c.m.g
05-09-2013, 08:44
giovedì 5 settembre 2013di Alfonso Maruccia
Un ricercatore di sicurezza identifica una falla nel codice JavaScript del popolare cyber-locker, e il team di MEGA risponde: il problema è intrinseco e già noto, ecco le possibili soluzioni
Roma - MEGA finisce ancora una volta (http://http://punto-informatico.it/3714765/PI/News/bug-mega-poca-cosa.aspx) sotto la lente di ingrandimento degli esperti di cyber-sicurezza, e nel caso in oggetto un ricercatore ha sviluppato un bookmarklet in JavaScript grazie al quale è possibile accedere alla "master key" di un account utente registrato sul servizio fondato da Kim Dotcom.
MEGApwn (http://http://nzkoz.github.io/MegaPWN/), questo il nome del bookmarklet - pensato per l'uso in congiunzione con un browser web - è stato creato con l'obiettivo di chiarire una volta per tutte ai "novizi" che la crittografia basata su codice JavaScript non è sicura: MEGA ha la nomea di essere un servizio rispettoso della privacy e della sicurezza degli utenti, ma una volta eseguito MEGApwn su un PC su cui è stato effettuato il login su MEGA la chiave crittografica dell'utente non ha più segreti.
La master key usata dal cyber-locker non è cifrata (http://http://torrentfreak.com/new-browser-tool-claims-to-reveal-mega-user-master-key-130903/), sostiene lo sviluppatore di MEGApwn, e basta avere accesso al PC dell'utente per accedere alla chiave corrispondente. Anche MEGA, spiega il ricercatore, potrebbe in teoria ottenere la chiave di ogni singolo utente per decriptare tutti i suoi file. La situazione sarebbe molto diversa, spiega ancora lo sviluppatore, se l'utente criptasse i dati - con PGP o software similari - prima di spedirli online sui server di MEGA o di qualsiasi altro cyber-locker.La ricerca di Michael Koziarski ha aperto l'ennesimo dibattito sulla effettiva sicurezza crittografica fornita da MEGA, un dibattito che il fondatore Dotcom accoglie favorevolmente (http://https://twitter.com/KimDotcom/status/375018567663898625) perché più si discute, più è possibile educare gli utenti di Internet (http://https://twitter.com/KimDotcom/status/375020768452968448) e migliorare la sicurezza di MEGA.
La risposta ufficiale proveniente dal team del cyber-locker ammette (http://https://mega.co.nz/#blog_21) l'esistenza del problema - che però è strutturale, visto che basta avere accesso a un PC per sconfiggere qualsiasi tipo di protezione - che si tratti MEGA o di qualsiasi altro servizio, poco importa. In alternativa, suggeriscono i tecnici, si possono anche adottare delle tecnologie (come il plugin di MEGA stessa o un software sviluppato da terze parti) per far girare in locale il codice e non offrire il fianco a questo tipo di intercettazione: ma, ribadiscono, non c'è motivo di ritenere il Javascript "il" problema.
Alfonso Maruccia
Fonte: Punto Informatico (http://http://punto-informatico.it/3883492/PI/News/mega-master-key-fuori-dal-codice.aspx)
Un ricercatore di sicurezza identifica una falla nel codice JavaScript del popolare cyber-locker, e il team di MEGA risponde: il problema è intrinseco e già noto, ecco le possibili soluzioni
Roma - MEGA finisce ancora una volta (http://http://punto-informatico.it/3714765/PI/News/bug-mega-poca-cosa.aspx) sotto la lente di ingrandimento degli esperti di cyber-sicurezza, e nel caso in oggetto un ricercatore ha sviluppato un bookmarklet in JavaScript grazie al quale è possibile accedere alla "master key" di un account utente registrato sul servizio fondato da Kim Dotcom.
MEGApwn (http://http://nzkoz.github.io/MegaPWN/), questo il nome del bookmarklet - pensato per l'uso in congiunzione con un browser web - è stato creato con l'obiettivo di chiarire una volta per tutte ai "novizi" che la crittografia basata su codice JavaScript non è sicura: MEGA ha la nomea di essere un servizio rispettoso della privacy e della sicurezza degli utenti, ma una volta eseguito MEGApwn su un PC su cui è stato effettuato il login su MEGA la chiave crittografica dell'utente non ha più segreti.
La master key usata dal cyber-locker non è cifrata (http://http://torrentfreak.com/new-browser-tool-claims-to-reveal-mega-user-master-key-130903/), sostiene lo sviluppatore di MEGApwn, e basta avere accesso al PC dell'utente per accedere alla chiave corrispondente. Anche MEGA, spiega il ricercatore, potrebbe in teoria ottenere la chiave di ogni singolo utente per decriptare tutti i suoi file. La situazione sarebbe molto diversa, spiega ancora lo sviluppatore, se l'utente criptasse i dati - con PGP o software similari - prima di spedirli online sui server di MEGA o di qualsiasi altro cyber-locker.La ricerca di Michael Koziarski ha aperto l'ennesimo dibattito sulla effettiva sicurezza crittografica fornita da MEGA, un dibattito che il fondatore Dotcom accoglie favorevolmente (http://https://twitter.com/KimDotcom/status/375018567663898625) perché più si discute, più è possibile educare gli utenti di Internet (http://https://twitter.com/KimDotcom/status/375020768452968448) e migliorare la sicurezza di MEGA.
La risposta ufficiale proveniente dal team del cyber-locker ammette (http://https://mega.co.nz/#blog_21) l'esistenza del problema - che però è strutturale, visto che basta avere accesso a un PC per sconfiggere qualsiasi tipo di protezione - che si tratti MEGA o di qualsiasi altro servizio, poco importa. In alternativa, suggeriscono i tecnici, si possono anche adottare delle tecnologie (come il plugin di MEGA stessa o un software sviluppato da terze parti) per far girare in locale il codice e non offrire il fianco a questo tipo di intercettazione: ma, ribadiscono, non c'è motivo di ritenere il Javascript "il" problema.
Alfonso Maruccia
Fonte: Punto Informatico (http://http://punto-informatico.it/3883492/PI/News/mega-master-key-fuori-dal-codice.aspx)