Итак, я случайно наткнулся на сообщение о новой уязвимости знаменитого сервиса Mega. Поначалу, она показалась мне неинтересной, но, памятуя о том что первой моей публикацией на Хабре был сборник скандалоинтриг и расследований, посвященных этому сервису, я все же решил оперативно подготовить краткий пересказ новостей на эту тему.
Тем более, что ситуация оказалась ощутимо интереснее, чем представлялось на первый взгляд.
Но, обо всем по порядку…
Читать полностью »
К сожалению, не нашел соответствующей новости на хабре и решил, что данный факт незаслуженно обошли вниманием. Приношу извинения если ошибся.
8 июля в блоге ресурса повяилась новость о запуске С++ SDK для работы с MEGA API, которое «позволит разработчикам использовать функциональность MEGA API, без необходимости внедрения тысяч строк низкоуровневого кода».
Также было сообщено о запуске партнерской программы для разработчиков, которая позволит монетизировать свой аккаунт в MEGA, посредством разработанного приложения.
Сам SDK доступен для скачивания зарегистрированным пользователям.
-sobiraetsya-zapustit-zashishennyi-ot-proslushki-messendjer-i-elektronnuyu-pochtu.jpg "Ким Дотком (Mega, Megaupload) собирается запустить защищенный от прослушки мессенджер и электронную почту")
В общем-то, не нужно быть Вангой, чтобы догадаться, что после раскрытия методов «прослушки», используемых спецслужбами разных стран, последует активное развитие защищенных мессенджеров. Вероятно, прямо сейчас разрабатывается около десятка подобных сервисов, о части которых мы уже слышали, а о другой части — предстоит услышать. К примеру, защищенный мессенджер от Петера Сунде, сооснователя The Pirate Bay, уже собрал около 100 тысяч долларов, необходимых на разработку. Кроме того, поисковый сервис DuckDuckGo, где нельзя отследить поисковые запросы пользователей, стал набирать обороты в последнее время. Ну, и Кит Дотком, основатель Mega, также заявил о скором запуске защищенного мессенджера, а также, позже — электронной почты.
Новый файлообменник Кима Доткома, получивший название Mega, пока живет и здравствует. Тем не менее, на этот ресурс уже пошли жалобы в поисковые сервисы. На днях голливудские студии Warner Bros. и NBC Universal потребовали удаления адреса Mega (mega.co.nz) из поисковой выдачи Google. При этом заявка подавалась не в отношении какого-либо отдельного материала (например, фильма), как это обычно бывает, а в отношении всего ресурса.
После запуска в какой-то мере скандального сервиса MEGA разговоры о его защищенности немного побурлили и затихли. На сегодняшний день сервис живет своей жизнью и его никто даже не поломал. Из всех разговоров почему-то был упущен термин «User Controlled Encryption» (UCE, или Контролируемая пользователем криптография), которой кичится MEGA. Под словом «упущен» я подразумеваю тот факт, что мы не рассмотрели все возможности, которые дает нам криптографический движок, выполняющийся в JavaScript на стороне клиента.
Конечно, сам сервис MEGA под этим подразумевает всего лишь то, что ключи шифрования не хранятся на сервере, а вся их криптография выполняется в контексте браузера. При этом после запуска сервиса было много разговоров о том, что в нем используются нестойкие криптографические алгоритмы и что вообще все плохо и мы все умрем, а наши файлы прочитает ФСБ. Это подтолкнуло меня на мысль расширить понятие «UCE» и действительно взять криптографию под свой контроль, а именно — заменить или дополнить некоторые механизмы обеспечения безопасности сервиса.
В этой статье я частично разложу по полочкам магию, которая происходит в двух мегабайтах JavaScript-кода MEGA и покажу, как можно переопределить некоторые методы, чтобы перестать волноваться и полюбить криптографию. В результате мы получим сервис облачного хранения файлов с двухфакторной аутентификацией и аппаратным шифрованием критически важной информации. Читать полностью »
Уже более года прошло с того времени, как был закрыт файлообменник Megaupload, а его сервера изъяты. Тем не менее, трафик на Megaupload до сих пор весьма велик, и в настоящее время он лишь немногим ниже трафика на новый сайт Доткома, файлообменник Mega.
На днях создатель облачного файлообменного сервиса Mega Ким Дотком сообщил интересную новость: вскоре к оплате будет приниматься Bitcoin, валюта, о которой достаточно много писали на Хабре. В настоящий момент не так много ресурсов принимает Bitcoin к оплате, в силу ряда причин (отсутствие необходимых для существования электронной системы платежей лицензий — одна из этих причин).
Ким Дотком намерен серьёзно расширить набор предоставляемых сервисов. Вчера он анонсировал в твиттере, что в «ближайшие годы» запустит почту, голосовой и видеочат, а также выпустит мобильное приложение. Всё будет основано на шифровании и других функциях, гарантирующих защиту информации.
Потенциальная аудитория аудио- и видеочата — это нынешние пользователи Skype, недовольные политикой безопасности Skype/Microsoft. То же самое касается почты: многим не нравится, что Gmail, Hotmail и другие провайдеры годами хранят логи доступа и прочую информацию, предоставляя эти данные по запросам государственных структур. Например, по закону Foreign Intelligence Surveillance Act Amendments Act спецслужбы США имеют права доступа без ордера к файлам иностранного гражданина на облачном хостинге любой американской компании. Из-за этого граждан Евросоюза предостерегают от использования американских облачных сервисов. На Google тоже нет надежды: представители компании дали понять, что никогда не будут шифровать почту пользователей, потому что в этом случае не смогут показывать контекстную рекламу.
Читать полностью »
Примерно неделю назад на Хабре появилась новость о том, что файлообменник Mega, вернее, его создатель, разработал систему вознаграждения за найденные уязвимости. Сумма вознаграждения может достигать 10 тысяч евро. Первые награды уже нашли своих владельцев.
Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состоянии зарубежной дискуссии на эту тему.
Читать полностью »
