MEGA, la master key fuori dal codice
Topic
Approfondimenti
Trending
tutti

MEGA, la master key fuori dal codice

Un ricercatore di sicurezza identifica una falla nel codice JavaScript del popolare cyber-locker, e il team di MEGA risponde: il problema è intrinseco e già noto, ecco le possibili soluzioni
Sicurezza Antivirus
Un ricercatore di sicurezza identifica una falla nel codice JavaScript del popolare cyber-locker, e il team di MEGA risponde: il problema è intrinseco e già noto, ecco le possibili soluzioni

MEGA finisce ancora una volta sotto la lente di ingrandimento degli esperti di cyber-sicurezza, e nel caso in oggetto un ricercatore ha sviluppato un bookmarklet in JavaScript grazie al quale è possibile accedere alla “master key” di un account utente registrato sul servizio fondato da Kim Dotcom.

MEGApwn , questo il nome del bookmarklet – pensato per l’uso in congiunzione con un browser web – è stato creato con l’obiettivo di chiarire una volta per tutte ai “novizi” che la crittografia basata su codice JavaScript non è sicura: MEGA ha la nomea di essere un servizio rispettoso della privacy e della sicurezza degli utenti, ma una volta eseguito MEGApwn su un PC su cui è stato effettuato il login su MEGA la chiave crittografica dell’utente non ha più segreti.

La master key usata dal cyber-locker non è cifrata , sostiene lo sviluppatore di MEGApwn, e basta avere accesso al PC dell’utente per accedere alla chiave corrispondente. Anche MEGA, spiega il ricercatore, potrebbe in teoria ottenere la chiave di ogni singolo utente per decriptare tutti i suoi file. La situazione sarebbe molto diversa, spiega ancora lo sviluppatore, se l’utente criptasse i dati – con PGP o software similari – prima di spedirli online sui server di MEGA o di qualsiasi altro cyber-locker.

La ricerca di Michael Koziarski ha aperto l’ennesimo dibattito sulla effettiva sicurezza crittografica fornita da MEGA, un dibattito che il fondatore Dotcom accoglie favorevolmente perché più si discute, più è possibile educare gli utenti di Internet e migliorare la sicurezza di MEGA.

La risposta ufficiale proveniente dal team del cyber-locker ammette l’esistenza del problema – che però è strutturale, visto che basta avere accesso a un PC per sconfiggere qualsiasi tipo di protezione – che si tratti MEGA o di qualsiasi altro servizio, poco importa. In alternativa, suggeriscono i tecnici, si possono anche adottare delle tecnologie (come il plugin di MEGA stessa o un software sviluppato da terze parti) per far girare in locale il codice e non offrire il fianco a questo tipo di intercettazione: ma, ribadiscono, non c’è motivo di ritenere il Javascript “il” problema.

Alfonso Maruccia

Pubblicato il 5 set 2013

Link copiato negli appunti

Ti potrebbe interessare

Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli

Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli
Incogni: il tool che elimina i dati personali dal web è in offerta

Incogni: il tool che elimina i dati personali dal web è in offerta
Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton

Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton
Chiamate di telemarketing: come eliminarle grazie a Incogni

Chiamate di telemarketing: come eliminarle grazie a Incogni
Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli

Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli
Incogni: il tool che elimina i dati personali dal web è in offerta

Incogni: il tool che elimina i dati personali dal web è in offerta
Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton

Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton
Chiamate di telemarketing: come eliminarle grazie a Incogni

Chiamate di telemarketing: come eliminarle grazie a Incogni
Alfonso Maruccia
Pubblicato il
5 set 2013
Link copiato negli appunti