Dotcom nabízí 10 tisíc eur za nalezení bezpečnostní chyby ve službě Mega

Karel Michal , 04. únor 2013 14:24 0 komentářů

Nejen Google, ale už i soukromníci, jako Kim Dotcom, nabízejí relativně závratné částky za nalezení bezpečnostní chyby ve svých online službách.

Dotcom spustil program s finančními odměnami během uplynulého víkendu. Pokud útočník odhalí ještě nezjištěnou (0-day) zranitelnost, má za ni nárok na odměnu 10k eur a za každou další se částka násobí. Pokud je chyba jen dílčího rázu, není závažná, nebo již byla odhalena, nepřijde útočník zkrátka, ale bude mu vyplacena poměrově k tomu nižší částka. Odměna bude vyplacena i těm, kdo objeví chybu v samotné logice služby.

K tomuto kroku provozovatele vedl fakt, že za krátkou dobu od spuštění během letošního výročí zátahu proti Megauploadu byly objeveny již tři zranitelnosti, žádná naštěstí zatím neohrožovala celou funkcionalitu služby.

První a nejzásadnější chyba využívala nevhodný šifrovací algoritmus pro hash funkci, která ověřovala integritu JavaScript kódu z CDN. Právě díky ní nabyl Dotcom podezření, že ne všichni programátoři, kteří se na projektu podíleli, rozumí základním principům šifrování správně. Dále byly objeveny dvě blíže nespecifikované XSS chyby.

Princip fungování služby Mega je takový, že služba umožňuje uploadovat soubory a komukoli, kdo zná odkaz na stahovaný soubor jej následně stáhnout, archivace souborů probíhá dlouhodobě. Pro upload Mega nabízí 50 GB prostoru v cloudu zdarma pro každého, což je několikanásobně více, než nabízí konkurence. Data jsou zašifrovaná, a tak k nim má přístup pouze ten, kdo je uploadoval. Samotné soubory jsou ukládány zašifrované AES algoritmem a důležitý bod celého procesu spočívá v tom, že následná dešifrace proběhne až na straně uživatele. Provozovatel služby tak nebude mít nikdy přímý přístup k původnímu souboru.

Klíč, pomocí kterého probíhá dešifrování, je poskytnut pouze uživateli, jenž soubor nahrává a je na něm, komu jej zpřístupní dále. Jedním z důsledků tohoto postupu je, že poskytovatel není schopen identifikovat opakované nahrání nějakého souboru a tím pádem ani odstranit jeho případné kopie, pokud by o to majitelé práv zažádali.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů

Český startup CleverFarm buduje v Srbsku síť IoT

Pavel Houser , 17. červenec 2018 10:00

Český startup CleverFarm, který zavádí moderní technologie do zemědělství, pomáhá s budováním IoT sí...

Více 0 komentářů