Kim Dotcom의 메가 서비스 보안에 대한 의문

김 Dotcom의 대담한 새로운 사업 인 파일 저장 및 공유 서비스 인 Mega는 보안 연구원이 사이트에서 사용자의 데이터를 보호하는 방법을 분석하여 비판을 받고있다. 간단히 말해, 그들은 신뢰하지 말라는 충고를한다.

메가 관계자는 자바 스크립트에 "초보자"라고 인정하지만, 프로그래밍 언어는 서비스의 주요 요소를 실행하는 데 사용되며 웹 사이트는 온라인보다 취약하지 않다 뱅크가 공격하기 시작했다.

도트 컴은 오클랜드 외곽의 맨션에서 일요일 대형 메가 트 런치 파티를 열었다. 이 서비스는 2012 년 1 월 미국에서 Dotcom과 그의 동료가 저작권 침해 혐의로 기소 한 파일 공유 사이트 인 Megaupload의 후계자입니다.

[추가 정보: Windows PC에서 악성 코드 제거 방법]

Kim Dotcom의 새로운 파일 공유 서비스 인 MegaMega는 보안 전문가들로부터 비난을 받았지만, Bram van der Kolk (왼쪽) 및 CTO 인 Mathias Ortmann (오른쪽)은 온라인 뱅킹 웹 사이트보다 취약한 사이트가 아니라고 말했습니다.

화려한 Dotcom은 Mega의 사용자가 사이트의 암호화가 개인 정보와 데이터를 보호 할 것이라 확신하지만, 암호화 스키마의 구현에는 근본적으로 결함이 있다고 Mega는 널리 사용되는 프로토콜 인 SSL (Secure Sockets Layer)을 사용합니다. 사용자의 컴퓨터와 자체 서버 간의 연결을 보안하기 위해 인터넷을 통한 암호화. SSL 연결이 이루어지면 Mega는 자바 스크립트 코드를 사람의 브라우저로 보내고, 데이터를 메가 서버로 보내기 전에 그 사람의 파일을 암호화합니다.

문제는 SSL이 오랫동안 웹의 약점으로 인식되어 왔다는 것입니다. 2009 년 보안 연구원 Moxie Marlinspike는 SSLstrip이라는 도구를 만들었습니다.이 도구는 공격자가 SSL 연결을 가로 채서 중지 할 수있게합니다. 공격자는 사용자가 가짜 웹 사이트에 보낸 모든 데이터를 감시 할 수 있습니다. 메가는 근본적으로 SSL에 의존하기 때문에 "클라이언트 측 암호화를 수행 할 이유는 없습니다"라고 월요일 인터뷰에서 말했습니다. "이러한 종류의 계획은 SSL의 모든 문제에 취약합니다."

SSL 스트립을 사용하여 메가를 공격 한 사용자는 악의적 인 JavaScript를 피해자의 브라우저로 보낼 수 있습니다. 사용자는 자신의 암호를 공개해야하며, 이로 인해 공격자가 메가로 저장된 모든 데이터의 암호를 해독 할 수 있습니다.

Mega 's Ortmann, Mega의 CTO는 월요일 인터뷰에서 메가가 될 다양한 웹 기반 공격이 있다고 말했습니다 온라인 뱅킹과 같이 보안을 위해 SSL에 의존하는 다른 사이트와 마찬가지로 취약합니다. 그 시나리오는 메가 사이트에서 개략적으로 설명되어있다. "

"그들이 우리를 비난하지 않을 가능성이있는 공격 벡터와 어떤 다른 것들을 우리에게 비난하고 있다는 것을 기본적으로 진술 한 것을 보았을 것 " "오트만은 말했다. "이러한 SSL 관련 공격은 모두 우리에게 특별히 적용되지 않습니다. 이는 보안 요구 사항이 동일하거나 더 높은 요구 사항을 가진 회사에 적용됩니다. "

SSL은 권한이 부여 된 회사 및 조직에서 발급 한 암호화 된 보안 인증서로 뒷받침됩니다. 그러나 사기범은 자신이 소유하지 않은 웹 사이트에 대한 유효한 인증서를 얻을 수 있었기 때문에 오랫동안 비난을 받아 왔습니다. Ortmann은 인증 기관이 mega.co.kr에 실제 SSL 인증서를 발급하도록 속일 수 있음을 인정했습니다. nz는 공격자가 적절한 자격 증명을 가진 것으로 보이는 가짜 메가 웹 사이트를 만들 수있게합니다.

Kim Dotcom의 메가 엔터프라이즈의 강렬한 혐오에 대한 고개에서 Ortmann은 "실제로 어떤 정부는 메가 닷컴 섀도우 인증서가 어떤 시점에서 발급되어 공격에 사용된다 "고 말했다. 그러나 메가는 주기적으로 무단 SSL 인증서를 스캔 할 것이라고 그는 말했다.

Nadim Kobeiss의 호의 Kim Dotcom의 새로운 파일 공유 서비스 인 Mega는 Mega가 암호화를 구현하는 방법에 대해 암호화 된 인스턴트 메시징 프로그램 Cryptocat의 개발자 인 Nadim Kobeissi를 비롯한 사람들이 비판했습니다.

Mega의 서버가 손상되면 암호화 된 인스턴트 메시징 프로그램 인 크립 코트 (Cryptocat)의 개발 업체 인 Nadim Kobeissi는 공격자가 수정 된 악성 JavaScript를 제공 할 수도 있다고 설명했다. 메가 자체가 악의적 인 코드를 전달하는 것도 가능할 것입니다. ""웹 사이트를 열 때마다 암호화 코드가 처음부터 전송됩니다 "라고 Kobeissi는 말했습니다."언젠가는 모든 암호화가 비활성화되도록 결정합니다. 오그 먼은 코드를 다운로드하고 실행할 때 사용자가 항상 자신의 서비스 공급자를 신뢰하도록 강요한다고 반박했습니다. "

오트만은 사용자 이름을 암호화하고 코드를 훔치지 않고 코드를 훔치지 않는 다른 코드만을 제공 할 수 있습니다. Mega의 JavaScript가 브라우저에 전송되기 때문에 사람들은 정기적으로 코드를 분석하고 신뢰할 수 있는지 여부를 확인할 수 있습니다. 오를 만은 메가가 자바 스크립트를 변조 한 경우 "탐지 할 수있다"고 말하면서, 메리가 서명 된 브라우저 확장을 사용하여 데이터를 암호화하는 것이 더 안전한 방법이라고 말했다. 그가 말한 바에 따르면, SSL 클라이언트의 보안에 대한 관심이 없기 때문에 설치된 소프트웨어 클라이언트는 동일한 목적을 달성 할 수 있다고 그는 덧붙였다. Marlinspike는 메가 사용자가 근본적으로 보안에 관심이 없다고 근본적으로 생각하지 않는다고 말했다. 파일 공유. 메가는 서버에서 암호화 된 데이터 만 볼 것이기 때문에 사이트 설립자가 Megaupload의 저작권 침해 문제에서 벗어날 수 있습니다.

"중요한 것은 메가 운영자가 기술적 능력이 없다고 주장 할 수 있다는 것입니다. Marlinspike는 서버상의 내용을 조사하여 저작권 침해를 조사하고있다 "고 말했다. 새로운 온라인 서비스와 마찬가지로 메가의 코드는 이미 쏟아져 나오고있다. 일요일에 사이트에 사이트 간 스크립팅 결함이있는 것으로 밝혀졌으며, 경우에 따라 공격자가 사용자의 쿠키를 훔쳐서 피해자의 계정을 임시로 넘겨받을 수 있습니다. XSS 문제는 한시간 내에 해결됐다. "메가의 수석 프로그래머 인 Bram van der Kolk는 일요일 트위터에 썼다. Ortmann은 "크로스 사이트 스크립팅 문제는 당혹 스러울뿐입니다. 그렇게해서는 안된다. 이것은 Bram과 제가 완전한 자바 스크립트 초보자이며 브라우저에서이 동작을 기대 한 적이 없기 때문에 가능합니다. 우리는 실제로 그것을 논의했지만 우리는 그것을 테스트하지 않았기 때문에 당혹 스럽습니다. 메가는 보안에 관해 비평가들이 제기 한 요지를 다루는 웹 사이트에서 메가가 오늘 더 자세한 내용을 올릴 것이라고 말했다.