Zweifel an der Sicherheit von Kim Dotcoms Mega-Service

Kim Dotcoms mutiges neues Unternehmen, der Dateispeicher- und -freigabeservice Mega, zieht Kritik, da Sicherheitsforscher analysieren, wie die Website die Daten der Nutzer schützt. Kurz gesagt, sie raten: Traue ihnen nicht.

Während Mega-Beamte zugeben, dass sie "Neulinge" für JavaScript sind, die Programmiersprache, die Schlüsselelemente ihres Dienstes ausführt, sagen sie, dass ihre Website nicht verletzlicher als online ist Banking-Websites zum Angriff.

Dotcom warf eine große Launch-Party für Mega am Sonntag in seiner Villa außerhalb von Auckland. Der Dienst ist der Nachfolger von Megaupload, der Dateitauschsite, für die Dotcom und seine Kollegen im Januar 2012 in den USA wegen Urheberrechtsverletzungen angeklagt wurden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

MegaMega, der neue File-Sharing-Dienst von Kim Dotcom, wurde von Sicherheitsexperten kritisiert, aber Chefentwickler Bram van der Kolk (links) und CTO Mathias Ortmann (rechts) sagen, ihre Website sei nicht verletzlicher als Online-Banking-Websites

Der extravagante Dotcom versichert den Nutzern von Mega, dass die Verschlüsselung der Website ihre Privatsphäre und Daten schützen wird, aber die Implementierung dieses Verschlüsselungsschemas ist grundsätzlich fehlerhaft, behaupten Beobachter.

Mega verwendet SSL (Secure Sockets Layer) Verschlüsselung über das Internet zur Sicherung der Verbindung zwischen den Computern der Benutzer und den eigenen Servern. Sobald eine SSL-Verbindung hergestellt ist, sendet Mega JavaScript-Code an den Browser einer Person, der die Dateien der Person verschlüsselt, bevor die Daten an die Server von Mega gesendet werden.

Das Problem ist, dass SSL schon lange als Schwachstelle im Web erkannt wurde. Im Jahr 2009 entwickelte der Sicherheitsforscher Moxie Marlinspike ein Tool namens SSLstrip, mit dem ein Angreifer eine SSL-Verbindung abfangen und stoppen kann. Der Angreifer kann dann alle Daten ausspionieren, die der Benutzer an die gefälschte Website sendet.

Da Mega grundsätzlich auf SSL setzt, "gibt es wirklich keinen Grund für die clientseitige Verschlüsselung", sagte Marlinspike am Montag in einem Interview. "Diese Art von Schemata ist anfällig für alle Probleme mit SSL."

Jemand, der Mega mit SSLstrip angreift, könnte sein eigenes, benutzerdefiniertes, schädliches JavaScript an den Browser des Opfers senden. Der Benutzer würde sein Passwort unweigerlich preisgeben, was es dem Angreifer ermöglichen würde, alle seine mit Mega gespeicherten Daten zu entschlüsseln.

Mathias Ortmann, CTO von Mega, sagte in einem Interview am Montag, dass es eine Vielzahl von webbasierten Angriffen geben würde anfällig wie jede andere Website, die für die Sicherheit auf SSL angewiesen ist, beispielsweise für Online-Banking. Diese Szenarien sind auf Megas Website umrissen.

"Wenn sie sich die Mühe gemacht hätten zu lesen, hätten sie im Grunde genau gesagt, was sie uns als mögliche Angriffsvektoren beschuldigen, plus einige andere, die sie uns nicht vorwerfen ", Sagte Ortmann. "Alle diese SSL-bezogenen Angriffe gelten nicht speziell für uns. Sie gelten für Unternehmen mit gleich hohen Sicherheitsanforderungen oder sogar höheren Anforderungen. "

SSL wird durch verschlüsselte Sicherheitszertifikate unterstützt, die von autorisierten Unternehmen und Organisationen ausgestellt werden. Aber das Issuing-System wurde lange kritisiert, da Betrüger gültige Zertifikate für Websites erhalten konnten, die sie nicht besitzen.

Ortmann bestätigte, dass jemand versuchen könnte, eine Zertifizierungsstelle dazu zu verleiten, ein echtes SSL-Zertifikat für mega.co auszugeben. nz, die es dem Angreifer erlauben würde, eine gefälschte Mega-Website zu erstellen, die anscheinend über die richtigen Anmeldeinformationen verfügt.

In Anspielung auf die intensive Abneigung gegen Kim Dotcoms Mega-Unternehmen sagte Ortmann: "Ich erwarte tatsächlich, dass einige Regierungen eine haben mega.co.nz Schatten-Zertifikat ausgestellt an einem bestimmten Punkt und in einem Angriff verwendet. "Aber Mega wird regelmäßig nach nicht autorisierten SSL-Zertifikaten scannen, sagte er.

Mit freundlicher Genehmigung von Nadim KobeissDer neue File-Sharing-Dienst von Kim Dotcom, Mega, wurde von Leuten wie Nadim Kobeissi, dem Entwickler des verschlüsselten Instant-Messaging-Programms Cryptocat, kritisiert, wie Mega die Verschlüsselung implementiert.

Wenn Megas Server kompromittiert wären, würde es dies tun Außerdem könnte ein Angreifer modifiziertes, schädliches JavaScript liefern, sagte Nadim Kobeissi, Entwickler des verschlüsselten Instant-Messaging-Programms Cryptocat. Es wäre auch möglich, dass Mega selbst bösartigen Code ausliefert.

"Jedes Mal, wenn Sie die Website öffnen, wird der Verschlüsselungscode von Grund auf gesendet", sagte Kobeissi. "Wenn ich eines Tages entscheide, dass ich die gesamte Verschlüsselung für Sie deaktivieren möchte Ich kann Ihrem Benutzernamen einen anderen Code geben, der nichts verschlüsselt und stattdessen Ihre Verschlüsselungsschlüssel stiehlt. "

Ortmann stellte dagegen, dass Benutzer beim Herunterladen und Ausführen von Code immer ihrem Dienstanbieter vertrauen müssen. Da Megas JavaScript an den Browser gesendet wird, können die Benutzer den Code regelmäßig analysieren und sicherstellen, dass er vertrauenswürdig ist oder nicht. Wenn Mega das JavaScript manipulierte, "wäre es nachweisbar", sagte Ortmann.

Marlinspike sagte, ein sicherer Weg wäre für Mega, eine verschlüsselte Browser-Erweiterung zu verwenden, um die Daten zu verschlüsseln, was Manipulationen durch einen Angreifer verhindern würde. Alternativ würde ein installierter Software-Client das gleiche Ziel erreichen, sagte er, ohne einen Benutzer den Unsicherheiten von SSL auszusetzen.

Marlinspike sagte, er denke, dass Mega-Benutzer sich nicht so sehr um Sicherheit kümmern, da sie nur daran interessiert sind Datenaustausch. Da Mega nur verschlüsselte Daten auf ihren Servern sehen wird, scheint das Setup die Gründer der Website von den Urheberrechtsverletzungen von Megaupload zu befreien.

"Alles was zählt, ist, dass die Betreiber von Mega behaupten können, sie hätten nicht die technische Fähigkeit dazu Überprüfen Sie den Inhalt auf dem Server auf Urheberrechtsverletzungen ", sagte Marlinspike.

Wie jeder neue Online-Dienst wird auch der Code von Mega bereits angepriesen. Am Sonntag stellte sich heraus, dass die Website einen Cross-Site-Scripting-Fehler aufwies, der es einem Angreifer in bestimmten Fällen ermöglichen könnte, die Cookies eines Nutzers zu stehlen, was zumindest eine vorübergehende Übernahme des Kontos eines Opfers ermöglichen würde. Es wurde schnell behoben.

"Das XSS-Problem wurde innerhalb einer Stunde gelöst", schrieb Bram van der Kolk, Megas Chef-Programmierer, am Sonntag auf Twitter. "Sehr gültiger Punkt, peinlicher Fehler."

Ortmann erklärte: "Das Cross-Site-Scripting-Problem war mehr als peinlich. Das hätte nicht passieren dürfen. Das liegt daran, dass Bram und ich komplette JavaScript-Neulinge sind und dieses Verhalten niemals von einem Browser erwartet haben. Wir haben darüber diskutiert, aber wir haben es nicht getestet, das ist irgendwie peinlich. Das wurde nach 30 Minuten oder weniger als einer Stunde, nachdem es uns gemeldet wurde, behoben. "

Er sagte, dass Mega später auf der Webseite weitere Details veröffentlichen wird, die die von seinen Kritikern in Bezug auf die Sicherheit aufgeworfenen Punkte ansprechen.