Depois
de um evento de lançamento que contou com dançarinas de minissaias em uniformes
militares, o Mega, sucessor "espiritual" do Megaupload que foi
colocado no ar exatamente um ano depois do fim do serviço de compartilhamento
de arquivos, precisa agora lidar com as críticas a sua segurança. Especialistas
já examinaram o serviço, encontrando problemas na forma que o site utiliza
recursos de criptografia.
Quem
registra no serviço pode não perceber que a página de "login" não
inclui um recurso para recuperação de senha. E é isso mesmo: se a senha for
esquecida, não há mais como acessar qualquer arquivo armazenado no
"Mega". O motivo é que a senha de acesso é também a senha da chave
criptográfica que o serviço usa para proteger os arquivos do internauta.
Não
existe maneira de trocar essa chave criptográfica, o que significa que também
não há meio de trocar a senha. A chave também fica armazenada somente no Mega,
não sendo possível para o usuário ter uma cópia da chave.
O
Mega inclui ainda um serviço de mensagens e troca de arquivos, que utiliza
outra chave criptográfica. Esta chave seria mais segura. No entanto, é o
próprio navegador do usuário que gera a chave, usando geradores de números que
não geram números aleatórios. Isso significa que a chave pode ser adivinhada
com mais facilidade. A mensagem que aparece no site, que afirma que serão
analisados movimentos do mouse e a digitação para melhorar a geração de
números, é falsa.
Embora
os recursos de criptografia sejam adequados para proteger o próprio
"Mega", que não poderá ver os conteúdos dos arquivos e das mensagens
trocadas pelos usuários, isso não reflete em mais segurança e proteção para o
internauta.
Por
exemplo, o Megaupload costumava receber solicitações para armazenar todas as
cópias de um determinado arquivo. É bem provável que o "Mega" não
possa cumprir esse tipo de determinação, pois a criptografia fará com que um
mesmo arquivo seja armazenado de formas diferentes para usuários diferentes.
Por
outro lado, caso o Mega receba uma solicitação para revelar os dados
específicos de um usuário, não haverá dificuldade para obter esses dados. Como
o site já dispõe das chaves criptográficas, basta que o site guarde a senha do
internauta, preenchida no momento do login. Com a senha e a chave, todos os
dados e mensagens podem ser decodificados.
O
especialista em segurança Steve Thomas publicou no Twitter que o e-mail de
confirmação enviado pelo Mega contém a senha codificada do usuário. Ele está
trabalhando em uma ferramenta chamada MegaCracker que poderia revelar a senha a
partir do código presente no e-mail.
Como
no Megaupload, e diferente de concorrentes como SkyDrive e Dropbox, o Mega
também permite o envio de arquivos sem cadastrar uma conta no serviço. Além dos
problemas de segurança, o serviço ainda enfrenta diversas incompatibilidades
com navegadores e até mesmo o download de arquivos fica prejudicado no Firefox.
O serviço recomenda o uso do Google Chrome.
Críticas na imprensa ao site “Techweek", o
especialista Alan Woodward afirmou que a criptografia usada pelo Mega "não
é ideal". "Acho que o Mega não está usando criptografia para a
segurança dos usuários, mas sim para a proteção legal deles mesmos. “Não
consigo imaginar que alguém que entenda criptografia confiaria seus dados ao
Mega como ele é hoje", afirmou.
Ainda
de acordo com o "Techweek", o Mega prometeu criar um meio de trocar
as senhas "em breve". No entanto, caso a senha de acesso à conta seja
totalmente independente da criptografia, o site também terá o acesso total aos
arquivos do internauta.
Lee
Hutchinson, colaborador do site de tecnologia "Ars Technica", escreveu
um artigo sobre a criptografia do Mega com o título "Megaruim"
("Megabad").
Já
o site TorrentFreak, que descreveu a segurança do site como
"brilhante", criticou trechos da política de privacidade do site,
dizendo que a ausência de mecanismos para defender o anonimato dos internautas
é uma "oportunidade perdida".
Nenhum comentário:
Postar um comentário