Kim Dotcom: The Man Behind Megaupload
Liên doanh táo bạo mới của Kim Dotcom, dịch vụ lưu trữ và chia sẻ Mega, đang chỉ trích những nhà nghiên cứu bảo mật phân tích cách trang web bảo vệ dữ liệu của người dùng. Trong ngắn hạn, họ khuyên: đừng tin tưởng nó.
Trong khi các quan chức Mega thừa nhận họ là "người mới" đối với JavaScript, ngôn ngữ lập trình được sử dụng để thực thi các yếu tố chính của dịch vụ của họ, họ nói rằng trang web của họ không dễ bị tổn thương hơn trực tuyến Các trang web ngân hàng tấn công.
Dotcom đã tổ chức một bữa tiệc khai trương lớn cho Mega vào Chủ nhật tại dinh thự của mình bên ngoài Auckland. Dịch vụ này là người kế thừa Megaupload, trang chia sẻ tệp mà Dotcom và các đồng nghiệp của anh đã bị truy tố ở Mỹ vào tháng 1 năm 2012 về phí vi phạm bản quyền.
[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]
Vấn đề là SSL từ lâu đã được công nhận là điểm yếu trên web. Năm 2009, nhà nghiên cứu bảo mật Moxie Marlinspike đã tạo ra một công cụ gọi là SSLstrip, cho phép kẻ tấn công chặn và chặn kết nối SSL. Kẻ tấn công sau đó có thể theo dõi bất kỳ dữ liệu nào người dùng gửi tới trang web giả mạo.
Vì Mega cơ bản dựa vào SSL, "thực sự không có lý do gì để thực hiện mã hóa phía máy khách", Marlinspike cho biết trong một cuộc phỏng vấn hôm thứ Hai. “Những kiểu lược đồ này dễ bị tổn thương với tất cả các vấn đề với SSL.”
Người tấn công Mega bằng SSLstrip có thể gửi JavaScript độc hại tùy chỉnh của riêng họ đến trình duyệt của nạn nhân. Người dùng chắc chắn sẽ tiết lộ mật khẩu của mình, điều này sẽ cho phép kẻ tấn công giải mã tất cả các dữ liệu được lưu trữ với Mega.
Mathias Ortmann, CTO của Mega, cho biết trong một cuộc phỏng vấn hôm thứ Hai rằng có rất nhiều cuộc tấn công dựa trên web mà Mega sẽ dễ bị tổn thương giống như bất kỳ trang web nào khác dựa trên SSL để bảo mật, chẳng hạn như cho ngân hàng trực tuyến. "Nếu họ đã bực mình để đọc rằng họ sẽ thấy rằng chúng tôi về cơ bản nhà nước chính xác những gì họ đang cáo buộc chúng tôi như là các vector tấn công có thể cộng với một số người khác họ không buộc tội chúng ta về ", Ortmann nói. “Tất cả các cuộc tấn công liên quan đến SSL này không áp dụng cụ thể cho chúng tôi. Chúng được áp dụng cho các công ty có yêu cầu bảo mật cao hoặc thậm chí yêu cầu cao hơn. ”
SSL được củng cố bằng chứng chỉ bảo mật được mã hóa do các công ty và tổ chức có thẩm quyền cấp. Tuy nhiên, hệ thống phát hành từ lâu đã bị chỉ trích vì những kẻ lừa đảo đã có thể nhận được chứng chỉ hợp lệ cho các trang web mà họ không sở hữu.
Ortmann thừa nhận rằng ai đó có thể lừa một cơ quan cấp chứng chỉ phát hành chứng chỉ SSL thực cho mega.co. nz, điều đó sẽ cho phép kẻ tấn công tạo ra một trang web giả mạo có vẻ như có thông tin đăng nhập hợp lý.
Trong một cái gật đầu với sự không thích mãnh liệt của doanh nghiệp Mega của Kim Dotcom, Ortmann nói, "Tôi thực sự mong đợi một số chính phủ có mega.co.nz shadow certificate được cấp tại một số điểm và được sử dụng trong một cuộc tấn công. ”Nhưng Mega sẽ định kỳ quét các chứng chỉ SSL trái phép, ông nói.Dịch vụ chia sẻ tập tin mới từ Kim Dotcom, Mega, đã bị chỉ trích bởi những người bao gồm Nadim Kobeissi, nhà phát triển chương trình nhắn tin tức thời mã hóa Cryptocat, để Mega thực hiện mã hóa như thế nào. cũng có thể cho một kẻ tấn công để cung cấp sửa đổi, độc hại JavaScript, cho biết Nadim Kobeissi, nhà phát triển của chương trình tin nhắn tức thời mã hóa Cryptocat. Nó cũng sẽ có thể cho Mega tự cung cấp mã độc.
“Mỗi khi bạn mở trang web, mã hóa được gửi từ đầu,” Kobeissi nói “Vì vậy, nếu một ngày tôi quyết định tôi muốn vô hiệu hóa tất cả mã hóa cho bạn, Tôi chỉ có thể phục vụ tên người dùng của bạn mã khác mà không mã hóa bất cứ thứ gì và thay vào đó đánh cắp các khóa mã hóa của bạn. ”
Ortmann phản đối rằng người dùng luôn bị buộc phải tin tưởng nhà cung cấp dịch vụ khi tải xuống và chạy mã. Vì JavaScript của Mega được gửi đến trình duyệt, mọi người sẽ có thể thường xuyên phân tích mã và đảm bảo mã đó đáng tin cậy hay không. Nếu Mega giả mạo JavaScript, “nó có thể phát hiện được”, Ortmann nói.
Marlinspike nói rằng một cách an toàn hơn là Mega sử dụng phần mở rộng trình duyệt đã được ký để mã hóa dữ liệu, điều này sẽ ngăn cản kẻ tấn công giả mạo. Ngoài ra, một khách hàng phần mềm được cài đặt sẽ hoàn thành cùng một kết thúc, ông nói, mà không phơi bày một người dùng với sự bất an của SSL.
kiểm tra nội dung trên máy chủ để vi phạm bản quyền, ”Marlinspike nói.
Giống như bất kỳ dịch vụ trực tuyến mới nào khác, mã của Mega đã được cài đặt sẵn. Vào ngày Chủ nhật, nó đã được tiết lộ trang web có một lỗ hổng kịch bản cross-site, trong một số trường hợp có thể cho phép kẻ tấn công ăn cắp cookie của người dùng, điều này sẽ cho phép ít nhất một sự chiếm đoạt tạm thời tài khoản của nạn nhân. Nó đã được khắc phục nhanh chóng.
"Vấn đề XSS đã được giải quyết trong vòng một giờ", Bram van der Kolk, lập trình viên chính của Mega, phát biểu trên Twitter vào hôm Chủ nhật. “Điểm rất hợp lệ, lỗi lúng túng.”
Ortmann đã nói thêm: “Vấn đề về kịch bản cross-site còn đáng xấu hổ hơn. Điều đó không nên xảy ra. Điều này thực sự là do thực tế là Bram và tôi là những người mới sử dụng JavaScript hoàn toàn và chưa bao giờ mong đợi hành vi này bởi một trình duyệt. Chúng tôi thực sự đã thảo luận về nó, nhưng chúng tôi đã không thử nghiệm nó, vì vậy đó là loại xấu hổ. Điều đó đã được sửa sau 30 phút hoặc ít hơn một giờ sau khi nó được báo cáo cho chúng tôi. ”
Anh ấy nói Mega sẽ đăng thêm thông tin chi tiết sau ngày hôm nay trên trang web giải quyết các điểm được đưa ra bởi các nhà phê bình liên quan đến an ninh.
Bảo mật là mối quan tâm số một được trích dẫn bởi Các nhà quản lý CNTT khi họ nghĩ về triển khai đám mây, tiếp theo là hiệu năng, tính khả dụng và khả năng tích hợp các dịch vụ đám mây với CNTT trong nhà, theo nghiên cứu của IDC. thực tế về mức độ bảo mật mà họ đạt được trong doanh nghiệp của riêng họ và cách mà nó có thể so sánh với nhà cung cấp dịch vụ đám mây như Amazon Web Services hoặc Salesforce.com, người nói ở đây cho biết.
[ĐọC thêm: Các dịch vụ truyền hình trực tuyến tốt nhất]
Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window
Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.
Dotcom đã gợi ý vài tháng qua Twitter phiên bản trang web nổi tiếng của anh đang trên đường. “MEGA sẽ trở lại. Lớn hơn. Tốt hơn. Nhanh hơn. Miễn phí và bảo vệ khỏi các cuộc tấn công, ”Dotcom cho biết trong tháng Bảy. Ông đã theo dõi vài tuần sau đó với lời hứa rằng Mega mới sẽ “an toàn 100% và không thể ngăn cản”.
Dotcom đã tự tạo cho mình một phong cách cách mạng kể từ khi mất công ty và phải đối mặt với sự dẫn độ từ New Zealand đến Mỹ. gian lận, vi phạm bản quyền, rửa tiền và các khoản phí khác. Người sáng lập MegaUpload thậm chí đã phát hành một video âm nhạc kêu gọi mọi người tham gia cùng anh ta trong việc thực hiện các chính phủ và lợi ích doanh nghiệp trên thế giới đang cố gắng kiểm soát Internet.