Mega, il nuovo cyber locker voluto da Kim Dotcom , catalizza dibattiti e speculazioni: l’erede di Megaupload è insicuro, dicono in molti, le password si crackano facilmente e più che alla riservatezza dei file caricati dagli utenti penserebbe soprattutto alla propria salvaguardia legale.
Il capitolo sicurezza è di quelli spinosi, difficili da controbilanciare con semplici dichiarazioni di circostanza: gli esperti che ci hanno messo sopra le mani, definiscono il meccanismo di cifratura usato per proteggere i file degli utenti “meno che ideale”. Le chiavi crittografiche vengono conservate sul browser dell’utente, con il codice JavaScript responsabile di comunicare con il server protetto da una connessione SSL a 2048 bit. Più che sufficiente, dicono da Mega, ma se qualcuno prendesse il controllo dei server del servizio potrebbe “catturare” le chiavi del client e fare quel che vuole con i file.
A poche ore dall’attivazione, poi, qualcuno ha individuato una vulnerabilità XSS sul servizio – ma tale vulnerabilità è stata corretta nel giro di poco tempo, dice ancora la società di Dotcom.
Un’altra magagna viene dal processo di deduplicazione dei file archiviati, sistema che permette a Mega di risparmiare sullo storage eliminando tutti i nuovi file identici a quelli già presenti sui server.
Quelli di Mega sostengono che l’eliminazione dei duplicati avvenga solo nel caso in cui il file ridondante sia stato già salvato in precedenza e protetto con la stessa chiave crittografica. Altri sollevano invece il dubbio sulla capacità del servizio di riconoscere i file ridondanti scansionandone i contenuti “in chiaro”, un fatto che getterebbe ulteriore discredito sui meccanismi di protezione e difesa della privacy propagandati da Dotcom.
E in attesa di verificare se per il crack delle password di Mega sia sufficiente leggere l’email contenete l’hash crittografico durante la registrazione al servizio, la nuova creatura di Dotcom fa discutere anche dal punto di vista legale: l’idea di gestire le chiavi di cifratura sul client, questione pubblicizzata come un vantaggio per la riservatezza degli utenti, garantirebbe in primo luogo a Mega una protezione molto più robusta contro l’industria dei contenuti e le sue crociate in difesa del copyright, svincolando il servizio da ogni responsabilità.
Alfonso Maruccia