Redes Social



twitterfacebookgoogle pluslinkedinrss feedemailhttps://www.wowapp.com/w/andrecafe/joinhttps://www.instagram.com/andrecafee/

quarta-feira, 23 de janeiro de 2013

Novo 'Mega': segurança comprometida
Será?


Depois de um evento de lançamento que contou com dançarinas de minissaias em uniformes militares, o Mega, sucessor "espiritual" do Megaupload que foi colocado no ar exatamente um ano depois do fim do serviço de compartilhamento de arquivos, precisa agora lidar com as críticas a sua segurança. Especialistas já examinaram o serviço, encontrando problemas na forma que o site utiliza recursos de criptografia.
Quem registra no serviço pode não perceber que a página de "login" não inclui um recurso para recuperação de senha. E é isso mesmo: se a senha for esquecida, não há mais como acessar qualquer arquivo armazenado no "Mega". O motivo é que a senha de acesso é também a senha da chave criptográfica que o serviço usa para proteger os arquivos do internauta.
Não existe maneira de trocar essa chave criptográfica, o que significa que também não há meio de trocar a senha. A chave também fica armazenada somente no Mega, não sendo possível para o usuário ter uma cópia da chave.
O Mega inclui ainda um serviço de mensagens e troca de arquivos, que utiliza outra chave criptográfica. Esta chave seria mais segura. No entanto, é o próprio navegador do usuário que gera a chave, usando geradores de números que não geram números aleatórios. Isso significa que a chave pode ser adivinhada com mais facilidade. A mensagem que aparece no site, que afirma que serão analisados movimentos do mouse e a digitação para melhorar a geração de números, é falsa.
Embora os recursos de criptografia sejam adequados para proteger o próprio "Mega", que não poderá ver os conteúdos dos arquivos e das mensagens trocadas pelos usuários, isso não reflete em mais segurança e proteção para o internauta.
Por exemplo, o Megaupload costumava receber solicitações para armazenar todas as cópias de um determinado arquivo. É bem provável que o "Mega" não possa cumprir esse tipo de determinação, pois a criptografia fará com que um mesmo arquivo seja armazenado de formas diferentes para usuários diferentes.
Por outro lado, caso o Mega receba uma solicitação para revelar os dados específicos de um usuário, não haverá dificuldade para obter esses dados. Como o site já dispõe das chaves criptográficas, basta que o site guarde a senha do internauta, preenchida no momento do login. Com a senha e a chave, todos os dados e mensagens podem ser decodificados.
O especialista em segurança Steve Thomas publicou no Twitter que o e-mail de confirmação enviado pelo Mega contém a senha codificada do usuário. Ele está trabalhando em uma ferramenta chamada MegaCracker que poderia revelar a senha a partir do código presente no e-mail.
Como no Megaupload, e diferente de concorrentes como SkyDrive e Dropbox, o Mega também permite o envio de arquivos sem cadastrar uma conta no serviço. Além dos problemas de segurança, o serviço ainda enfrenta diversas incompatibilidades com navegadores e até mesmo o download de arquivos fica prejudicado no Firefox. O serviço recomenda o uso do Google Chrome.
Críticas na imprensa ao site “Techweek", o especialista Alan Woodward afirmou que a criptografia usada pelo Mega "não é ideal". "Acho que o Mega não está usando criptografia para a segurança dos usuários, mas sim para a proteção legal deles mesmos. “Não consigo imaginar que alguém que entenda criptografia confiaria seus dados ao Mega como ele é hoje", afirmou.
Ainda de acordo com o "Techweek", o Mega prometeu criar um meio de trocar as senhas "em breve". No entanto, caso a senha de acesso à conta seja totalmente independente da criptografia, o site também terá o acesso total aos arquivos do internauta.
Lee Hutchinson, colaborador do site de tecnologia "Ars Technica", escreveu um artigo sobre a criptografia do Mega com o título "Megaruim" ("Megabad").
Já o site TorrentFreak, que descreveu a segurança do site como "brilhante", criticou trechos da política de privacidade do site, dizendo que a ausência de mecanismos para defender o anonimato dos internautas é uma "oportunidade perdida".

Nenhum comentário:

 
BLOG DO ANDRÉ CAFÉ
SÓ JESUS SALVA
//