Novo serviço Mega não é tão seguro quanto parece, dizem especialistas - Asplan Sistemas

Novo serviço Mega não é tão seguro quanto parece, dizem especialistas


Enquanto Kim Dotcom se gaba por seu novo projeto utilizar uma criptografia forte, experts em segurança tem suas dúvidas sobre como ela é implementada.

A nova aventura de Kim Dotcom, o recém-lançado serviço de armazenamento e compartilhamento de arquivos Mega,
está recebendo críticas de pesquisadores de segurança que analisaram
como o site protege os dados dos usuários. Basicamente eles aconselham:
não confiem no serviço.

Dotcom deu uma grande festa de lançamento para o Mega no último
domingo (19), em sua mansão. O serviço é o sucessor do Megaupload, o
site de compartilhamento de arquivos pelo qual Dotcom e seus colegas foram acusados de violação de direitos autorais em 2012.

O audacioso Dotcom garante aos usuários do Mega que a criptografia do
site protegerá a privacidade e os dados deles, mas a implementação do
sistema é fundamentalmente falha, dizem os especialistas.

O Mega utiliza o SSL (Secure Sockets Layer), um protocolo amplamente
utilizado para criptografia em toda a Internet, para proteger a conexão
entre os computadores dos usuários e os dos próprios servidores. Uma vez
que uma conexão SSL é feita, o Mega envia um código JavaScript para o
navegador do usuário, que criptografa os arquivos da pessoa antes de os
dados serem enviados para os servidores do serviço.

O problema é que o SSL, há muito tempo, é conhecido por ser um ponto
fraco na web. Em 2009, o pesquisador de segurança Moxie Marlinspike
criou uma ferramenta chamada sslstrip,
que permite a um invasor interceptar e interromper uma conexão SSL. O
cracker pode, então, espionar todos os dados que o usuário envia para o
site falso.

Levando em conta que o Mega se baseia fundamentalmente em SSL, “não
há realmente nenhuma razão para fazer a criptografia do cliente”, disse
Marlinspike em uma entrevista na segunda-feira (21/1). “Esse tipo de
processo é vulnerável ​​a todos os problemas com SSL.”

Alguém que ataca o Mega utilizando o sslstrip poderia enviar o seu
próprio JavaScript malicioso para o navegador da vítima. O usuário
inevitavelmente revelaria a sua senha, o que permitiria ao cracker
decifrar todos os dados que a vítima armazenou no Mega.

Se os servidores do Mega forem comprometidos, também seria possível
para um cracker entregar um JavaScript modificado e malicioso, disse
Nadim Kobeissi, desenvolvedor do programa de mensagens instantâneas
criptografadas Cryptocat.

“Toda vez que você abrir o site, o novo código de encriptação é
enviado”, disse Kobeissi. “Então, se um dia eu decidir que quero
desativar toda a criptografia para você, eu simplesmente posso enviar ao
seu usuário um código diferente, que não criptografa nada, e roubar
todas as suas chaves de criptografia”.

Protegendo o usuário

Uma forma mais segura seria o Mega utilizar uma extensão assinada no
navegador para criptografar os dados, o que impediria a violação do
cracker, afirma Marlinspike. Alternativamente, um software cliente
instalado teria o mesmo efeito, disse ele, sem expor o usuário às
inseguranças do SSL.

Para Marlinspike, os usuários do Mega não se importam tanto com a
segurança do serviço, uma vez que eles estão apenas interessados em
compartilhar arquivos. Considerando que o Mega verá apenas dados
criptografados em seus servidores, o procedimento aparece para absolver
os fundadores do site de questões relacionadas à violação de direitos
autorais do Megaupload.

“Tudo o que importa é que os operadores do Mega possam alegar que
eles não têm a capacidade técnica para inspecionar o conteúdo no
servidor a procura de violação de direitos autorais”, disse Marlinspike.

Como qualquer novo serviço online, o código do Mega já está sendo
criticado. No domingo, foi identificado que o site possuia uma falha de
cross-site scripting (XSS), que em alguns casos pode permitir a um
crackers roubar cookies de um usuário – o que permitiria ao invasor um
controle temporário sob a conta da vítima.

A falha foi rapidamente corrigida. “O problema do XSS foi resolvido dentro de uma hora”, escreveu Bram van der Kolk, um dos fundadores da Mega e do Megaupload, no Twitter, no domingo. “Boa observação, erro embaraçoso.”

Fonte: http://idgnow.uol.com.br/internet/2013/01/22/novo-servico-mega-nao-e-tao-seguro-quanto-parece-dizem-especialistas/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *