किम डॉटकॉम की मेगा सेवा की सुरक्षा पर संदेह डाला

किम डॉटकॉम का बोल्ड नया उद्यम, फाइल स्टोरेज और साझा करने वाली सेवा मेगा, आलोचना कर रही है क्योंकि सुरक्षा शोधकर्ता विश्लेषण करते हैं कि साइट उपयोगकर्ताओं के डेटा की सुरक्षा कैसे करती है। संक्षेप में, वे सलाह देते हैं: इस पर भरोसा न करें।

जबकि मेगा अधिकारी मानते हैं कि वे जावास्क्रिप्ट में "नए लोग" हैं, प्रोग्रामिंग भाषा उनकी सेवा के प्रमुख तत्वों को निष्पादित करने के लिए उपयोग की जाती है, उनका कहना है कि उनकी वेबसाइट ऑनलाइन से अधिक कमजोर नहीं है बैंकिंग साइट पर हमला करने के लिए।

डॉटकॉम ने ऑकलैंड के बाहर अपने हवेली में रविवार को मेगा के लिए एक बड़ी लॉन्च पार्टी फेंक दी। सेवा मेगाउपलोड का उत्तराधिकारी है, फ़ाइल साझा करने वाली साइट जो डॉट कॉम और उनके सहयोगियों को जनवरी 2012 में कॉपीराइट उल्लंघन शुल्क पर अमेरिका में दोषी ठहराया गया था।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

किम डॉटकॉम की नई फाइल-शेयरिंग सेवा मेगामेगा की सुरक्षा विशेषज्ञों ने आलोचना की है, लेकिन मुख्य प्रोग्रामर ब्रैम वैन डेर कोलकाता (बाएं) और सीटीओ माथीस ऑर्टमैन (दाएं) कहते हैं कि उनकी साइट ऑनलाइन बैंकिंग वेबसाइटों की तुलना में अधिक कमजोर नहीं है।

चमकदार डॉट कॉम मेगा के उपयोगकर्ताओं को आश्वस्त कर रहा है कि साइट की एन्क्रिप्शन उनकी गोपनीयता और डेटा की रक्षा करेगी, लेकिन उस एन्क्रिप्शन योजना का कार्यान्वयन मौलिक रूप से त्रुटिपूर्ण है, पर्यवेक्षकों का आरोप है।

मेगा एसएसएल (सिक्योर सॉकेट लेयर) का व्यापक रूप से उपयोग प्रोटोकॉल का उपयोग करता है अपने उपयोगकर्ताओं के कंप्यूटर और अपने सर्वर के बीच कनेक्शन को सुरक्षित करने के लिए इंटरनेट पर एन्क्रिप्शन। एक बार एसएसएल कनेक्शन बनने के बाद, मेगा किसी व्यक्ति के ब्राउज़र पर जावास्क्रिप्ट कोड को धक्का देता है, जो तब मेगा के सर्वर पर डेटा भेजने से पहले व्यक्ति की फ़ाइलों को एन्क्रिप्ट करता है।

समस्या यह है कि एसएसएल को वेब पर कमजोर बिंदु के रूप में लंबे समय से पहचाना गया है । 200 9 में, सुरक्षा शोधकर्ता मोक्सी मार्लिन्सपाइक ने एसएसएलस्ट्रिप नामक एक उपकरण बनाया, जो एक हमलावर को एसएसएल कनेक्शन को रोकने और रोकने की अनुमति देता है। हमलावर तब नकली वेबसाइट पर जो भी डेटा भेजता है, उस पर जासूसी कर सकता है।

चूंकि मेगा मूल रूप से एसएसएल पर निर्भर करता है, "क्लाइंट-साइड एन्क्रिप्शन करने का वास्तव में कोई कारण नहीं है," मार्लिनस्पिक ने सोमवार को एक साक्षात्कार में कहा। "इस तरह की योजनाएं एसएसएल के साथ सभी समस्याओं के लिए कमजोर हैं।"

एसएसएलस्ट्रिप का उपयोग कर मेगा पर हमला करने वाले किसी व्यक्ति को अपनी खुद की कस्टम दुर्भावनापूर्ण जावास्क्रिप्ट को पीड़ित के ब्राउज़र में भेज सकता है। उपयोगकर्ता अनिवार्य रूप से अपना पासवर्ड प्रकट करेगा, जो हमलावर को मेगा के साथ संग्रहीत अपने सभी डेटा को डिक्रिप्ट करने की अनुमति देगा।

मेगास ओर्टमैन, मेगा के सीटीओ ने सोमवार को एक साक्षात्कार में कहा कि विभिन्न प्रकार के वेब-आधारित हमले हैं जो मेगा होगा सुरक्षा के लिए एसएसएल पर निर्भर किसी भी अन्य साइट की तरह कमजोर, जैसे ऑनलाइन बैंकिंग के लिए। उन परिदृश्यों को मेगा की साइट पर रेखांकित किया गया है, उन्होंने कहा।

"अगर उन्हें पढ़ने के लिए परेशान था कि उन्होंने देखा होगा कि हम मूल रूप से बताते हैं कि वे हमें संभावित हमले वैक्टरों के साथ क्या आरोप लगा रहे हैं और कुछ अन्य वे हमें आरोप नहीं लगा रहे हैं "Ortmann कहा। "इन सभी एसएसएल से संबंधित हमले विशेष रूप से हमारे लिए लागू नहीं होते हैं। वे समान रूप से उच्च सुरक्षा आवश्यकताओं या यहां तक ​​कि उच्च आवश्यकताओं वाली कंपनियों पर भी लागू होते हैं। "

एसएसएल को अधिकृत कंपनियों और संगठनों द्वारा जारी किए गए एन्क्रिप्टेड सुरक्षा प्रमाणपत्रों द्वारा निपटाया जाता है। लेकिन जारी करने वाली प्रणाली की लंबे समय से आलोचना की गई है क्योंकि स्कैमर उन वेबसाइटों के लिए वैध प्रमाण पत्र प्राप्त करने में सक्षम हैं, जिनके पास वे नहीं हैं।

ऑर्टमैन ने स्वीकार किया कि कोई मेगा.को. के लिए एक वास्तविक SSL प्रमाणपत्र जारी करने में प्रमाण पत्र प्राधिकरण की नकल करने का प्रयास कर सकता है। एनजे, जो हमलावर को नकली मेगा वेबसाइट बनाने की इजाजत देता है, जिसमें उचित प्रमाण-पत्र होते हैं।

किम डॉटकॉम के मेगा एंटरप्राइज के गहन नापसंद के लिए, ऑर्टमैन ने कहा, "मैं वास्तव में कुछ सरकार को उम्मीद कर रहा हूं कि कुछ सरकार mega.co.nz छाया प्रमाण पत्र किसी बिंदु पर जारी किया गया और हमले में इस्तेमाल किया गया। "लेकिन मेगा समय-समय पर अनधिकृत एसएसएल प्रमाणपत्रों के लिए स्कैन करेगा, उन्होंने कहा।

किम डॉटकॉम से नादिम KobeissThe नई फ़ाइल साझा सेवा के सौजन्य, मेगा, नादिम कोबीस्सी, एन्क्रिप्टेड त्वरित संदेश कार्यक्रम क्रिप्टोकैट के डेवलपर सहित लोगों द्वारा आलोचना की गई है, कैसे मेगा लागू एन्क्रिप्शन के लिए।

यदि मेगा के सर्वर समझौता किया गया है, यह होगा एन्क्रिप्टेड इंस्टेंट मैसेजिंग प्रोग्राम क्रिप्टोकाट के डेवलपर नदीम कोबेसी ने कहा, एक हमलावर के लिए संशोधित, दुर्भावनापूर्ण जावास्क्रिप्ट वितरित करने के लिए भी संभव है। यह भी मेगा ही दुर्भावनापूर्ण कोड वितरित करने के लिए के लिए संभव हो जाएगा।

"हर बार जब आप वेबसाइट को खोलते हैं, एन्क्रिप्शन कोड खरोंच से भेज दिया जाता है," Kobeissi "कहा कि अगर एक दिन मैं तय तो मैं आप के लिए सभी एन्क्रिप्शन अक्षम करना चाहते हैं, मैं बस अपने उपयोगकर्ता नाम अलग अलग कोड है कि कुछ भी एन्क्रिप्ट नहीं करता और इसके बजाय अपने एन्क्रिप्शन कुंजी चुरा सेवा कर सकते हैं। "

Ortmann मुकाबला किया है कि उपयोगकर्ताओं को हमेशा जब डाउनलोड और कोड चलाने उनकी सेवा प्रदाता पर भरोसा करने के लिए मजबूर कर रहे हैं। चूंकि मेगा की जावास्क्रिप्ट ब्राउज़र पर भेजी जाती है, इसलिए लोग नियमित रूप से कोड का विश्लेषण करने में सक्षम होंगे और यह सुनिश्चित करेंगे कि यह भरोसेमंद है या नहीं। अगर मेगा ने जावास्क्रिप्ट के साथ छेड़छाड़ की, तो "यह पता लगाने योग्य होगा।"

मार्लिनस्पिक ने कहा कि डेटा को एन्क्रिप्ट करने के लिए मेगा के लिए एक हस्ताक्षरित ब्राउज़र एक्सटेंशन का उपयोग करने के लिए एक सुरक्षित तरीका होगा, जो हमलावर द्वारा छेड़छाड़ को रोक देगा। वैकल्पिक रूप से, एक स्थापित सॉफ़्टवेयर क्लाइंट एक ही अंत को पूरा करेगा, उसने एसएसएल की असुरक्षा के लिए उपयोगकर्ता को उजागर किए बिना कहा।

मार्लिन्सपाइक ने कहा कि वह सोचता है कि वह सोचता है कि मेगा उपयोगकर्ता मौलिक रूप से सुरक्षा के बारे में ज्यादा परवाह नहीं करते हैं क्योंकि वे सिर्फ रुचि रखते हैं फ़ाइल साझा करना। चूंकि मेगा अपने सर्वर पर एन्क्रिप्टेड डेटा देखेगा, इसलिए सेटअप मेगाउपलोड के कॉपीराइट उल्लंघन मुद्दों से साइट के संस्थापकों को पूर्ण करने के लिए प्रतीत होता है।

"यह सब मायने रखता है कि मेगा के ऑपरेटर दावा कर सकते हैं कि उनके पास तकनीकी क्षमता नहीं है कॉपीराइट उल्लंघन के लिए सर्वर पर सामग्री का निरीक्षण करें, "मार्लिनस्पिक ने कहा।

किसी भी नई ऑनलाइन सेवा की तरह, मेगा का कोड पहले से ही प्रबल हो रहा है। रविवार को, यह पता चला था साइट एक क्रॉस-साइट स्क्रिप्टिंग दोष, जो कुछ मामलों में एक हमलावर एक उपयोगकर्ता के कुकीज़, जो कम से कम शिकार के खाते की एक अस्थायी अधिग्रहण की अनुमति होगी चोरी करने के लिए अनुमति दे सकते हैं किया था। रविवार को ट्विटर पर मेगा के मुख्य प्रोग्रामर ब्रैम वैन डेर कोल ने लिखा, "इसे तुरंत तय किया गया था।" 99

"एक्सएसएस मुद्दे को उस समय के भीतर हल किया गया था।" "। बहुत वैध बिंदु, शर्मनाक बग"

Ortmann सविस्तार बताया: "क्रॉस-साइट स्क्रिप्टिंग मुद्दा शर्मनाक से भी अधिक था। ऐसा नहीं होना चाहिए था। यह वास्तव में इस तथ्य के कारण है कि ब्रैम और मैं जावास्क्रिप्ट के नए शौक हैं और ब्राउज़र द्वारा इस व्यवहार की कभी उम्मीद नहीं की है। हमने वास्तव में इसकी चर्चा की, लेकिन हमने इसका परीक्षण नहीं किया, इसलिए यह शर्मनाक है। यही कारण है कि 30 मिनट के एक घंटे के बाद यह हमारे लिए सूचना मिली थी की तुलना में कम या ज्यादा के बाद तय किया गया था। "

उन्होंने कहा कि मेगा अंक सुरक्षा के संबंध में अपने आलोचकों द्वारा उठाए गए संबोधित करते हुए वेबसाइट पर बाद में आज अधिक जानकारी के पोस्ट करेंगे।