Mega: fatos e análises

Publicado em 28/01/2013 às 14:50 | 16615 leituras

Até que ponto o Mega é seguro para os usuários do serviço?


Versão para impressão Enviar por email


Por Jürgen Schmidt

O serviço de armazenamento em nuvem Mega foi lançado na semana passada sem nenhuma análise detalhada de como funciona. O relato a seguir é baseado em observações iniciais e na própria documentação do serviço.


Criptografia



Detalhes específicos de como funciona a criptografia não estão disponíveis no momento. A documentação fornecida pelo Mega a este respeito também é limitada à sua utilidade. Parece que cada arquivo é criptografado utilizando uma chave AES separada. Essas teclas não são, de acordo com o Mega, transferidas para o servidor; ao invés disso, criptografia e descriptografia são executadas localmente por um aplicativo em execução no navegador.
A ideia não é nova - o Zerobin, por exemplo, utiliza um conceito semelhante para garantir que ele não possa ser responsabilizado por conteúdo do usuário em seus servidores. O Mega também emprestou o truque do Zerobin de incorporar as chaves em elementos-âncora no HTML. URLs do Mega assumem a forma:


https://mega.co.nz/#!12wlkJza!PRA-8y246I55pJUl-...


Toda a URL depois do # é um link interno para uma âncora dentro da página HTML. Âncoras internas deste tipo são sempre resolvidas localmente no navegador e não são enviadas para o servidor. Neste caso, 12wlkJza é claramente um índice para o arquivo e PRA 8y246I55pJUl-... é a chave associada.

No entanto, é alarmante que a uma das primeiras análises do serviço tenha revelado erros de principiante no uso de funções de criptografia. O Mega carrega código a partir de uma rede de distribuição de conteúdo (CDN) e verifica sua integridade, mas a função que utiliza para isso é de modo algum própria para este fim. Em vez de uma função hash como SHA256, o serviço utiliza o CBC-MAC para realizar esta verificação com uma chave codificada constante (111111, 222222, 333333, 444444 ...). Mas mesmo a página do Wikipedia afirma claramente que o CBC-MAC pode ser facilmente falsificado, se usado com uma chave conhecida.

Isso leva a uma situação na qual qualquer pessoa controlando um servidor CDN, ou qualquer pessoa que possa coagir outra com uma intimação ou algo similar, pode facilmente manipular o código armazenado lá. Erros de principiante como estes não é bom presságio para o restante da infraestrutura de criptografia do serviço.


Rastreamento


O modelo de criptografia é destinado principalmente a proteger o Mega de problemas legais. Se os promotores irão se impressionar com um provedor de armazenamento que se vale de medidas técnicas para ignorar o conteúdo em seus servidores é algo que ainda está por vir. Se o serviço pode conter vulnerabilidades de segurança que comprometem o conceito é algo que só se tornará conhecido após um exame aprofundado.
Quanto à vontade do Mega de cooperar com as investigações policiais destinadas a proteger seus usuários, isso ainda é apenas especulação. A ideia de que a empresa não é capaz de ajudar as autoridades a investigar em tais casos não procede. O Mega poderia, por exemplo, a qualquer momento, modificar o script carregado pelo navegador e enviar a chave usada para criptografar um servidor web. Este é um problema básico em todas as situações em que um programa que lida com manipulação de chave vem de uma fonte não confiável.

Além disso, embora o Mega declare que não exista uma forma de saber se os usuários estão armazenando conteúdo criminoso em sua nuvem, o ponto 8 dos termos de uso prevê a de-duplicação dos dados armazenados. Caso seja conhecido, por exemplo, que “Eva” usou o serviço para armazenar arquivos com relevância criminal, isto poderia levar a problemas para outros usuários.

Para efeitos de de-duplicação de dados, um servidor mantém listas de hashes dos blocos de dados armazenados recentemente. Se um usuário tentar armazenar um arquivo que tenha sido previamente carregado por outro usuário, eles são fornecidos com um link para o local de armazenamento existente. Isso poupa o usuário de ter que fazer o upload do arquivo e poupa o operador de ter que manter espaço de armazenamento para várias cópias do mesmo arquivo. Os problemas causados ​​pelo fato de que os dados são criptografados pode ser resolvido por meio de gerenciamento de chave inteligente.

O Mega seria, no entanto, capaz de determinar que “Walter” também teria uma cópia do arquivo problemático carregado por “Eva”. Também seria possível criar deliberadamente uma tal situação, a fim de procurar por um conteúdo específico. Se o Mega realmente implementou a de-duplicação de conteúdo é um fato ainda desconhecido. A empresa já havia prometido não implementar o recurso, mas por que manteria o direito de fazê-lo em seus termos de uso?


Qualidade


O serviço encontra-se atualmente ainda em fase beta. Não é, portanto, nenhuma grande surpresa se ​​os usuários descobrirem vulnerabilidades de cross-site scripting (XSS), como muitos, aliás, já descobriram. Pode ser possível explorar vulnerabilidades XSS para injetar código no navegador e comprometer as chaves. O fato da infraestrutura não ter sido capaz de lidar com a demanda inicial, do desempenho ter sido medíocre e de haver interrupções regulares no serviço também não surpreende.


Resumo


De um ponto de vista técnico, o Mega buscou algumas abordagens interessantes. Mesmo que ainda não seja possível dar um veredito definitivo sobre sua implementação na prática, uma coisa é clara - a ideia de que um serviço de armazenamento pode ser confiável só porque o usuário ou seus dados são protegidos por criptografia é completamente equivocada. E se Kim Dotcom ganhou o nível de confiança necessário para encabeçar a empreitada também é uma história à parte.

Fonte: Heise UK  

Comentários


Outras notícias

Livro sobre Métodos Ágeis disponibilizado livremente

Publicado em: 14/02/2019 às 15:20 | leituras |

"Scrum - Projetos Ágeis e Pessoas Felizes", de autoria de Cesar Brod, disponibilizado de forma livre (Creative Commons) para download e consulta.

Papo de SysAdmin vai lançar Club DevOps

Publicado em: 19/01/2019 às 17:53 | leituras |

Plataforma deverá ser ambiente para reciclagem e capacitação em tecnologias DevOps.

Assespro-PR é o mais novo parceiro de canal do LPI no Brasil

Publicado em: 18/12/2018 às 11:10 | leituras |

A Assespro-PR — Associação das Empresas Brasileiras de Tecnologia da Informação —, e o Linux Professional Institute – LPI, firmaram uma parceria que deverá beneficiar as empresas associadas à Assespro-PR, bem como contribuir para a profissionalização do mercado de Software Livre e de Código Aberto no Paraná.

Linux Developer Conference Brazil: faltam poucos dias!

Publicado em: 14/08/2018 às 11:57 | leituras |

Evento será realizado nas dependências da UNICAMP, em Campinas, nos dias 25 e 26 de agosto.

Leitor da Linux Magazine paga meia para entrar no FISL18

Publicado em: 06/07/2018 às 21:05 | leituras |

Parceria entre a ASL.org e a Linux Magazine disponibiliza código promocional que fornece 50% de desconto na inscrição para o FISL18.

DevOpsDays chega a Maringá pela primeira vez

Publicado em: 20/03/2018 às 18:25 | leituras |

O DevOpsDays terá sua sétima edição no Brasil sendo sediada na cidade de Maringá, no Paraná, dias 23 e 24 de março, no Sebrae. O evento acontece em mais de 40 países e nele foi criado o termo "DevOps" (em 2009, na cidade de Gante - Bélgica).

SENAI/Fatesg promove segundo Meeting Hacker Senai

Publicado em: 18/02/2018 às 12:47 | leituras |

No dia 24/02/2018 a partir das 8:00h, o SENAI/Fatesg realizará o segundo Meeting Hacker Senai, com a participação do LPI, da Infomach e da Barketilly.

Certificações LPI: o caminho para turbinar a sua carreira

Publicado em: 13/10/2017 às 15:50 | leituras |

O Linux Professional Institute (LPI) oferecerá provas de certificação na Latinoware, em Foz do Iguaçu, em outubro, na Poticon, em Natal e no FGSL em novembro. Fique antenado! Este artigo elenca as últimas novidades sobre o LPI.

Blog do maddog: Ambientes de nuvem privada virtual

Publicado em: 06/10/2017 às 14:09 | leituras |

O Subutai é uma solução de nuvem de código aberto, ponto a ponto (P2P), segura e estável, que cria ambientes de nuvem privada virtual (VPC) para usuários finais usando um modelo de nuvem de contêineres como serviço (CaaS). O usuário final pode instalar qualquer tipo de serviço, aplicativo ou software de infraestrutura que desejar nas máquinas em execução nessa nuvem.

Ambientes de nuvem privada virtual

Publicado em: 06/10/2017 às 13:23 | leituras |

O Subutai é uma solução de nuvem de código aberto, ponto a ponto (P2P), segura e estável, que cria ambientes de nuvem privada virtual (VPC) para usuários finais usando um modelo de nuvem de contêineres como serviço (CaaS). O usuário final pode instalar qualquer tipo de serviço, aplicativo ou software de infraestrutura que desejar nas máquinas em execução nessa nuvem.

4Linux abre vagas para Líder Técnico em São Paulo e Brasília

Publicado em: 25/07/2017 às 14:12 | leituras |

A 4Linux — uma empresa líder em soluções Open Source e em práticas DevOps — está procurando profissionais para trabalhar como gerente técnico, que tenha bons conhecimentos em Linux e Softwares Livres. São duas vagas: uma para trabalhar em Brasília e outra para São Paulo.

Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

Publicado em: 23/05/2017 às 10:35 | leituras |

O evento irá abordar a forte disseminação de sistemas Linux em toda a estrutura de informação e mostrará a importância de técnicos da área serem capazes de identificar rotas, especificar controles de acesso para usuários Linux e monitorar a atividade privilegiada do usuário ao longo da rede de informação e, especialmente, na complexidade da nuvem. Participantes poderão requerer gratuitamente os créditos de CPE (Continuing Professional Education).

Novas vagas para os minicursos do WikiLab

Publicado em: 16/05/2017 às 11:59 | leituras |

Novas vagas abertas para os minicursos do WikiLab. Todos que já apoiaram ou apoiarem o projeto WikiLab no Catarse (com qualquer valor) podem participar.

Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

Publicado em: 28/04/2017 às 11:19 | leituras |

Novo evento sobre Software Livre será realizado no Instituto de Estudos Superiores da Amazônia (IESAM).

Soluti Certificação Digital em busca de especialista Linux

Publicado em: 19/04/2017 às 17:18 | leituras |

A Soluti Certificação Digital está em busca de um profissional para atuar como especialista Linux em Goiânia.

Vaga para analista de TI com experiência em ECM/GED, BPM e BI

Publicado em: 16/12/2016 às 11:12 | leituras |

Renomada empresa de serviços de consultoria em TI, está em busca de um analista de TI para trabalhar em projetos de implementação de soluções ECM/GED, BPM e BI usando os sistemas Alfresco, Activiti, Bonita, Camunda e SpagoBI.

Nova versão do Scalix Groupware oferece suporte completo a IBM Power & IBM Mainframes

Publicado em: 14/12/2016 às 12:59 | leituras |

A nova versão dá liberdade de escolha às empresas para usar as tecnologias mais modernas oferecidas pelo mercado como base para sua solução de e-mail e colaboração

Software Livre e de Código Aberto: uma questão de economia, não de política

Publicado em: 12/11/2016 às 12:36 | leituras |

Os argumentos apresentados neste artigo são todos aspectos econômicos, e não aspectos políticos. Decisões baseadas em política (e não em economia) devem ser lembradas pelos eleitores nas próximas eleições.

Lançamento: E-book E-mail e Colaboração no Século XXI (grátis)

Publicado em: 29/09/2016 às 9:15 | leituras |

A Linux Magazine, em parceria com a Scalix Brasil e a Linux Solutions, acaba de lançar o novo ebook da série "Technology Report": E-mail e Colaboração no Século XXI. Baixe gratuitamente!

Oportunidade na 4Linux - Vaga para Brasília

Publicado em: 25/08/2016 às 9:58 | leituras |

A 4Linux, empresa de consultoria e treinamento especializada em tecnologia Open Source, está em busca de um profissional com o perfil de analista de infraestrutura Linux pleno, para atuar em Brasília.

Lançamento: E-book 101 dicas para usar o Linux como um Profissional (grátis)

Publicado em: 01/08/2016 às 8:19 | leituras |

Baixe gratuitamente o e-book "101 dicas para usar o Linux como um Profissional", contendo os principais conselhos para não se apertar no seu trabalho ao usar e configurar o sistema do pinguim.

Sicoob adota soluções de código aberto e triplica rede de associados

Publicado em: 19/07/2016 às 12:22 | leituras |

A partir do projeto, a empresa pôde substituir mais de 500 servidores físicos de pequeno porte, consolidando todas as transações em três mainframes e 15 máquinas Intel de alto desempenho (high end).

BrodTec é a nova revenda Scalix na Região Sul

Publicado em: 30/03/2016 às 11:20 | leituras |

No mês de março, a Scalix firmou parceria com a BrodTec para que a empresa seja o seu represente oficial no Rio Grande do Sul e em Santa Catarina.

Linux Professional Institute anuncia seu novo Diretor de Desenvolvimento Regional para o Brasil

Publicado em: 21/03/2016 às 18:51 | leituras |

Há muito tempo incentivando softwares livres e de código aberto, Cesar Brod é, agora, o responsável do instituto para ampliar a formação e certificação em Linux no Brasil.

ASL.Org lança campanha de doação para realizar o FISL17

Publicado em: 05/02/2016 às 21:20 | leituras |

A Associação Software Livre (ASL.Org) iniciou nesta quinta-feira (4) uma campanha de arrecadação de fundos para a continuidade de seus trabalhos, entre eles a organização da 17ª edição do Fórum Internacional Software Livre (FISL17), que acontece de 13 a 16 de julho em Porto Alegre.


Mais notícias


lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Soluti Certificação Digital em busca de especialista Linux

    Publicado em 19/04/2017 às 17:18 | 618063 leituras

  1. Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

    Publicado em 23/05/2017 às 10:35 | 535318 leituras

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 515944 leituras

  1. 4Linux abre vagas para Líder Técnico em São Paulo e Brasília

    Publicado em 25/07/2017 às 14:12 | 381598 leituras

  1. Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

    Publicado em 28/04/2017 às 11:19 | 325217 leituras

  1. Ferramentas de áudio para linha de comando [ATUALIZADO]

    Publicado em 07/07/2008 às 18:25 | 29718 leituras

  1. Sistema de monitoramento RHQ 4.2 lançado

    Publicado em 03/11/2011 às 11:35 | 17786 leituras

  1. Empresa usa "impressão digital" de dispositivo para bloquear ataques

    Publicado em 27/02/2013 às 16:33 | 13783 leituras

  1. Abertas inscrições para o seminário Red Hat Summit and JBoss World 2011

    Publicado em 04/02/2011 às 17:09 | 13805 leituras

  1. HP abandona o WebOS e imprime mudanças

    Publicado em 18/08/2011 às 18:25 | 16075 leituras

whitepapers

mais whitepapers