipin ang kanyang bagong serbisyo ay masuri na mabuti, " patuloy ni Horan.
Ang Takeaway
Habang ang Mega ay tiyak na naka-encrypt ng impormasyon, ang iba pang mga aspeto ng operasyon nito ay tila may kaduda-dudang Ano ang pinaka nakakagambala, higit pa sa mga pagkabigo sa cryptographic at ipinamamahagi na mga sistema, ay kung paano ipinagbibili ang serbisyo. Dapat itong maging malinaw mula sa simula: hindi ito idinisenyo upang maprotektahan ka, dinisenyo upang maprotektahan ang mga ito .
Para sa higit pa mula sa Max, sundan mo siya sa Twitter @wmaxeddy.
