Yahoo! y Facebook enfrentadas para adquirir Tumblr
Bill Gates supera a Carlos Slim como el hombre ...
Larry Page y la polémica que despertó contra Mi...
El nuevo Google Maps a primera vista
Google Glass a primera vista
Todo lo que vimos en la primera jornada del eve...
Larry Page: "Estamos sólo en el 1% de lo que po...
Buscador web Google ahora te escucha hablar y r...Mega responde críticas a la seguridad de su sistema
Aunque Mega ha explicado cómo funciona a rasgos generales su sistema de cifrado para mantener la seguridad de los archivos alojados en el servicio, no ha revelado los detalles de cómo funciona el sistema, lo que ha provocado que expertos alrededor del mundo le dedicaran horas al análisis del servicio.
En estas investigaciones, aparecieron una serie de preocupaciones respecto a que Mega no estaría cumpliendo con entregar la seguridad que promete, además de criticar el hecho de que no es posible cambiar ni recuperar la contraseña. Ahora, Mega respondió en un comunicado en su blog oficial.
Cambio de contraseña
El servicio confirmó que los usuarios no pueden recuperar la contraseña si la pierden, pero se comprometió a implementar un sistema que permita cambiarla. “Una característica de cambio de contraseña volverá a cifrar la llave maestra con tu nueva contraseña, y actualizarla a nuestros servidores”, indicó la compañía.
También se agregará un mecanismo para recuperar la clave para volver a entregar acceso a tu cuenta, sin embargo, “todos los archivos serán ilegibles. Ahora, si tienes llaves pre-exportadas, puedes importarlas para recuperar acceso a esos archivos. Además, puedes solicitar a los pares con quienes hayas compartido que te envíen llaves compartidas específicas – pero eso es todo. El resto de tus datos aparecerá como garabatos binarios hasta que recuerdes tu contraseña”.
Azar y entropía
Por otro lado, se criticó que Mega no usaba azar verdadero para generar las llaves, sino que “pseudo-azar” que podía ser más fácil de adivinar. La compañía se comprometió a agregar más aleatoriedad o entropía a la manera en que genera las claves al registrarse en el servicio.
En este momento, las llaves se generan utilizando la función math.random(), que por sí sola genera números pseudo-aleatorios que pueden ser adivinados. Para crear azar verdadero, existen varios sistemas como seguir los movimientos del mouse, la presión sobre el teclado, el ruido capturado por un micrófono, o alguna otra cosa. Mega usa los dos primeros, pero se comprometió en el futuro a permitir que el usuario agregue manualmente mayor entropía si así lo desea.
Des-duplicar
En los términos de servicio de Mega aparece un punto que señala que “nuestro servicio puede eliminar automáticamente datos que tú subas o le entregues a alguien cuando determine que esos datos son un duplicado exacto de datos originales que ya están en nuestro servicio. En ese caso, se te entregará acceso a esos datos originales”.
En servicios como MegaUpload, si 20 personas subían una película, en realidad sólo se conservaba una copia y se le daba acceso a ella a las 20 personas, ya que se trata del mismo archivo, y así se ahorra espacio en los servidores.
Sin embargo, en teoría todo lo que se sube a Mega está cifrado y convertido en garabatos ilegibles por medio de una llave única, por lo que ningún archivo subido al sitio debiera ser igual a otro, y el servicio no debería tener forma de saber si un archivo está duplicado o no. ¿Está escondiendo algo Mega?
“Mega realmente usa la desduplicación, pero lo hace en base al archivo post-cifrado, en lugar de en los bloques previo al cifrado”, explicó el servicio. Es decir, si un mismo usuario sube varias veces el mismo archivo usando la misma llave de cifrado, Mega sólo guardará una copia para ese usuario. Lo que hace es comparar los paquetes de garabatos, de modo que si dos usuarios suben el mismo archivo usando diferentes llaves, no podrá equipararlos.
También se usará la desduplicación cuando, como usuario de Mega, compartas un archivo con otros usuarios de Mega. En lugar de poner el archivo compartido varias veces en múltiples cuentas, se almacenará en una y se le dará acceso a los demás usuarios con quienes se compartió.
SSL
Criptógrafos en Forbes acusaron que si alguien lograba saltarse el cifrado SSL, que verifica que la identidad de una web sea la que dice ser, podría vulnerar Mega. “Sí. Pero si puedes romper el SSL, puedes romper un montón de cosas que son mucho más interesantes que Mega”, señaló el sitio.
Por otro lado, se acusó también al servicio de verificar su propio código Javascript, de modo que la fuente de verificación no sería confiable, lo que fue desmentido por Mega. Además, se dijo que el servidor SSL utilizaba cifrado de 1024 bit en lugar de 2048 bit. Mega consta de dos sitios, el front mega.co.nz, y static.co.nz. El primero usa cifrado en 2048 bit y es verificado, mientras que el segundo usa 1024 bit y podría ser visto como no confiable. Sin embargo, static.co.nz sirve código a mega.co.nz, que verifica que éste no ha sido modificado por ataques tipo “man in the middle”.
MegaCracker
El servicio también se refirió a la existencia de una herramienta llamada MegaCracker, creada por el investigador de seguridad Steve Thomas, también conocido como Scoobz. La aplicación permite extraer las contraseñas de los usuarios a partir del correo de confirmación enviado por Mega después de que uno se registra en el servicio.
El enlace que envía Mega para confirmar la cuenta tiene una versión cifrada de la contraseña del usuario incluida en él. Lo que hace MegaCracker es tomar este código y tratar de descifrarlo usando una lista de claves predefinidas por el atacante.
Por supuesto, para que funcione hay que tener acceso al correo del usuario antes de poder entrar al servicio. La probabilidad de romper el cifrado de una contraseña de usuario es más baja mientras mejores sean las prácticas del usuario para elegir su clave, por lo que Mega simplemente señaló que MegaCracker sirve como “un excelente recordatorio de que no hay que usar contraseñas adivinables o de diccionario”.
Link: A word on cryptography (Mega)
40 Comentarios
Mega responde críticas a la seguridad de su sistema
cuéntanos más...
Mi mamá me quiere todo esto.
Grande campeón, tú si sabes invertir tu tiempo
xB, por qué cojones los medio simios todavía en el siglo XXI no sabéis escribir? Me cago en tus muertos, mono.
@Carlos: claro que sé invertir mi tiempo. Cony ya modificó el artículo y seguramente aprendió una palabra nueva. En cambio, con otros redactores no vale la pena perder el tiempo.
El servicio de mega se ha restablecido completamente-......ahora si veo la velocidad tanto de subida como de descarga,,,llegando a 300 kbs de velocidad en un archivo de 1 gb,,,la velocidad es bastante buena para mi gusto
Respondertienes razón, desde el sabado no había logrado subir mas que una imagen de 200kb pero ahora ya he subido varios archivos de 100 mb. ahora si esta funcionando. Ya era Hora.
Aquí en México (al menos en la ciudad que vivo) la mayoría tenemos conexión de 6mb. Prefiero seguir con Mediafire que les ofrece 600kbps a los free users.
Hasta lo que alcanza con mi inteligencia, es imposible que descargues a 600kbps con 6 megas de internet
6Mb....= 1024 x 6 = 6144kbps / 8 (20% perdida) = 768Kbps de descarga......
Revisa tu inet.......
Como sea, yo he descargado a tope de mis 10Mb... pero en mediafire no encuentras nada....
@Alejandreitor
6Mbps = 1024Kbps x 6 = 6144Kbps = 768KB/s
No es un 20% de perdida es solo que 1 Byte = 8 bit
Estan mal sus calculos, en las redes de datos la unidad de medida que se utiliza son los "Megabits decimales" para contabilizar los datos, x lo tanto 1 Mega de internet seria "1 Megabit x segundo", asi que en este caso el calculo correcto seria:
6Mb = 1000 x 6 = 6000Kbps / 8 = 750 KB/s con el 20% estimado en perdida, en este caso 20% de 750 KB/s seria aproximadamente 150 KB/s aproximado de perdida teorica, x lo tanto tendria como resultado 600 KB/s de descarga maxima lo cual coincidiria a los 600KiloBytes/segundo que describe para enlace de 6Megabits x segundo de descarga calculado con una perdida estimada del 20% de enlace aproximadamente.
Iba a decir lo mismo que MasterNet, que de hecho a lo que nosotros llamamos "Mb" son "MiB" esta confusión para por un cambio como por 1998
La mayoría de las críticas que aparecen aquí son bastante infundadas por las siguientes razones, teniendo en cuenta como he entendido el funcionamiento de Mega:
Responder*Cambio de contraseña
Cambiar la contraseña requeriría descargar todos los archivos, descifrarlos en el lado del cliente con la clave maestra antigua y recifralos con la clave maestra nueva. Evidentemente, esto no es viable.
*Azar y entropía
Es imposible generar números realmente aleatorios en un ordenador, y entiendo que solo usan el teclado y el ratón para añadir entropía al número pseudoaleatorio creado porque son eventos que se pueden recoger facilmente del navegador sin necesitar complementos como flash y parecidos.
De cualquiera de las maneras, diría que generalmente los números generados por math.ramdom() son de calidad suficiente para el 99% de los sistemas, y que además obtener información relevante sobre como se generó cierto número aleatorio requiere información sobre el sistema que lo genero casi imposible de obtener, como es contenido de la memoria, relojes, etc...
*Des-duplicar
La no duplicidad de mega se basa en los servidores puede existir exáctamente el mismo archivo encriptado con dos claves diferentes, lo que en definitiva significa que en el servidor son dos archivos diferentes. Entiendo que lo que los chicos de mega dicen es que si despues de cifrar existe el mismo un archivo igual en el servidor bit a bit lo que no van a hacer es almacenarlo dos veces(lo cual es bastante lógico). Además, que ocurra esto con dos archivos distintos cifrados con distinta clave es casi imposible, y si ocurriese, las dos personas se bajarían el mismo archivo cifrado, pero obtendrían sus archivos originales y distintos entre sí al descrifrar con sus respectivas claves.
*SSL
Si hay un fallo de seguridad en SSL, no solo Mega, si no todo internet estará comprometido. Si alguien es capaz de saltarse el fundamento matemático sobre el que se basa SSL ahora posiblemente le darían el premio nobel(bueno, no hay nobel de matemáticas, pero algo similar). Tal y como dice el chico de megaupload, si eres capaz de romper SSL hay cosas infinítamente más interesantes que atacar que Mega.
Por otra parte, una clave asimétrica de 1024bits pese a no ser la más segura del mercado se antoja más que suficiente para el tipo de servicio que ofrece Mega.
*MegaCracker
Quizás este sea el argumento más fundado de todos, los correos de confirmación deberían ser transparentes a nivel de usuario y contraseña, utilizandos hashs expirables y parecidos en links para ocultar la mayor parte posible de información relevante a alguien que intercepte el correo. Aún así, requiere que alguien intercepte el correo
Es tan simple como "Si no les gusta, no lo usen", no entiendo el afan de pelear por cosas asi
ResponderSi nadie les dice nada, no mejora el servicio, que es lo que se busca.
Por que estos Pseudo-Genios informáticos no se dan cuenta de una vez por todas que la seguridad de mega no es para los usuarios, la seguridad es para Dotcom y Compañía. El cifrado de los archivos de mega es una venda en los ojos que ellos mismos se ponen para liberarse de culpa en los casos de archivos con copyrigth. La responsabilidad se la trasladan a usuario y nos advierten que en caso de que se solicite ellos le darán a las autoridades todos nuestros datos.
ResponderNo soy experto en informática, pero tengo claro lo siguiente.
1. Tengo una cuenta personal en la que subiré los archivos propios, imágenes, documentos, vídeos etc. Pero no confiare que estos archivos no se volverán a perder nuevamente por una pataleta del FBI. Estos archivos no sera nada de lo que dependa mi vida.
2. Si quieren compartir archivos con copyrigth, creen cuentas con datos irreales, pero nunca, LEAN BIEN, NUNCA, se conecten a esa cuenta sin seguridad, usen amenos proxy o VNP (y todas las herramientas necesarias para ocultar tu IP real) porque no duden siquiera que el FBI (mandado por la MPAA) detendrán a muchos usuarios de MEGA por violar derechos de autor. y ya saben, ya que mega no pagara por eso, alguien debe pagar. Y MEGA NOS LO ESTA ADVIRTIENDO. DARÁN NUESTROS DATOS A LAS AUTORIDADES.
Gracias genio, "no lo sabíamos".
Entiende que siempre toda la vida todos los sitios han trasladado la culpa al usuario, que por supuesto es el real culpable; el antiguo Megaupload TAMBIÉN LO HACÍA.
Pero como los policopyright no pueden ponerle el cascabel al gato entonces le caen al sitio, así pagando todos los usuarios de un tiro.
A decir verdad, Mega es una herramienta "Poncio Pilatos" (si saben a lo que me refiero). ¿y por qué no intentan usar el sistema de torrents como uTorrent y/u otro sistema P2P como eMule o usan 4shared (aunque sea un cyberlocker, su funcionamiento es bastante similar al de Megaupload)?
Si no hay plata para el VNP, entonces entren a Mega con TOR. De todas maneras, en estos tiempos los derechos de autor ahora se usan para trollear a la gente y quitarle la plata, además de proteger otros intereses que no necesariamente es proteger al autor.
Lo que me recuerda, en México con Telmex o Cablevision (los que tengo, no se en otros lados con otros IPS) tengo entendido que la IP del modem es dinamica, de hecho cambia cada 24 hrs y nunca te toca la misma nuevamente ...
No soy experto en redes, pero Cable incluso creo que natea nuevamente las IP, entonces hay una IP por ZONA o area ... (dando como resultado antes imposible usar megaupload ).
URANIO23
y que tiene que cambie la Ip cada 24? ahjahhja acaso piensas que eso te da anonimato en internet? tu comentario es digno de un ignorante del porte de 10 mil titanic ahahahah Mexicano debías de ser infeliz.
Si MegaUpload era el mas usado antes y no tenia la seguridad de ahora, Mega pasa a ser notablemente mas seguro y con que siga sin restricciones de subida/descarga, captchas, autoborrado por inactividad, creo que va a volver a ser el mas usado sabiendo que USA no va a irrumpir fisicamente.
ResponderSi me adivinas un math.random() te doy el premio nobel al mayor ojete
ResponderLos usuarios siempre han sido los responsables del contenido, que los tadingas hayan creído que todo lo hacían inmunes bajo alguna laguna legal es otra cosa, Dotcom no tiene la culpa de la ignorancia/ingenuidad de esa gente.
..."Dotcom ya puso quienes lo idolatran como blanco seguro"...
Yo dudo que sea legal que yo suba el instalador de un Blender que modifiqué y que el FBI se me avalance encima asi que no entro en ese saco, aunque pienso que son los que se ponen a distribuir trabajos protegidos mediante Links a todo el mundo los que deberían pagar (algo normal obviamente, $750000 por un disco de 20 canciones... pareciera que en vez de pagar su copia de la obra está pagando la elaboración completa de la obra desde los diseño hasta el marketing), no todos los usuarios que usan el servicio y tampoco los que comparten de a mano (esto es, que una persona le dé a otra la obra y este le haga una copia, yo no le veo lo malo a que a un amigo que tiene un pedazo de Athlon de 1.2 GHz le pase un XP, mientras que MS le dice indirectamente que cambie su equipo que aun es funcional para lo que hace (puro FB y Office, y uno que otro juego viejo); pero si le veo un poco lo malo a que me ponga a hacer copias de ese disco y las comience a vender, digo algo porque MS al no ofrecer un Windows7 que sirva en PC viejas y dejando de vender XP, se ha buscado que los usuarios de dichos equipos recurran a esa práctica), como pasó con el viejo MU, donde había gente que tenia trabajos protegidos propios, y de los cuales el FBI se apoderó sin su autorización (y no se les puede hacer nada porque "son la fuerza de la ley" según USA, cuando al hacer eso estan haciendo lo mismo que hicieron las personas a quienes están reclamando).
Igual te meto negativo, porque como buen troll gramatical de los acentos que eres, yo tambien lo puedo ser del léxico: ..."Un math.random [en] no es difícil"... ese "en" está de más, así que escribiste mal y de ahí el negativo...
TE AMO CONY
ResponderChupa el perro!
Interesante, aunque ya me tope con una nota sobre el tema, de lo mas amarillista, tachando al servicio como "completamente inseguro" ... argumentando que no se proteje al usuario ni sus archivos, solo al mismo servicio ...
ResponderESO TODOS LO SABIAMOS ... el diseño de seguridad, seguro que es mejorable, pero no esta pensado para proteger al usuadio, sino al servicio mismo de las narices del FBI y cia ... FIN ...
Es idea mía o static.co.nz es una radio (cuya frecuencia es 88.1).
Responder¿no será otra la página alternativa de Mega?
Efectivamente, es una radio.
eu.static.mega.co.nz
Mira el codigo fuente de la pagina si se equivocan.
Deja tu Comentario