Dotcom nabízí 10 tisíc eur za nalezení bezpečnostní chyby ve službě Mega

Karel Michal , 04. únor 2013 14:24 0 komentářů

Nejen Google, ale už i soukromníci, jako Kim Dotcom, nabízejí relativně závratné částky za nalezení bezpečnostní chyby ve svých online službách.

Dotcom spustil program s finančními odměnami během uplynulého víkendu. Pokud útočník odhalí ještě nezjištěnou (0-day) zranitelnost, má za ni nárok na odměnu 10k eur a za každou další se částka násobí. Pokud je chyba jen dílčího rázu, není závažná, nebo již byla odhalena, nepřijde útočník zkrátka, ale bude mu vyplacena poměrově k tomu nižší částka. Odměna bude vyplacena i těm, kdo objeví chybu v samotné logice služby.

K tomuto kroku provozovatele vedl fakt, že za krátkou dobu od spuštění během letošního výročí zátahu proti Megauploadu byly objeveny již tři zranitelnosti, žádná naštěstí zatím neohrožovala celou funkcionalitu služby.

První a nejzásadnější chyba využívala nevhodný šifrovací algoritmus pro hash funkci, která ověřovala integritu JavaScript kódu z CDN. Právě díky ní nabyl Dotcom podezření, že ne všichni programátoři, kteří se na projektu podíleli, rozumí základním principům šifrování správně. Dále byly objeveny dvě blíže nespecifikované XSS chyby.

Princip fungování služby Mega je takový, že služba umožňuje uploadovat soubory a komukoli, kdo zná odkaz na stahovaný soubor jej následně stáhnout, archivace souborů probíhá dlouhodobě. Pro upload Mega nabízí 50 GB prostoru v cloudu zdarma pro každého, což je několikanásobně více, než nabízí konkurence. Data jsou zašifrovaná, a tak k nim má přístup pouze ten, kdo je uploadoval. Samotné soubory jsou ukládány zašifrované AES algoritmem a důležitý bod celého procesu spočívá v tom, že následná dešifrace proběhne až na straně uživatele. Provozovatel služby tak nebude mít nikdy přímý přístup k původnímu souboru.

Klíč, pomocí kterého probíhá dešifrování, je poskytnut pouze uživateli, jenž soubor nahrává a je na něm, komu jej zpřístupní dále. Jedním z důsledků tohoto postupu je, že poskytovatel není schopen identifikovat opakované nahrání nějakého souboru a tím pádem ani odstranit jeho případné kopie, pokud by o to majitelé práv zažádali.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů