Slo-Tech - Spletna shramba Mega se ne ponaša le z nizko ceno, temveč uporabnikom zatrjuje, da so njihovi podatki šifrirani in da do njih ne more nihče, niti upravljavec (end-to-end encryption). V zadnjih letih je tako Mega zbrala več kot 250 milijonov uporabnikov, ki imajo shranjeni več kot 1000 PB podatkov. A zadnja razkritja raziskovalne skupine z ETH Zürich, ki jo sestavljajo Matilda Backendal, Miro Haller in Kenneth G. Paterson, kažejo, da trditve o neprebojnosti šifriranja ne držijo. Zaradi slabe implementacije je v resnici sorazmerno preprosto na silo obnoviti šifrirne ključe uporabnikov. Mega je obstoj ranljivosti priznala.
Raziskovalci ugotavljajo, da ima storitev Mega več ranljivosti, zaradi česar je občutljiva na pet različnih napadov, ki omogočajo nepooblaščen dostop do uporabniških datotek. Ključna sestavina varnosti je geslo, ki si ga izbere vsak uporabnik, in predstavlja osrednjo dostopno točko. Iz gesla lokalni odjemalec izračuna dva ključa: enega za preverjanje pristnosti uporabnika in drugega za šifriranje glavnega ključa (master key). Slednji potem odklepa ostale ključe za dejanski dostop. Raziskovalci so ugotovili, da se v tej hierarhiji integriteta ključev ne preverja zadostno, zato je možno uporabiti tudi neveljavne ključe. Izkaže se, da je možno po 512 prijavah ključ nepooblaščeno obnoviti. To se sicer sliši veliko, saj bi morala tarča vsakokrat vnesti svoje geslo, a v desetletju delovanja storitve to niti ni tako nemogoče. Skupno je napadov pet, poleg že opisanega RSA Key Recovery še Plaintext Recovery, Framing Attack, Integrity Attack in GaP-Bleichenbacher Attack.
Mega je izdala nekaj popravkov, ki pa po besedah raziskovalcev odpravljajo le najbolj pereče napake. Raziskovalci so jo na ranljivosti opozorili 24. marca in se dogovorili za 90-dnevno okno.
Novice » Zasebnost » Mega tako luknjičasta, da njeno šifriranje ni dosti vredno
_Denny_ ::
Te strani itak 99% ljudi ne uporablja zaradi šifriranja, pač pa zaradi polne hitrosti downloada wareza in filmčkov za odrasle, ker drugje brez accounta oz. s free accountom omejujejo na absurd tipa 25-100KB/s ter zaradi najboljšega razmerja $/TB v primerjavi z ostalimi ponudniki.
Se pa že vidi tudi kako vse ni čisto ok po tem, da se recimo pri kliku na "Import to MEGA" namesto dejanskega kopiranja fajla na lasten account in ponovnega šifriranja s svojim ključem naredi samo nek link do originala. Tega seveda nikjer ne oglašujejo in po nekaj deset GB importiranih posnetkov ugotoviš kako večina stvari sploh ni več uporabna, ker so originali šli pod DMCA takedown oz. so bili na nek drug način izbrisani.
Se pa že vidi tudi kako vse ni čisto ok po tem, da se recimo pri kliku na "Import to MEGA" namesto dejanskega kopiranja fajla na lasten account in ponovnega šifriranja s svojim ključem naredi samo nek link do originala. Tega seveda nikjer ne oglašujejo in po nekaj deset GB importiranih posnetkov ugotoviš kako večina stvari sploh ni več uporabna, ker so originali šli pod DMCA takedown oz. so bili na nek drug način izbrisani.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
Gregor P ::
Drži, to stran zagotovo ne greš uporabljati, ker bi si želel varno naložiti zaupne dokumente tvojega podjetja
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
dexterboy ::
A to so tisti zaupni dolumenti, ki jih ima tajnica na USB ključku v nezaklenjenem predalu?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
c3p0 ::
A to so tisti zaupni dolumenti, ki jih ima tajnica na USB ključku v nezaklenjenem predalu?
Ne, na javno exposanem http serveru z enablanim directoryindex v podmapi /Dokumenti (da direktor lahko na terenu kaj preveri).
Zgodovina sprememb…
- spremenil: c3p0 ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Napad na pomnilnik Rowhammer omogoča krajo šifrirnih ključevOddelek: Novice / Znanost in tehnologija | 4440 (2683) | MrStein |
» | Raziskovalci odklenili iPhone 5C za sto dolarjevOddelek: Novice / Varnost | 10415 (6424) | MrStein |
» | Razlika med encr. key na USB in uporabo TPMOddelek: Informacijska varnost | 2576 (1976) | Mr.B |
» | Nova anketa: ali šifrirate podatke na svojem disku? (strani: 1 2 )Oddelek: Novice / Ankete | 17996 (12547) | matijadmin |
» | Strojni trojanci na integriranih vezjihOddelek: Novice / Varnost | 22156 (17105) | poweroff |