Video: ¿Están nuestros archivos seguros en la nube? Responde Keren Elazari (Noviembre 2024)
A principios de este mes, Kim Dotcom, perpetuamente extravagante (y ocasionalmente encarcelado), lanzó un sistema de almacenamiento de archivos cifrados llamado Mega. Al destacar los problemas legales que cerraron su empresa anterior, Megaupload, Dotcom promocionó el nuevo servicio como privado, cifrado y súper seguro. Sin embargo, está claro que Mega tenía algunas ideas bastante inusuales sobre lo que eso significa.
La situación de cifrado
Mega utiliza un esquema inteligente para ofrecer conexiones seguras a bajo precio. Los usuarios se conectan a Mega a través de servidores centralizados que utilizan claves RSA de 2048 bits. Esos servidores están conectados a una red distribuida de servidores "más baratos" utilizando claves RSA de 1024 bits. Según el blog de Naked Security de Sophos, "eso significa que tendría que comprometer los servidores protegidos de 2048 bits y los servidores protegidos de 1024 bits para servir scripts no autorizados desde la parte de menor seguridad de la red.
"¡Lo! Una forma ordenada de tener tu pastel de seguridad, pero paga menos para entregarlo".
El esquema es ingenioso, pero no pasó con algunas críticas, que Sophos documentó en detalle. El asunto empeoró cuando fail0verflow examinó el JavaScript utilizado para mover los datos de los servidores de 1024 bits. Descubrieron que Mega empleaba la autenticación CBC-MAC, que contenía una clave codificada claramente visible en el script. Esto fue como usar un candado de combinación, pero escribir el código en la parte posterior para que no lo olvide.
En el caso del problema de Java, Mega rápidamente rectificó la situación en cuestión de horas. Sin embargo, incluso esa respuesta rápida no tranquilizó a todos. Chester Wisniewski, asesor de seguridad sénior de Sophos Canadá, dijo a SecurityWatch : "La pregunta que queda es si el personal / programadores de Mega tienen la primera pista sobre cómo hacer la criptografía correctamente. No esperarías que los expertos en criptomonedas cometan errores como este"."
Continuó, "¿cuántos otros errores podrían haber cometido? ¿Deberías confiar en alguien para proteger tus datos cuando no puedes ver cómo lo están haciendo?"
Sean Bodmer, investigador jefe de CounterTack, por otro lado, fue contundente en su evaluación de los sistemas de encriptación de Mega. "No, esta no está bien pensada como solución a largo plazo para la integridad de los datos, pero más aún como una solución inmediata como parte de una estrategia de mercado".
"Hay muchas implementaciones más confiables como Google Drive, Dropbox o SkyDrive que ofrecen una solución de almacenamiento mucho más robusta", dijo Bodmer a SecurityWatch .
Se trata de mantener a Kim segura
Uno de los puntos de venta de Mega es que ofrece un "cifrado de extremo a extremo", donde los datos se cifran antes de enviarse a Mega, mientras están en Mega, y solo se descifran cuando un usuario los descarga con una clave criptográfica específica. La idea es que incluso si Mega es pirateado o (más probablemente) obligado a entregar información por la policía, sus datos serían inútiles e incluso no identificables.
Esto es crítico porque bajo la Ley de Derechos de Autor del Milenio Digital de EE. UU., Un sitio web puede evitar el castigo por alojar contenido protegido por derechos de autor si coopera rápidamente con la policía para eliminarlo. La directiva de Comercio Electrónico de la UE contiene un acuerdo de responsabilidad limitada concebido de manera similar. Para Mega, el esquema de encriptación permite a los usuarios almacenar su información en forma encriptada, pero también le permite a Dotcom y a su compañía la negación total cuando la policía llama a la puerta.
Sin embargo, según los informes, Mega no cifra la información del usuario. Los expertos con los que hablamos dijeron que si bien esto no era necesariamente peculiar, o incluso negligente, la mayoría hizo la conexión con la cooperación con la policía.
"No es inusual, pero sugiere que las protecciones criptográficas que han implementado son más para proteger a Mega que al usuario del servicio", dijo Wisniewski. "Si las fuerzas del orden público de Nueva Zelanda quieren saber sobre la propiedad del archivo y la información de conexión, Mega podrá y asumimos que estamos dispuestos a entregar esa información".
En una situación en la que los usuarios de Mega están entregando sus claves criptográficas para compartir archivos (que ya lo están) y la policía puede confirmar que el contenido está realmente protegido por derechos de autor, Mega tiene acceso a la información del usuario. Esto podría permitir que Mega lo tenga en ambos sentidos; pueden permanecer ciegos al contenido ilegal en su sistema, pero aún así ser un "puerto seguro".
Bodmer estuvo de acuerdo y dijo: "La previsión de las métricas de cocción para facilitar futuros desafíos legales parece un enfoque lógico, yo haría lo mismo si mi última empresa hubiera terminado de la manera en que lo hizo".
Alex Horan, estratega de seguridad de CORE Security, señaló que Mega no estaría sola al tomar medidas para evitar enredos legales. "¿No hay muchos sistemas diseñados para proteger a la compañía de litigios? Yo diría que Mega está obligado a hacer eso", dijo a SecurityWatch .
"puede ser más sensible que la persona promedio, ya que puede asumir que su nuevo servicio sería analizado de cerca", continuó Horan.
La comida para llevar
Si bien Mega ciertamente cifra la información, otros aspectos de su funcionamiento parecen cuestionables. Lo más preocupante, más que fallas criptográficas y sistemas distribuidos, es cómo se comercializa el servicio. Debe quedar claro desde el principio: no está diseñado para protegerlo, está diseñado para protegerlos.
Para más de Max, sígalo en Twitter @wmaxeddy.
