Menéame: comentarios [1821300]

#12 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

TeknofiloCOM — Wed, 23 Jan 2013 10:01:19 +0000

MEGA ofrece explicaciones en su blog sobre los problemas de seguridad detectados:

www.teknofilo.com/mega-ofrece-explicaciones-sobre-los-problemas-de-seg

» autor: TeknofiloCOM

#11 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

TeknofiloCOM — Wed, 23 Jan 2013 09:23:16 +0000

#7 y #9 Estoy de acuerdo en que subir los ficheros cifrados mediante FTP (o cualquier otro medio) asegura la confidencialidad de los ficheros que subas.

Sin embargo si la decisión de cifrar o no cifrar depende el usuario, esto no eximiría a MEGA de la responsabilidad de eliminar contenido con copyright ya que podría haber usuarios que subiesen los ficheros sin cifrar, por lo que se encontraría ante el mismo problema que tuvo con Megaupload.

» autor: TeknofiloCOM

#10 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

--13579-- — Wed, 23 Jan 2013 08:26:16 +0000

#4 Yo por ejemplo monto mi cuenta de Box via Webdav con fuse, y una vez montado, en el directorio empleo eCryptfs, de esa manera como dices, de manera transparente trabajo con almacenamiento en la nube y cifrado.

Como ecryptfs funciona fichero a fichero en vez de sobre un volumen/device completo, si cambio un fichero no tengo que andar actualizando un fichero de 2gb creado con cryptoloop cada vez que cambio una coma

» autor: --13579--

#9 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

--13579-- — Wed, 23 Jan 2013 08:17:49 +0000

#8 Este por ejemplo ? :

www.coreftp.com/docs/web1/FTP_Encryption.htm

#7 Efectivamente, todavia no hemos comprendido la maxima de analiza toda entrada de usuario. (Ej, la variable nombre no puede contener nada que no sean caracteres alfabeticos y alguno de puntuacion, si encuentras un <script>alert('Moñas')</script> en esa variable malo ...)

» autor: --13579--

#8 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

TeknofiloCOM — Wed, 23 Jan 2013 08:09:29 +0000

#7 ¿Me puedes decir un ejemplo de programa FTP que cifre el contenido antes de enviarlo y, por tanto, se guarde cifrado en el servidor destino?

» autor: TeknofiloCOM

#7 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

CrudaVerdad — Wed, 23 Jan 2013 03:57:37 +0000

La solución es tan sencilla como usar un simple programa nativo para Windows o Linux o Mac: el usuario lo descarga, instala, y con ese programa sube los archivos a los servidores de MEGA. Un programa de FTP de toda la vida sólo que cifra el contenido antes de enviarlo.

He aquí las consecuencias de hacer las cosas con esa obsesión enfermiza que todo sea Web, que el usuario ni siquiera piense, que todo se lo den bien masticado y no haga muchos clic.

Yo, lamentablemente, estoy atrapado en desarrollo WEB, extraño hacer programas nativos para el sistema operativo, pero el curro exige estar a la "moda". Afortunadamente los clientes aceptan por ahora las interfaces espartanas de simple PHP y formularios HTML planos (nada de Ajax, ni efectos chorras especiales). Cuando un cliente dice que sería bueno tener interfaces como Facebook, para calmarlo le digo que Facebook tiene miles de ingenieros trabajando en GUI pero también le recuerdo los mil problemas de seguridad que han tenido y con esta analogía cierro con broche de oro:

"Observa un tanque de guerra, es muy seguro, es muy fuerte, es confiable pero es horrible de cojones, ahora mira un Ferrari, hermoso, arranca suspiros... ahora imagina que debes cruzar un territorio con guerrillas talibanes, piratas somalies terrestres y terroristas de las FARC ¿que escoges el Ferrari o el tanque de guerra? Bueno Internet es todo ese tiempo ese territorio".

» autor: CrudaVerdad

#6 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

TeknofiloCOM — Wed, 23 Jan 2013 01:29:23 +0000

Si ayer pintaban mal las cosas para MEGA en materia de seguridad, hoy no han hecho más que empeorar.

El investigador Steve “Sc00bz” Thomas ha publicado una herramienta llamada MegaCracker capaz de extraer contraseñas a partir del e-mail de confirmación que MEGA envía a sus usuarios.

Más info en www.teknofilo.com/desarrollan-una-herramienta-que-averigua-contrasenas

» autor: TeknofiloCOM

#5 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

xxx — Wed, 23 Jan 2013 01:14:29 +0000

lol, no ha tardado ni dos días:

crakeador de passwords para MEGA (con código fuente incluido)

www.tobtu.com/files/megacracker.zip

www.tobtu.com/megacracker.php

» autor: xxx

#4 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

--8686-- — Wed, 23 Jan 2013 01:05:33 +0000

Quien quiera cifrar un fichero de forma segura lo que tiene que hacer es hacerlo en su local, hay sistemas de ficheros que permiten hacerlo al vuelo, y luego subir lo cifrado a la nube como si fuera un fichero normal y corriente. Así te evitas que las claves de cifrado pasen por el navegador.

» autor: --8686--

#3 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

Monino — Wed, 23 Jan 2013 00:55:36 +0000

En el blog de mega ha publicado un post sobre la seguridad y los arreglos que harán.

» autor: Monino

#2 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

xxx — Wed, 23 Jan 2013 00:55:27 +0000

#1 y ni siquiera está tan claro que puedan alegar desconocimiento:

"...resulta bastante extraño que MEGA afirme en sus condiciones de servicio que puede identificar y eliminar ficheros duplicados en sus servidores para una mayor eficiencia. ¿Cómo es posible que MEGA pueda comparar ficheros de distintos usuarios que han sido cifrados con distintas claves sin tener acceso al fichero original?"

» autor: xxx

#1 Expertos en criptografía encuentran graves agujeros de seguridad en el nuevo MEGA de Kim Dotcom

ObeyTheSheep — Wed, 23 Jan 2013 00:18:29 +0000

Él no quiere la seguridad de los ficheros que subamos, él lo que quiere es cubrirse las espaldas en caso de otro testarazo del FBI alegando que los ficheros están protegidos y que no sabían nada de Copyright.

Además antes estaba sin cifrado y nadie se quejaba. Aunque puestos ha hacerlo, por lo menos hazlo bien.

» autor: ObeyTheSheep