:

Szerző: Dojcsák Dániel

2013. január 21. 12:38

Nem biztonságos Kim Dotcom új fájlmegosztója?

A hírhedt Kim Dotcom bemutatta új online fájltároló megoldását, amit most egyszerűen csak “Mega” névvel indított el. A szolgáltatás szombaton indult el, körülbelül egy évvel azután, hogy az amerikai hatóságok leállították a MegaUploadot.

A Mega legfontosabb képessége, hogy szigorú, minden lépést lefedő titkosítást használ a felhasználó számítógépétől kezdve a szerverig és vissza. Mindezt még tetézi azzal, hogy a fájlok minden esetben több országra szétszórva, redundánsan több szerveren helyezkednek el a további védelem érdekében. Az óvintézkedések láthatóan azért vannak, hogy elkerülhető legyen egy újabb, a Megaupload végét okozó razziához hasonló eset, amikor nem csak Kim Dotcom bukta el a szolgáltatását, de a felhasználók is az online tárolt adataikat.

Masszív érdeklődés az ingyen 50 gigabájtért

Az új szolgáltatás renoméja nem csökkent, sőt, az IT-bulvár híreket uraló Kim Dotcom, aki szinte szappanoperát gyártott az ellene folyó eljárásokból, a kiadatásból, csak plusz ismertségre tett szert. Dotcom a Mega elindulását Twitter-feedjében jelentette be, az indulás utáni egy óra alatt már több mint 100 ezer, két óra után pedig 250 ezer regisztrált felhasználója volt. Mostanra ez a szám milliós lehet, s folyamatosan lassulást lehet észlelni már a regisztrációnál is. Dotcom egy újabb twittjében írja, hogy masszív igény mutatkozik a Mega iránt, ez okozza a túlterheltséget, amitől ő nagyon boldog és köszönetet mond a felhasználóknak ezért. A sávszélesség terhelés gyakorlatilag azonnal, 10 perc alatt felszökött az indulás után nulláról 10 gigabit/s-re.

Vannak azonban problémák is a Mega körül, a ZDNet cikke arról számol be, hogy hiába a 128 bites AES titkosítás és a 2048 bites RSA kulcsinfrastruktúra, a szolgáltatás biztonsága nem garantált. Sőt, az ide feltöltött és védendő adatok esetében nem az a kérdés, hogy feltörhetőek-e, hanem az, hogy mikor töri fel valaki. A regisztrációs eljárás nagyon egyszerű, még arra sem kéri a felhasználót a rendszer, hogy a jelszavát egy újbóli begépeléssel erősítse meg.

A Mega fiók lelke minden esetben egy mesterjelszó lesz, ami egyszer adható meg és soha nem változtatható. Tehát, ha valaki elveszíti azt, akkor soha többé nem tud hozzáférni az adatokhoz, ha viszont valaki más hozzájut a jelszóhoz, akkor az onnantól kezdve bármikor hozzáfér a fiókhoz. A fiókok ráadásul nem is törölhetőek. Hiába az erős jelszavak, a rendszer módszertana nem nevezhető valóban biztonságosnak.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Amennyiben a Mega-felhasználók ellen irányuló adathalász akciók indulnak majd, akkor azok, akik bekapják a csalit, semmit nem tudnak utólag tenni az adataik védelme érdekében. Onnantól kezdve a fiókot feltörők teljes hozzáférést szerezhetnek, lementhetik vagy törölhetik a fájlokat, esetleg megfertőzhetik az állományokat kártékony programokkal. A szemfüles felhasználónak van esélye észrevenni a naplókból, hogy idegen IP-ről is beléptek a fiókba, de ha észre is veszi valaki a behatolást, akkor sem tud ellene semmit tenni, nem lehet letiltani hozzáféréseket, ahogyan mondjuk a Facebook vagy Google esetében teljesen normális az, hogy egyesével lehet visszavonni alkalmazásoknak és eszközöknek a hozzáférését.

Vigyázat!

Már most kiderült, hogy a Mega oldalán vannak olyan sebezhetőségek, amikkel cross-site scripting eljárással a támadó tud cookie-kat küldeni a felhasználó gépére, amivel megszerezheti a belépési azonosítókat. Ugyan az egyik nézőpontból Kim Dotcom egy internetes hős, szabadságharcos, de a másik oldalról mégis csak egy nemzetközi bűnöző, így senkinek nem ajánlott bármilyen fontos vagy értékes adatot betölteni a Mega tárterületére. A fájlmegosztó egyébként is valószínűleg az illegális fájlcsere melegágya lesz, ahogyan az előd Megaupload is az volt, akkor is, ha ezt nehéz hivatalosan bizonyítani. A Megaupload és korábban a Rapidshare is azzal védekezett, hogy a weben nyilvánvalóan látható warez felhasználás csak egy nagyon kis, elhanyagolható része a forgalomnak, de technikailag nehéz kiszűrni azokat. Aki nem biztos a dolgában, annak semmiképp nem javasoljuk a Mega használatát.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról