Dotcom nabízí 10 tisíc eur za nalezení bezpečnostní chyby ve službě Mega

Karel Michal , 04. únor 2013 14:24 0 komentářů

Nejen Google, ale už i soukromníci, jako Kim Dotcom, nabízejí relativně závratné částky za nalezení bezpečnostní chyby ve svých online službách.

Dotcom spustil program s finančními odměnami během uplynulého víkendu. Pokud útočník odhalí ještě nezjištěnou (0-day) zranitelnost, má za ni nárok na odměnu 10k eur a za každou další se částka násobí. Pokud je chyba jen dílčího rázu, není závažná, nebo již byla odhalena, nepřijde útočník zkrátka, ale bude mu vyplacena poměrově k tomu nižší částka. Odměna bude vyplacena i těm, kdo objeví chybu v samotné logice služby.

K tomuto kroku provozovatele vedl fakt, že za krátkou dobu od spuštění během letošního výročí zátahu proti Megauploadu byly objeveny již tři zranitelnosti, žádná naštěstí zatím neohrožovala celou funkcionalitu služby.

První a nejzásadnější chyba využívala nevhodný šifrovací algoritmus pro hash funkci, která ověřovala integritu JavaScript kódu z CDN. Právě díky ní nabyl Dotcom podezření, že ne všichni programátoři, kteří se na projektu podíleli, rozumí základním principům šifrování správně. Dále byly objeveny dvě blíže nespecifikované XSS chyby.

Princip fungování služby Mega je takový, že služba umožňuje uploadovat soubory a komukoli, kdo zná odkaz na stahovaný soubor jej následně stáhnout, archivace souborů probíhá dlouhodobě. Pro upload Mega nabízí 50 GB prostoru v cloudu zdarma pro každého, což je několikanásobně více, než nabízí konkurence. Data jsou zašifrovaná, a tak k nim má přístup pouze ten, kdo je uploadoval. Samotné soubory jsou ukládány zašifrované AES algoritmem a důležitý bod celého procesu spočívá v tom, že následná dešifrace proběhne až na straně uživatele. Provozovatel služby tak nebude mít nikdy přímý přístup k původnímu souboru.

Klíč, pomocí kterého probíhá dešifrování, je poskytnut pouze uživateli, jenž soubor nahrává a je na něm, komu jej zpřístupní dále. Jedním z důsledků tohoto postupu je, že poskytovatel není schopen identifikovat opakované nahrání nějakého souboru a tím pádem ani odstranit jeho případné kopie, pokud by o to majitelé práv zažádali.


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů

Světový trh s polovodiči poroste letos výrazně rychleji

Pavel Houser , 16. leden 2018 10:26

Očekávaný růst souvisí zejména s růstem cen RAM a flash pamětí. Bezpečností slabiny procesorů mohou ...

Více 0 komentářů

Výrobce chytrých telefonů Xiaomi vstupuje na burzu

ČTK , 16. leden 2018 09:00

Někteří analytici hodnotu 100 miliard zpochybňují s argumentem vysoké konkurence na globálním trhu c...

Více 0 komentářů

Starší zprávičky

Internetové bankovnictví používá polovina Evropanů

ČTK , 16. leden 2018 08:00

Česká republika obsadila mezi 28 zeměmi EU spolu s Rakouskem 12. příčku s podílem 57 %....

Více 0 komentářů

Acronis: letos bude ransomware útočit i na IoT zařízení

Pavel Houser , 15. leden 2018 12:28

Ohrožena budou i auta, chytré domácnosti, lékařské přístroje a nositelná elektronika (ransomwear)....

Více 0 komentářů

SoftBank plánuje prodej akcií divize pro mobilní telefony

ČTK , 15. leden 2018 12:18

Prodej akcií divize SoftBank by se mohl stát jednou z největších primárních emisí v Japonsku....

Více 0 komentářů

Vláda projedná novelu zákona o EET do konce února

ČTK , 15. leden 2018 08:00

Ministryně se chce příští týden setkat se zástupci podnikatelských svazů a komor a prodiskutovat s n...

Více 0 komentářů