Página Inicial



twitter

Facebook

  Notícia
|

 

SEGUNDO ESPECIALISTAS, NOVO SERVIÇO ´MEGA´ NÃO É TÃO SEGURO QUANTO DIZ

23/01/2013

A nova aventura de Kim Dotcom, o recém-lançado serviço de armazenamento e compartilhamento de arquivos Mega, está recebendo críticas de pesquisadores de segurança que analisaram como o site protege os dados dos usuários. Basicamente eles aconselham: não confiem no serviço.

Dotcom deu uma grande festa de lançamento para o Mega no último domingo (19), em sua mansão. O serviço é o sucessor do Megaupload, o site de compartilhamento de arquivos pelo qual Dotcom e seus colegas foram acusados de violação de direitos autorais em 2012.

O audacioso Dotcom garante aos usuários do Mega que a criptografia do site protegerá a privacidade e os dados deles, mas a implementação do sistema é fundamentalmente falha, dizem os especialistas.

O Mega utiliza o SSL (Secure Sockets Layer), um protocolo amplamente utilizado para criptografia em toda a Internet, para proteger a conexão entre os computadores dos usuários e os dos próprios servidores. Uma vez que uma conexão SSL é feita, o Mega envia um código JavaScript para o navegador do usuário, que criptografa os arquivos da pessoa antes de os dados serem enviados para os servidores do serviço.

O problema é que o SSL, há muito tempo, é conhecido por ser um ponto fraco na web. Em 2009, o pesquisador de segurança Moxie Marlinspike criou uma ferramenta chamada sslstrip, que permite a um invasor interceptar e interromper uma conexão SSL. O cracker pode, então, espionar todos os dados que o usuário envia para o site falso.

Levando em conta que o Mega se baseia fundamentalmente em SSL, "não há realmente nenhuma razão para fazer a criptografia do cliente", disse Marlinspike em uma entrevista na segunda-feira (21/1). "Esse tipo de processo é vulnerável ​​a todos os problemas com SSL."

Alguém que ataca o Mega utilizando o sslstrip poderia enviar o seu próprio JavaScript malicioso para o navegador da vítima. O usuário inevitavelmente revelaria a sua senha, o que permitiria ao cracker decifrar todos os dados que a vítima armazenou no Mega.

Se os servidores do Mega forem comprometidos, também seria possível para um cracker entregar um JavaScript modificado e malicioso, disse Nadim Kobeissi, desenvolvedor do programa de mensagens instantâneas criptografadas Cryptocat.

"Toda vez que você abrir o site, o novo código de encriptação é enviado", disse Kobeissi. "Então, se um dia eu decidir que quero desativar toda a criptografia para você, eu simplesmente posso enviar ao seu usuário um código diferente, que não criptografa nada, e roubar todas as suas chaves".

Protegendo o usuário
Uma forma mais segura seria o Mega utilizar uma extensão assinada no navegador para criptografar os dados, o que impediria a violação do cracker, afirma Marlinspike. Alternativamente, um software cliente instalado teria o mesmo efeito, disse ele, sem expor o usuário às inseguranças do SSL.

Para Marlinspike, os usuários do Mega não se importam tanto com a segurança do serviço, uma vez que eles estão apenas interessados em compartilhar arquivos. Considerando que o Mega verá apenas dados criptografados em seus servidores, o procedimento aparece para absolver os fundadores do site de questões relacionadas à violação de direitos autorais do Megaupload.

"Tudo o que importa é que os operadores do Mega possam alegar que eles não têm a capacidade técnica para inspecionar o conteúdo no servidor a procura de violação de direitos autorais", disse Marlinspike.

Como qualquer novo serviço online, o código do Mega já está sendo criticado. No domingo, foi identificado que o site possuia uma falha de cross-site scripting (XSS), que em alguns casos pode permitir ao cracker roubar os cookies de um usuário - o que permitiria ao invasor um controle temporário sobre a conta da vítima.

A falha foi rapidamente corrigida. "O problema do XSS foi resolvido dentro de uma hora", escreveu Bram van der Kolk, um dos fundadores da Mega e do Megaupload, no Twitter, no domingo. "Boa observação, erro embaraçoso."
 
 
 
Fonte: Pcworld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar