فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
في وقت سابق من هذا الشهر ، أطلق Kim Dotcom الملتهب بشكل دائم (وسجن أحيانًا) نظامًا مشفرًا لتخزين الملفات يسمى Mega. من خلال تسليط الضوء على المشكلات القانونية التي أغلقت شركته السابقة ، Megaupload ، وصف Dotcom الخدمة الجديدة بأنها خاصة ومشفرة وآمنة للغاية. ومع ذلك ، من الواضح أن ميجا كانت لديها بعض الأفكار غير العادية حول معنى ذلك.
حالة التشفير
يستخدم ميجا نظام ذكي لخدمة اتصالات آمنة بأسعار رخيصة. يتصل المستخدمون بالميجا من خلال خوادم مركزية تستخدم مفاتيح RSA 2048 بت. هذه الخوادم متصلة بشبكة موزعة من الخوادم "أرخص" باستخدام مفاتيح RSA 1024 بت. وفقًا لمدونة Naked Security الخاصة بـ Sophos ، "هذا يعني أنه سيتعين عليك اختراق الخوادم المحمية 2048 بت والخوادم المحمية 1024 بت من أجل تقديم برامج نصية غير مصرح بها من جزء الأمان السفلي من الشبكة.
"لو! طريقة رائعة للحصول على كعكة الأمان الخاصة بك ولكن ادفع أقل لتسليمها."
المخطط ذكي ، لكنه لم يجتاز بعض النقاد - وهو ما وثقته سوفوس بالتفصيل. ازداد الأمر سوءًا عندما نظرت fail0verflow في JavaScript المستخدمة لنقل البيانات من خوادم 1024 بت. اكتشفوا أن Mega تستخدم مصادقة CBC-MAC ، والتي تحتوي على مفتاح مرمّز بشكل واضح للعيان في البرنامج النصي. كان هذا مثل استخدام قفل المجموعة ، ولكن كتابة الكود على الظهر حتى لا تنساه.
في حالة مشكلة Java ، قامت Mega بتصحيح الموقف بسرعة في غضون ساعات. ومع ذلك ، حتى تلك الاستجابة السريعة لم تضع الجميع في سهولة. قال كبير مستشاري الأمن في Sophos Canada Chester Wisniewski لـ SecurityWatch ، "السؤال المتبقي هو هل لدى الموظفين / المبرمجين في Mega أول فكرة عن كيفية القيام بالتشفير بشكل صحيح؟ لا تتوقع أن يقوم خبراء التشفير بأخطاء هواة كهذه."
وتابع "كم من الأخطاء الأخرى التي قد ارتكبوها؟ هل يجب أن تثق يومًا بشخص آخر لحماية بياناتك عندما لا تستطيع أن ترى كيف يفعلون ذلك؟"
شون بودمر ، كبير الباحثين في CounterTack ، من ناحية أخرى ، كان صريحا في تقييمه لأنظمة تشفير ميجا. "لا هذا ليس مدروسًا بشكل جيد لحلول طويلة الأجل لتكامل البيانات ، ولكن أكثر من ذلك يعد حلًا غير طبيعي جزءًا من استراتيجية الذهاب إلى السوق".
وقال بودمر لـ SecurityWatch: "هناك العديد من التطبيقات الأكثر موثوقية مثل Google Drive أو Dropbox أو SkyDrive التي تقدم حلاً تخزين أكثر قوة بكثير".
الأمر كله يتعلق بالحفاظ على كيم آمن
تتمثل إحدى نقاط بيع Mega في أنها تقدم "تشفيرًا من طرف إلى طرف" ، حيث يتم تشفير البيانات قبل إرسالها إلى Mega ، أثناء وجودها في Mega ، وفك تشفيرها فقط عند تنزيلها بواسطة مستخدم باستخدام مفتاح تشفير محدد. الفكرة هي أنه حتى لو تم اختراق Mega أو (على الأرجح) لتسليم المعلومات عن طريق تطبيق القانون ، فإن بياناتك ستكون عديمة الفائدة وحتى غير معروفة.
هذا أمر بالغ الأهمية لأنه بموجب قانون حقوق الطبع والنشر الرقمية للألفية في الولايات المتحدة ، يمكن أن يتجنب موقع الويب العقوبة على استضافة محتوى محمي بحقوق الطبع والنشر إذا تعاون بسرعة مع تطبيق القانون لإزالته. يحتوي توجيه التجارة الإلكترونية للاتحاد الأوروبي على ترتيب مسئولية محدودة متشابهة. بالنسبة إلى Mega ، يسمح مخطط التشفير للمستخدمين بتخزين معلوماتهم في نموذج مشفر ، ولكنه يسمح أيضًا لشركة Dotcom وشركته بالحرمان التام عندما تطرق الشرطة.
ومع ذلك ، يقال Mega لا تشفير معلومات المستخدم. قال الخبراء الذين تحدثنا إليهم إنه على الرغم من أن هذا لم يكن بالضرورة غريبًا - أو حتى إهمال - إلا أن معظمهم كانوا على صلة بالتعاون مع تطبيق القانون.
وقال ويسنيفسكي: "هذا ليس بالأمر غير المعتاد ، لكنه يشير إلى أن حماية التشفير التي طبقتها موجودة لحماية ميغا أكثر من مستخدم الخدمة". "إذا أراد تطبيق القانون النيوزيلندي معرفة ملكية الملف ومعلومات الاتصال ، فستتمكن Mega من ذلك ونحن نفترض استعدادنا لتسليم هذه المعلومات."
في حالة قيام مستخدمي Mega بتسليم مفاتيح التشفير الخاصة بهم من أجل مشاركة الملفات (التي هم بالفعل) ويمكن لفرض القانون أن يؤكد أن المحتوى يخضع حقًا لحقوق الطبع والنشر ، فإن Mega لديها حق الوصول إلى معلومات المستخدم. هذا قد يسمح ميجا أن يكون في كلا الاتجاهين. يمكن أن يظلوا أعمى للمحتوى غير القانوني على نظامهم ، ولكن لا يزالون "ملاذًا آمنًا".
وافق بودمر قائلاً ، "إن التفكير في وضع مقاييس لتخفيف التحديات القانونية في المستقبل يبدو كأنه نهج منطقي ، سأفعل نفس الشيء إذا كان مشروعي الأخير قد أنهى الطريقة التي انتهى بها."
أشار أليكس هوران ، خبير الأمن في CORE Security ، إلى أن ميجا لن تكون وحدها في اتخاذ خطوات لتجنب التشابك القانوني. وقال لـ SecurityWatch: "ليس هناك الكثير من الأنظمة المصممة لحماية الشركة من الدعاوى القضائية؟ أنا أزعم أن ميجا ملزمة بالقيام بذلك".
"قد يكون أكثر حساسية لها من الشخص العادي لأنه يمكن أن يفترض تحليل خدمته الجديدة عن كثب" ، وتابع حوران.
الوجبات الجاهزة
بينما تقوم Mega بالتأكيد بتشفير المعلومات ، تبدو الجوانب الأخرى من تشغيلها موضع تساؤل. الأمر الأكثر إثارة للقلق ، أكثر من فشل التشفير والأنظمة الموزعة ، هو كيفية تسويق الخدمة. يجب أن يكون واضحًا من البداية: إنه غير مصمم لحمايتك ، بل مصمم لحمايتهم.
لمعرفة المزيد من ماكس ، اتبعه على Twitterwmaxeddy.