تستجيب ميجا إلى مخاوف أمنية ؛ وعد بعض التغييرات

ممثلو خدمة تخزين الملفات ومشاركة الملفات التي تم إطلاقها حديثًا تناول بعض المخاوف التي أثارها الباحثون الأمنيون في الأيام الأخيرة حول بنية الموقع وتنفيذ ميزات التشفير الخاصة به.

الإنترنت والمتهمة الرقمية خارج القانون كيم دوتكوم أطلقت مؤخرًا ميجا (اختصارًا لـ Mega Encrypted Global Access) ، والذي يتميز بـ 50 جيجابايت من التخزين المجاني. ميغا هي واحدة فقط من مكونات ما تأمله الدوت كوم وفريقه في أن يكونوا مجموعة من الخدمات المشفرة عبر الإنترنت من شركة ميجا المحدودة بما في ذلك البريد الإلكتروني والمكالمات الصوتية والمراسلة الفورية وتدفق الفيديو.

في مدونة نشرتها الثلاثاء ، اعترف مسؤولو ميجا أن بعض المخاطر الأمنية التي أشار إليها الباحثون صحيحة ، لكنهم قالوا إن المستخدمين قد تم إعلامهم بالفعل ببعضها من خلال قسم الأسئلة الشائعة (الأسئلة الشائعة) على الموقع. في حالة وجود مشكلات أخرى ، فقد وعدوا ببعض التحسينات.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك]

على سبيل المثال ، تمت الإشارة إلى أن مفاتيح التشفير التي تم إنشاؤها بواسطة المستخدمين أثناء التوقيع يتم تشفير العملية ، والتي يتم استخدامها في وقت لاحق لتشفير ملفاتها ، باستخدام كلمة مرور الحساب ويتم تخزينها فقط على خوادم ميجا. نظرًا لعدم وجود ميزة استرداد كلمة المرور ، سيفقد المستخدمون القدرة على فك تشفير ملفاتهم في حالة نسيان كلمات المرور الخاصة بهم ، كما يقول بعض الأشخاص.

"هذا صحيح - المفتاح الوحيد الذي يتطلب MEGA تخزينه على جانب المستخدم هو كلمة المرور لتسجيل الدخول ، في دماغ المستخدم "، وقال المسؤولون ميجا. "تقوم كلمة المرور هذه بإلغاء قفل المفتاح الرئيسي ، الذي يؤدي بدوره إلى إلغاء قفل الملفات / المجلد / المشاركة / الخاصة."

ومع ذلك ، سيتم تطبيق آلية تسمح باستعادة الملفات في حالة نسيان كلمة المرور في المستقبل القريب. قالوا. سيشمل ذلك خيار تغيير كلمة المرور واستيراد مفاتيح الملفات التي تم تصديرها مسبقًا لاستعادة الملفات المقابلة.

لاحظ باحثو الأمن أيضًا حقيقة أن مفاتيح التشفير الرئيسية يتم إنشاؤها داخل المتصفح عند الاشتراك باستخدام الرياضيات حذّرت وظيفة JavaScript العشوائية وحذر من أن هذه الوظيفة لا تؤدي مهمة جيدة في توليد أرقام عشوائية ، مما يعني أن المفاتيح الناتجة قد تكون ضعيفة من وجهة نظر مشفرة.

رداً على ذلك ، قال المسؤولون العملاقون إن العشوائية العشوائية- تتم إضافتها باستخدام البيانات التي تم جمعها من الماوس ولوحة المفاتيح الخاصة بالمستخدم. "لكننا سنضيف ميزة تسمح للمستخدم بإضافة أكبر قدر ممكن من الأنتروبيا يدويًا كما يراه مناسبًا قبل الانتقال إلى جيل المفتاح."

أوضح ممثلو Mega أيضًا كيف يعمل نظام التحقق من جافا سكريبت في الموقع ، مع ملاحظة أن خادم HTTPS الرئيسي الذي يستخدم شهادة SSL بمفتاح 2048 بت يستخدم للتحقق من تكامل شفرة JavaScript المقدمة من خوادم HTTPS الثانوية التي تستخدم شهادات بمفاتيح 1024 بت. وقال الباحثون "هذا يمكّننا أساسا من استضافة المحتوى الثابت الحساس للنزاهة على عدد كبير من الخوادم المتنوعة جغرافيا دون القلق بشأن الأمن".

الروابط المضمنة في رسائل التأكيد الإلكترونية المرسلة بواسطة Mega أثناء عملية تسجيل الحساب تحتوي فعليًا على تجزئة كلمة مرور المستخدم.

أصدر توماس أداة تسمى MegaCracker يمكن استخدامها لاستخراج تجزئات من مثل هذه الروابط ومحاولة كسرها باستخدام هجوم القاموس

تعليقًا على إصدار الأداة ، قال المسؤولون العملاقون إن MegaCracker "تذكيرًا ممتازًا بعدم استخدام كلمات المرور القابلة للتخاطب / القاموس ، خاصة إذا كانت كلمة المرور الخاصة بك بمثابة مفتاح التشفير الرئيسي لكل الملفات التي تخزنها على MEGA. "

ومع ذلك ، فشلوا في معالجة السؤال لماذا تحتوي روابط تأكيد الحساب المرسلة عبر البريد الإلكتروني على تجزئة كلمة مرور المستخدم في المقام الأول. التقنية العامة المستخدمة من قبل مواقع الويب الأخرى هي إنشاء رموز عشوائية خصيصًا لارتباطات التأكيد.

لمنع المهاجمين المحتملين من الحصول على تجزئة كلمة المرور الخاصة بهم في وقت لاحق ، من المحتمل أن يحذف المستخدمون رسالة تأكيد البريد الإلكتروني بعد تأكيدهم على الارتباط وإعداد حساباتهم.