Informacje o nowych artykułach oraz akcjach edukacyjnych prosto na Twojej skrzynce e-mail!

Czy portal Mega jest bezpieczny? Okazuje się, że nie…

Zrobiło się dość spore zamieszanie związane z najnowszym serwisem Dotcom’a, który rzekomo miał być bezpieczny. Teraz okazuje się, że tak nie jest…

mega-home

Czy ktokolwiek z was miał dostęp do szczegółowych danych dotyczących sposobu zabezpieczenia plików publikowanych w serwisie Mega? Pewnie nie bo informacje dotyczące bezpieczeństwa w najnowszej usłudze Dotcom-a nie zostały nikomu udostępnione. Wszyscy tak jak i ja uwierzyli w słowne obietnice Kima na temat zaawansowanych systemów bezpieczeństwa oraz szyfrowania, które mają zapewnić prywatność każdemu internaucie, jaki założy konto na tym portalu. Jenak kilku wścibskich hakerów, postanowiło dokładniej przyjrzeć się budowie oraz kodzie serwisu Mega. Po krótkiej analizie doszli oni do zaskakujących wniosków…

Olbrzymi przekręt Kima Dotcom-a

Po analizie materiałów udostępnionych dla programistów można dowiedzieć się kilku bardzo ciekawych rzeczy na temat szyfrowania danych w serwisie Mega. Okazuje się, że każdy plik szyfrowany jest za pomocą oddzielnego klucza AES (Advanced Encryption Standard – tzw. symetryczny szyfr blokowy), a klucz ten przechowywany jest bezpośrednio u internauty. Cały proces deszyfracji oraz szyfrowania przeprowadzany jest więc z poziomu przeglądarki WWW, czyli na komputerze danego internauty. W wyniku takiego zabiegu, Mega właściwie nie może zostać w żaden sposób pozwane za rozpowszechnianie plików chronionych prawem autorskim.

Kiedy przyjrzymy się dokładnie budowie adresu URL, przekierowującego do jakiegoś pliku zamieszczonego w chmurze Mega to zauważymy w nim po znaku # klucz deszyfrujący. Wynika więc z tego, że klucze te są przesyłane w formie kotwicy. Wiadomo również, że odpowiedzialny za szyfrowanie kod usługi Mega pobierany jest z sieci dystrybucji treści (CDN), a następnie sprawdzana jest jego poprawność. W dość dobrze zabezpieczonych projektach proces ten odbywa się za pomocą funkcji języka PHP – SHA. Serwis Mega wykorzystuje jednak do tego celu kryptosystem CBC-MAC ze stałym kluczem! Co wiąże się z bardzo poważną dziurą w bezpieczeństwie, którą można wykorzystać do złamania zabezpieczeń portalu Dotcom’a!

Polega ona na tym, że na serwerze mogą znaleźć się dwa pliki o tej samej nazwie. Co jest bardzo prawdopodobne, bowiem wielu internautów może zamieścić plik windows8.iso w swojej chmurze czy jakikolwiek inny. Serwer więc zapisze listę skrótów kryptograficznych dla obecnych w systemie bloków danych. Dzięki, temu Mega nie będzie musiał dwa razy przechowywać tych samych plików, ale przy próbie wgrania kolejnego po prostu zmieni automatycznie łącze. Sytuacja ta może okazać się strzałem w stopę, nawet nie dla samego Dotcom-a (który dość dobrze siebie i swoją firmę zabezpieczył) ale zwykłych internautów korzystających z usług sequela Megaupload.

Jak zhakować Mega?

Możliwe są dwa sposoby. Możemy przejąć kontrolę nad serwerem CDN oraz przesłać internautom kod, który zdeszyfruje ich pliki. Po tym zabiegu jest już właściwie wszystko pozamiatane i wystarczy tylko wystosować odpowiednie pozwy prawne. Durgi sposób jest co prawda trochę bardziej złożony, ale równie skuteczny. Wystarczy bowiem wgrać na swoje konto plik na przykład o nazwie Windows8-Pro.iso, aby dowiedzieć się, czy ktoś posiada go już na swoim koncie. Kiedy tak będzie to, automatycznie dostaniemy link do tego pliku, a nasz nie zostanie wgrany na serwery Dotcom’a. Oczywiście link, który dostaniemy, będzie zawierał klucz deszyfrujący, o czym zresztą pisałem wcześniej. Potem to już prosta droga do rozprawy sądowej…

Jakie są zagrożenia?

Na blogu fail0verflow znalazłem bardzo ciekawe informacje dotyczące bezpieczeństwa portalu Mega, które zostały opublikowane przez hakera @marcana znanego z łamania zabezpieczeń Nintendo oraz Sony. Jego raport nie pozostawia suchej nitki na Dotcomie i serwisie Mega.

Jeżeli korzystacie z webowego interfejsu Mega (a na pewno korzystacie, bo na ten moment tylko taki jest dostępny) macie poważny problem. Wszystko to oparte jest na kodzie JavaScript, zabezpieczonym poprzez szyfrowanie SSL (Secure Socket Layer). To niestety wiąże się z kolejnymi dziurami. Serwer, na którym znajdują się część plików, zabezpieczony jest 2048-bitowym kluczem RSA, reszta danych pobierana jest jednak ze wspomnianego już serwera dystrybucji treści (CDN), który zabezpieczony jest 1024-bitowym kluczem RSA. Co więcej, serwer ten nie należy do Mega, ale firmy trzeciej mogły więc zostać złamane jego zabezpieczenia.

Co ciekawe, system CBC-MAC, o którym już pisałem wcześniej, ma dość dużą liczbę uchybień. Można o nich przeczytać, praktycznie wszędzie co nie wiąże się z dobrym zabezpieczeniem całego procesu pobierania danych, który przeprowadzany jest przy użyciu technologi Ajax.

To jednak nie koniec problemów. Praktycznie rzecz ujmując, wszystkie firmy „trzecie” odpowiedzialne za projekt Dotcoma, mogą bez większego problemu, zamieścić na waszych komputerach, wszystko to, co tylko chcą. Wasze zabezpieczenia, czyli program antywirusowy ani zabezpieczenia serwisu Mega niczego nie wykryją.

To jednak nie koniec…

Serwis Mega ma jeszcze kilka poważnych dziur między innymi z obsługą Unicode, funkcji języka JavaScript – math.random itd… Sam nawet nie jestem w stanie ogarnąć tych wszystkich uchybień, a jest ich, naprawdę sporo myślę, że kwestią czasu jest jakiś atak hakerski, chociaż z drugiej strony, kto by chciał atakować ten portal i samego Kima Dotcom-a on chyba jest ostatnim punktem na hakerskich listach…

Przypominam również, że obecnie na portalu Mega nie ma możliwości skasowania konta…

Spodobało się?

Jeśli tak, to zarejestruj się do newslettera aby otrzymywać informacje nowych artykułach oraz akcjach edukacyjnych. Gwarantuję 100% satysfakcji i żadnego spamowania!

, , , ,

Dodaj komentarz

Komentarze (5)

  • xMuszino pisze:

    Możecie zaktualizować ten wpis? w ciągu 7 lat wiele się zmeiniło

    • Łukasz Dudziński pisze:

      Hej, portal Mega obecnie jest mało popularny (przynajmniej jeśli chodzi o polski rynek). Nie wiem czy jest sens aktualizowania wpisu, ale mam pytanie jakie konkretne informacje były by tutaj do poprawy? Masz coś konkretnego na myśli?

      • Piotr pisze:

        Tak ja mam. Gdyż pobrałem morsowaniu z tej strony program i nie wiem czy jest to bezpieczne

  • Łuki pisze:

    „Sam nawet nie jestem w stanie ogarnąć tych wszystkich uchybień, a jest ich naprawdę sporo myślę, że kwestią czasu jest jakiś atak hakerski chodziarz z drugiej strony kto by chciał atakować ten portal i samego Kima Dotcom-a on chyba jest ostatnim punktem na hakerskich listach…”

    serio?
    nie powinno być „a jest ich naprawdę sporo i myślę, że kwestią czasu…”
    „chodziarz” :)
    Chyba poprawnie jest chociaż.

    • Hej Łukasz,

      Na początek, pozdrawiam imiennika :) a tak na poważnie to artykuł sprzed 10 lat. Nie jest on już aktualny, ale oczywiście poprawiłem wszystkie błędy (nie tylko te wskazane).

      Miłego!
      Łukasz Dudziński, autor bloga StrefaKodera.pl

Odpowiedz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Pin It on Pinterest