Video: EU:n tietosuoja-asetus ja arkistointi - Immo Aakkula (Marraskuu 2024)
Aikaisemmin tässä kuussa ikuisesti flamboantti (ja toisinaan vangittu) Kim Dotcom käynnisti salatun Mega-nimisen tiedostovarastojärjestelmän. Korostamalla oikeudellisia kysymyksiä, jotka lopettivat hänen aiemman yrityksensä, Megauploadin, Dotcom ilmoitti uuden palvelun olevan yksityinen, salattu ja erittäin turvallinen. On kuitenkin selvää, että Megalla oli melko epätavallisia ajatuksia siitä, mitä tämä tarkoittaa.
Salaustilanne
Mega käyttää älykästä mallia palvellakseen turvallisia yhteyksiä halvalla. Käyttäjät muodostavat yhteyden Megaan keskitettyjen palvelimien kautta, jotka käyttävät 2048-bittisiä RSA-avaimia. Nämä palvelimet yhdistetään jaettuun "halvempien" palvelimien verkkoon 1024-bittisillä RSA-avaimilla. Sophosin Naked Security -blogin mukaan "tämä tarkoittaa, että joudut vaarantamaan 2048-bittisesti suojatut palvelimet ja 1024-bittisesti suojatut palvelimet palvellaksesi luvattomia skriptejä verkon alhaisemman suojauksen osista.
"Lo! Hieno tapa saada turvallisuuskakku, mutta maksa vähemmän toimittaaksesi sen."
Kaavio on fiksu, mutta ei antanut taistelua joidenkin kriitikkojen kanssa - jotka Sophos dokumentoi yksityiskohtaisesti. Asia paheni, kun fail0verflow tarkasteli JavaScriptiä, jota käytetään tietojen siirtämiseen 1024-bittisiltä palvelimilta. He huomasivat, että Mega käytti CBC-MAC-todennusta, joka sisälsi koodatun avaimen, joka oli selvästi nähtävissä komentosarjasta. Tämä oli kuin yhdistelmälukon käyttäminen, mutta koodin kirjoittaminen takaosaan, jotta et unohda sitä.
Java-ongelman tapauksessa Mega korjasi tilanteen nopeasti muutamassa tunnissa. Jopa nopea vastaus ei kuitenkaan saanut kaikkia helposti. Sophos Kanadan vanhempi turvallisuusneuvoja Chester Wisniewski kertoi SecurityWatchille , että "jäljellä oleva jatkuva kysymys on, onko Megan henkilökunnalla / ohjelmoijalla ensimmäinen vihje siitä, miten salaus tehdään oikein? Et voi odottaa kryptoasiantuntijoiden tekevän amatöörilaisia virheitä.""
Hän jatkoi: "Kuinka monta muuta virhettä he ovat voineet tehdä? Pitäisikö sinun koskaan luottaa joku muu suojaamaan tietosi, kun et tiedä miten he tekevät?"
Toisaalta CounterTackin tutkija Sean Bodmer oli tylsä arvioidessaan Megan salausjärjestelmiä. "Ei, tämä ei ole hyvin harkittu pitkän aikavälin ratkaisu tietojen eheyteen, vaan enemmän kuin polveutuva ratkaisu osana markkinointistrategiaa."
"On olemassa monia luotettavampia toteutuksia, kuten Google Drive, Dropbox tai SkyDrive, jotka tarjoavat paljon vankemman tallennusratkaisun", Bodmer kertoi SecurityWatchille .
Kyse on Kim pitämisestä turvassa
Yksi Megan myyntikohdista on, että se tarjoaa "päästä päähän -salauksen", jossa tiedot salataan ennen kuin ne lähetetään Megalle Megassa istuessaan, ja salataan vain, kun käyttäjä lataa ne tietyllä salausavaimella. Ajatuksena on, että vaikka Megaa hakkeroitaisiin tai (todennäköisemmin) pakotettaisiin luovuttamaan tietoja lainvalvonnan kautta, tietosi olisivat turhia ja jopa tunnistamattomia.
Tämä on kriittistä, koska Yhdysvaltain digitaalisen vuosituhannen tekijänoikeuslain mukaan verkkosivusto voi välttää rangaistuksia tekijänoikeuksien alaisen sisällön ylläpidosta, jos se tekee pikaista yhteistyötä lainvalvonnan kanssa sen poistamiseksi. EU: n sähköistä kauppaa koskeva direktiivi sisältää samankaltaisen suunnitelman rajoitetusta vastuusta. Megalle salausjärjestelmä antaa käyttäjille mahdollisuuden tallentaa tietonsa salatussa muodossa, mutta se antaa myös mahdollisuuden Dotcomille ja hänen yritykselleen kokonaan kieltää, kun poliisi tulee koputtamaan.
Kuitenkin Mega ei salaa käyttäjän tietoja. Asiantuntijoiden kanssa, joiden kanssa puhuimme, sanoivat, että vaikka tämä ei välttämättä ollut erikoista - tai edes huolimatonta -, useimmat tekivät yhteyden yhteistyöhön lainvalvonnan kanssa.
"Se ei ole epätavallista, mutta viittaa kuitenkin siihen, että heidän toteuttamansa salaussuojaukset ovat enemmän Megan kuin palvelun käyttäjän suojelemiseksi", sanoi Wisniewski. "Jos Uuden-Seelannin lainvalvonta haluaa tietää tiedostojen omistajuudesta ja yhteydetiedoista, Mega pystyy siihen ja oletamme olevansa valmiita luovuttamaan nämä tiedot."
Tilanteessa, jossa Megan käyttäjät luovuttavat salausavaimensa jakaakseen tiedostoja (joita he ovat jo) ja lainvalvonta voi vahvistaa, että sisältö on todellakin tekijänoikeuksien alaista, Megalla on pääsy käyttäjän tietoihin. Tämä saattaa antaa Megalle mahdollisuuden saada se molemmilla tavoilla; he voivat pysyä sokeina laitonta sisältöä vastaan järjestelmässään, mutta olla silti "turvallinen satama".
Bodmer oli samaa mieltä sanoen: "Ennuste, että keksitään muuttujia tulevien oikeudellisten haasteiden helpottamiseksi, näyttää loogiselta lähestymistavalta, tekisin saman asian, jos viimeinen yritykseni olisi päättynyt tapaan, jolla se tapahtui."
CORE Securityn turvallisuusstrategia Alex Horan huomautti, että Mega ei olisi yksin ryhtyessään toimiin juridisten takertumisen välttämiseksi. "Eikä paljon järjestelmiä ole suunniteltu suojaamaan yritystä oikeudenkäynneiltä? Väittäisin, että Megan on pakko tehdä niin", hän kertoi SecurityWatchille .
"voi olla herkempi sille kuin tavallinen ihminen, koska hän voi olettaa uuden palvelunsa analysoivan melko tarkasti", jatkoi Horan.
Takeaway
Vaikka Mega varmasti salaa tietoja, muut sen toiminnan näkökohdat vaikuttavat kyseenalaisilta. Kaikkein huolestuttavinta, salausvikojen ja hajautettujen järjestelmien lisäksi, on se, kuinka palvelua markkinoidaan. Sen pitäisi olla selvää alusta alkaen: sen ei ole suunniteltu suojelemaan sinua , sen on tarkoitus suojata heitä .
Seuraa Maxia lisää, seuraa häntä Twitterissä @wmaxeddy.