Pub

segunda-feira, 11 de fevereiro de 2013

O novo serviço Mega do DotCom é seguro?

O mais recente projecto do DotCom, o serviço de partilha de ficheiros Mega, já está online mas teve um início atribulado. O site do Mega não conseguiu dar resposta a todas as visitas naquele dia e depois surgiram algumas dúvidas acerca de segurança deste sistema.


Quase um ano após o famoso site Megaupload ter sido fechado por ordem judicial, o seu criador lançou um novo serviço que diz ser melhor que o anterior e que é superior à concorrência.

Para mostrar o seu novo serviço Mega, DotCom organizou um grande evento de lançamento com bailarinas, música e direito a transmissão online. Mas as coisas não correram tão bem pois DotCom subestimou um bocado os acessos e o sistema Mega viveu períodos difíceis nas horas iniciais, não devido ao sistema de partilha em si mas devido à parte dos novos registos de utilizador e de todo o processo inicial para a escolha da password, uma peça super importante neste novo sistema. Calcula-se que só no primeiro dia tenham sido registados cerca de 1 milhão de utilizadores e que cerca de outras 200 mil contas não foram registadas naquele dia por falta de resposta do servidor.


Após as primeiras horas levantaram-se algumas questões de segurança e foram apontadas algumas falhas na implementação do novo sistema. Uma das falhas apontadas é o facto de não ser possível recuperar uma password perdida ou mudar a password (coisas que geralmente podemos fazer em qualquer outro site onde temos contas pessoais). Outra falha apontada é o facto desta password ser fulcral para o algoritmo utilizado para cifrar a informação trocada entre o servidor e o utilizador.

No dia seguinte ao lançamento, DotCom pediu desculpas pela má resposta do sistema nas primeiras horas e mais tarde lançou um desafio online: quem conseguir quebrar a segurança do sistema recebe um prémio.
DotCom também informou que irá lançar brevemente os serviços Megabox orientado para o mundo música e o serviço Megavideo para o vídeo.


Mas expliquemos um pouco o que é o serviço Mega e como é que funciona.

O serviço Mega é um serviço de storage e de partilha de ficheiros online. Baseia-se um pouco no conceito de Cloud pois os utilizadores fazem tudo pelo site e o servidor encarrega-se de fazer parte do processamento da informação. Cada utilizador pode guardar gratuitamente até 50GB de informação online ou pode pagar uma mensalidade (entre $13 a $40) para poder guardar entre 500GB a 4TB de informação.

O serviço Mega não precisa que o utilizador instale qualquer aplicação adicional no seu computador. Os browsers de hoje em dia já são suficientemente potentes para correr grandes quantidades de javascript sem qualquer problema, portanto o sistema Mega usa e abusa desta linguagem para efectuar o processo de cifrar a informação a enviar e para decifrar o processo da informação a receber. O algoritmo de cifra é bem conhecido (e assim é que deve ser!) e a sua implementação ficou a cargo da comunidade Open-Source. Com este sistema, o serviço Mega pode funcionar em todos os sistemas operativos e em todas as arquitecturas sem qualquer esforço adicional. Mais uma vantagem da filosofia Cloud.

O algoritmo de cifra é o AES com uma chave de 128 bits aliado a um sistema RSA de chaves públicas e privadas com 2048 bits. No meio disto tudo existe uma chave (que é a password do utilizador) que é muito importante pois é a partir dela que irão ser originadas todos os componentes necessários para um algoritmo de cifra funcionar. Durante o processo de aquisição desta chave mestra, o sistema Mega também informa que recolheu dados sobre a posição do rato e sobre algumas teclas impressas desde que o utilizador acedeu ao site. Estes dados serão utilizados durante o processo de criação de números aleatórios pois também eles desempenham um papel importante em todo o processo de obter boas chaves públicas e privadas. Depois de obtida a chave mestra, é apenas guardado o Hash dela no servidor (ou seja, os administradores do sistema não sabem a password assim tão facilmente).


Quanto à informação essa fica toda guardada no servidor (guarda em duplicado mas a cópia não ocupa espaço na conta do utilizador) mas fica cifrada. Depois podem dar um link aos vossos amigos e dar a chave pública para que eles possam tirar documentos ou ficheiros que estão na vossa nuvem. Atenção que os movimentos e a informação não é totalmente anónima.

Tudo isto parece ser muito robusto e cheio de segurança mas o calcanhar de Aquiles do sistema Mega foi identificado logo desde muito cedo. É o utilizador. Ou melhor, indirectamente é o utilizador porque da maneira como o sistema está arquitectado, a maior fatia da responsabilidade vai cair no utilizador pois se a sua password for capturada toda a gente tem acesso à sua informação e pode partilhar em nome dele. Houve já quem provasse que com técnicas de cross-site scripting é possível aceder à conta de um utilizador utilizando sessões antigas que geralmente são guardadas pelos browsers. Num sistema de burla mais avançado, é possível mascarar o site Mega com um outro site idêntico, que continua a servir os mesmos ficheiros (que são de facto os ficheiros que o utilizador tem) mas que começa a pedir ao utilizador para inserir mais informação, como a sua conta do Facebook ou de outras redes sociais, ou até mesmo códigos PayPal.

Atenção que não estamos a dizer que só o sistema Mega é que sofre deste mal, muitos outros sites têm algumas falhas de segurança, mas pelo menos os outros sites têm a possibilidade de destruir a password antiga do utilizador e obrigar este a inserir uma nova. No sistema Mega tal não é possível pois todos os dados seriam perdidos uma vez que os ficheiros se encontram também cifrados no servidor.


O serviço Mega, conforme o conhecemos hoje, é tal e qual o serviço disponibilizado pelo DropBox, pelo Google Drive ou pelo SkyDrive da Microsoft. As duas maiores diferenças está no sistema de cifra utilizado e na maior quantidade gratuita de espaço na nuvem. Mas verdade seja dita, o serviço do DotCom está a ter muito mais aderência do que os outros serviços e irá causar certamente mossa neste negócio. Pode ser que dê um abanão aos

E agora pergunto aos leitores, utilizadores do sistema Mega, qual é a sensação de segurança que têm e se este problema do reset (ou da recuperação) da password é realmente grave e causa-vos diferença?

Nenhum comentário:

Postar um comentário