شكوك على أمن خدمة كيم دوتكوم العملاقة

يجذب مشروع كيم دوتكوم الجريء الجديد ، خدمة تخزين الملفات ومشاركتها ميجا ، الانتقادات ، حيث يقوم الباحثون الأمنيون بتحليل كيفية حماية الموقع لبيانات المستخدمين. باختصار ، ينصحون: لا تثقوا به.

بينما يعترف المسؤولون العملاقون بأنهم "نوبيون" لجافا سكريبت ، وهي لغة البرمجة المستخدمة لتنفيذ العناصر الأساسية لخدمتهم ، فإنهم يقولون إن موقعهم الإلكتروني ليس أكثر عرضة من الإنترنت المواقع المصرفية للهجوم.

رمى الدوت كوم حفل إطلاق كبير لميغا يوم الأحد في قصره خارج أوكلاند. الخدمة هي خليفة موقع Megaupload ، موقع مشاركة الملفات الذي تم اتهام شركة Dotcom وزملائه في الولايات المتحدة في يناير 2012 بتهم انتهاك حقوق النشر.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

MegaMega ، خدمة مشاركة الملفات الجديدة من Kim Dotcom ، تم انتقادها من قبل خبراء أمنيين ، ولكن Chief Programmer Bram van der Kolk (يسار) و CTO Mathias Ortmann (على اليمين) يقولون إن موقعهم ليس أكثر عرضة للمواقع الإلكترونية للمواقع المصرفية عبر الإنترنت.

شركة الدوت كومبانت تطمئن مستخدمي ميجا إلى أن تشفير الموقع سيحمي خصوصيتهم وبياناتهم ، لكن تطبيق نظام التشفير هذا معيب بشكل جوهري ، حسبما يزعم المراقبون.

تستخدم ميجا طبقة المقابس الآمنة (SSL) وهي بروتوكول واسع الاستخدام التشفير عبر الإنترنت لتأمين الاتصال بين أجهزة المستخدمين الخاصة بهم وخوادمها الخاصة. بمجرد إجراء اتصال SSL ، تقوم Mega بدفع شفرة JavaScript إلى مستعرض الشخص ، والذي يقوم بعد ذلك بتشفير ملفات الشخص قبل إرسال البيانات إلى خوادم Mega.

المشكلة هي أن SSL قد تم التعرف عليه منذ فترة طويلة كنقطة ضعف على الويب. في عام 2009 ، أنشأ الباحث الأمني ​​Moxie Marlinspike أداة تسمى SSLstrip ، والتي تسمح للمهاجم باعتراض ووقف اتصال SSL. يمكن للمهاجم بعد ذلك التجسس على أي بيانات يرسلها المستخدم إلى الموقع المزيف.

بما أن Mega تعتمد بشكل أساسي على SSL ، "لا يوجد سبب حقيقي للقيام بتشفير من جانب العميل" ، كما قال مارلينسبايك في مقابلة أجريت معه يوم الاثنين. "هذا النوع من المخططات عرضة لجميع المشاكل مع SSL."

شخص ما الذي يهاجم Mega باستخدام SSLstrip يمكنه بعد ذلك إرسال JavaScript الخبيثة المخصصة الخاصة به إلى متصفح الضحية. سيكشف المستخدم حتمًا كلمة المرور الخاصة به ، والتي ستسمح للمهاجمين بفك تشفير جميع بياناته المخزنة مع ميجا.

قال ماتياس أورتمان ، رئيس CTO في ميغا في مقابلة يوم الاثنين أن هناك مجموعة متنوعة من الهجمات على شبكة الإنترنت التي قد تكون ميجا عرضة مثل أي موقع آخر يعتمد على SSL للأمان ، مثل الخدمات المصرفية عبر الإنترنت. هذه السيناريوهات مبينة على موقع ميغا ، قال: "إذا كانوا قد ازعجوا بقراءة أنهم رأوا أننا في الأساس نذكر بالضبط ما يتهموننا به كمهاجم محتمل ، بالإضافة إلى آخرين لا يتهموننا قال أورتمان. "جميع هذه الهجمات ذات الصلة بـ SSL لا تنطبق بشكل خاص علينا. وهي تنطبق على الشركات التي لديها متطلبات أمنية عالية بشكل متساوٍ أو حتى متطلبات أعلى. "

SSL مدعومة بشهادات الأمان المشفرة التي تصدرها الشركات والمؤسسات المعتمدة. لكن منذ فترة طويلة انتقد نظام إصدار منذ أن تمكّن المحتالون من الحصول على شهادات صالحة لمواقع الويب التي لا يملكونها.

أقرّ أورتمان بأن شخصًا ما قد يحاول خداع سلطة شهادات إلى إصدار شهادة SSL حقيقية لـ mega.co. nz ، التي من شأنها أن تسمح للمهاجم بإنشاء موقع إلكتروني ضخم مزيف يبدو أن لديه أوراق اعتماد مناسبة.

في إشارة إلى الكراهية الشديدة لمشروع ميمي كيم Dotcom ، قال أورتمان ، "أنا أتوقع بالفعل أن يكون لدى بعض الحكومات أصدر شهادة mega.co.nz الظل في مرحلة ما واستخدمت في هجوم ". ولكن سوف ميجا تفحص بشكل دوري للحصول على شهادات SSL غير مصرح بها ، قال.بإذن من نديم كوبيس ، تم انتقاد خدمة تبادل الملفات الجديدة من كيم دوتكوم ، ميجا ، من قبل أشخاص ، من بينهم نديم قبيسي ، مطور برنامج الرسائل الفورية المشفرة Cryptocat ، لكيفية تنفيذ ميجا للتشفير.

إذا تم اختراق خوادم ميجا ، وقال نديم قبيسي ، مطور برنامج الرسائل النصية المشفرة Cryptocat ، إنه من الممكن أيضًا أن يقوم أحد المهاجمين بتسليم جافا سكريبت معدّل ، ضارًا. من الممكن أيضًا أن تقدم ميجا نفسها رمزًا خبيثًا.

"في كل مرة تفتح فيها موقع الويب ، يتم إرسال رمز التشفير من نقطة الصفر" ، قال قبيسي "لذا إذا قررت يومًا ما أن أرغب في تعطيل جميع التشفير لك ، يمكنني فقط تقديم اسم المستخدم الخاص بك رمز مختلف لا يقوم بتشفير أي شيء وبدلاً من ذلك يسرق مفاتيح التشفير الخاصة بك. "

رد أورتمان بأن المستخدمين دائمًا ما يضطرون إلى الوثوق بمزود الخدمة عند تنزيل وتشغيل الكود. نظرًا لأن جافا سكريبت ميجا يتم إرساله إلى المتصفح ، سيتمكن الأشخاص من تحليل الشفرة بانتظام وضمان أنها جديرة بالثقة أو لا. إذا عبث Mega بجافا سكريبت ، "سيكون قابلا للاكتشاف ،" قال أورتمان.

Marlinspike قال أن الطريقة الأكثر أمانا هي استخدام Mega لامتداد متصفح موقّع لتشفير البيانات ، مما يمنع التلاعب من قبل مهاجم. وبدلاً من ذلك ، فإن عميل البرامج المثبت سيحقق نفس الغاية ، على حد قوله ، دون تعريض المستخدم إلى انعدام الأمن في SSL.

قال مارلينسبيكي أنه يعتقد أن المستخدمين العملاقين لا يهتمون أساسًا بهذا القدر الكبير من الأمن نظرًا لأنهم يهتمون فقط مشاركة الملفات. نظرًا لأن Mega سترى البيانات المشفرة على خوادمها فقط ، يبدو أن الإعداد يعفي مؤسسي الموقع من مشكلات انتهاك حقوق النشر في Megaupload.

"كل ما يهم هو أن مشغلي Mega يمكنهم الادعاء بأنهم لا يمتلكون القدرة التقنية على فحص محتويات على الخادم لانتهاك حقوق الطبع والنشر "، وقال Marlinspike.

مثل أي خدمة جديدة عبر الإنترنت ، ويجري بالفعل حث رمز ميجا. يوم الأحد ، تم الكشف عن أن الموقع يحتوي على خطأ في البرمجة عبر المواقع ، والذي يمكن في بعض الحالات أن يسمح للمهاجمين بسرقة ملفات تعريف الارتباط الخاصة بالمستخدم ، الأمر الذي سيسمح على الأقل بالاستيلاء المؤقت على حساب الضحية. وقد تم إصلاحه بسرعة.

تم حل مشكلة XSS في غضون ساعة ، ”كتب برام فان دير كولك ، مبرمج ميجا الرئيسي ، على تويتر يوم الأحد. "نقطة صالحة جدا ، علة محرجة."

وأوضح أورتمان: "كانت مسألة البرمجة عبر الموقع أكثر من محرجة. لا ينبغي أن يحدث. هذا في الحقيقة يرجع إلى حقيقة أن Bram وأنا ناطقين JavaScript كاملين ولم نتوقع هذا السلوك من قبل المستعرض. لقد ناقشناها بالفعل ، لكننا لم نختبرها ، وهذا نوع من الإحراج. تم إصلاح ذلك بعد 30 دقيقة أو أقل من ساعة بعد إبلاغنا بذلك.

قال ميجا ستنشر المزيد من التفاصيل في وقت لاحق اليوم على الموقع الإلكتروني تتناول النقاط التي أثارها منتقدوها فيما يتعلق بالأمن.