MEGA ha puesto especial énfasis en la privacidad que ofrece a los usuarios ya que todos los ficheros que se suben a sus servidores están cifrados con una contraseña que sólo conoce el usuario, a diferencia de otros servicios similares. “Está bien como sitio web pero en cuanto a criptografía parece que no tuvieran experiencia,” ha firmado a Forbes el criptógrafo Nadim Kobeissi, creador del software de chat seguro Cryptocat.
La solución es tan sencilla como usar un simple programa nativo para Windows o Linux o Mac: el usuario lo descarga, instala, y con ese programa sube los archivos a los servidores de MEGA. Un programa de FTP de toda la vida sólo que cifra el contenido antes de enviarlo.
He aquí las consecuencias de hacer las cosas con esa obsesión enfermiza que todo sea Web, que el usuario ni siquiera piense, que todo se lo den bien masticado y no haga muchos clic.
Yo, lamentablemente, estoy atrapado en desarrollo WEB, extraño hacer programas nativos para el sistema operativo, pero el curro exige estar a la "moda". Afortunadamente los clientes aceptan por ahora las interfaces espartanas de simple PHP y formularios HTML planos (nada de Ajax, ni efectos chorras especiales). Cuando un cliente dice que sería bueno tener interfaces como Facebook, para calmarlo le digo que Facebook tiene miles de ingenieros trabajando en GUI pero también le recuerdo los mil problemas de seguridad que han tenido y con esta analogía cierro con broche de oro:
"Observa un tanque de guerra, es muy seguro, es muy fuerte, es confiable pero es horrible de cojones, ahora mira un Ferrari, hermoso, arranca suspiros... ahora imagina que debes cruzar un territorio con guerrillas talibanes, piratas somalies terrestres y terroristas de las FARC ¿que escoges el Ferrari o el tanque de guerra? Bueno Internet es todo ese tiempo ese territorio".
#7 Efectivamente, todavia no hemos comprendido la maxima de analiza toda entrada de usuario. (Ej, la variable nombre no puede contener nada que no sean caracteres alfabeticos y alguno de puntuacion, si encuentras un alert('Moñas') en esa variable malo ...)
#7 y #9 Estoy de acuerdo en que subir los ficheros cifrados mediante FTP (o cualquier otro medio) asegura la confidencialidad de los ficheros que subas.
Sin embargo si la decisión de cifrar o no cifrar depende el usuario, esto no eximiría a MEGA de la responsabilidad de eliminar contenido con copyright ya que podría haber usuarios que subiesen los ficheros sin cifrar, por lo que se encontraría ante el mismo problema que tuvo con Megaupload.
Quien quiera cifrar un fichero de forma segura lo que tiene que hacer es hacerlo en su local, hay sistemas de ficheros que permiten hacerlo al vuelo, y luego subir lo cifrado a la nube como si fuera un fichero normal y corriente. Así te evitas que las claves de cifrado pasen por el navegador.
#4 Yo por ejemplo monto mi cuenta de Box via Webdav con fuse, y una vez montado, en el directorio empleo eCryptfs, de esa manera como dices, de manera transparente trabajo con almacenamiento en la nube y cifrado.
Como ecryptfs funciona fichero a fichero en vez de sobre un volumen/device completo, si cambio un fichero no tengo que andar actualizando un fichero de 2gb creado con cryptoloop cada vez que cambio una coma
Si ayer pintaban mal las cosas para MEGA en materia de seguridad, hoy no han hecho más que empeorar.
El investigador Steve “Sc00bz” Thomas ha publicado una herramienta llamada MegaCracker capaz de extraer contraseñas a partir del e-mail de confirmación que MEGA envía a sus usuarios.
Él no quiere la seguridad de los ficheros que subamos, él lo que quiere es cubrirse las espaldas en caso de otro testarazo del FBI alegando que los ficheros están protegidos y que no sabían nada de Copyright.
Además antes estaba sin cifrado y nadie se quejaba. Aunque puestos ha hacerlo, por lo menos hazlo bien.
#1 y ni siquiera está tan claro que puedan alegar desconocimiento:
"...resulta bastante extraño que MEGA afirme en sus condiciones de servicio que puede identificar y eliminar ficheros duplicados en sus servidores para una mayor eficiencia. ¿Cómo es posible que MEGA pueda comparar ficheros de distintos usuarios que han sido cifrados con distintas claves sin tener acceso al fichero original?"
Comentarios
La solución es tan sencilla como usar un simple programa nativo para Windows o Linux o Mac: el usuario lo descarga, instala, y con ese programa sube los archivos a los servidores de MEGA. Un programa de FTP de toda la vida sólo que cifra el contenido antes de enviarlo.
He aquí las consecuencias de hacer las cosas con esa obsesión enfermiza que todo sea Web, que el usuario ni siquiera piense, que todo se lo den bien masticado y no haga muchos clic.
Yo, lamentablemente, estoy atrapado en desarrollo WEB, extraño hacer programas nativos para el sistema operativo, pero el curro exige estar a la "moda". Afortunadamente los clientes aceptan por ahora las interfaces espartanas de simple PHP y formularios HTML planos (nada de Ajax, ni efectos chorras especiales). Cuando un cliente dice que sería bueno tener interfaces como Facebook, para calmarlo le digo que Facebook tiene miles de ingenieros trabajando en GUI pero también le recuerdo los mil problemas de seguridad que han tenido y con esta analogía cierro con broche de oro:
"Observa un tanque de guerra, es muy seguro, es muy fuerte, es confiable pero es horrible de cojones, ahora mira un Ferrari, hermoso, arranca suspiros... ahora imagina que debes cruzar un territorio con guerrillas talibanes, piratas somalies terrestres y terroristas de las FARC ¿que escoges el Ferrari o el tanque de guerra? Bueno Internet es todo ese tiempo ese territorio".
#7 ¿Me puedes decir un ejemplo de programa FTP que cifre el contenido antes de enviarlo y, por tanto, se guarde cifrado en el servidor destino?
#8 Este por ejemplo ? :
http://www.coreftp.com/docs/web1/FTP_Encryption.htm
#7 Efectivamente, todavia no hemos comprendido la maxima de analiza toda entrada de usuario. (Ej, la variable nombre no puede contener nada que no sean caracteres alfabeticos y alguno de puntuacion, si encuentras un alert('Moñas') en esa variable malo ...)
#7 y #9 Estoy de acuerdo en que subir los ficheros cifrados mediante FTP (o cualquier otro medio) asegura la confidencialidad de los ficheros que subas.
Sin embargo si la decisión de cifrar o no cifrar depende el usuario, esto no eximiría a MEGA de la responsabilidad de eliminar contenido con copyright ya que podría haber usuarios que subiesen los ficheros sin cifrar, por lo que se encontraría ante el mismo problema que tuvo con Megaupload.
lol, no ha tardado ni dos días:
crakeador de passwords para MEGA (con código fuente incluido)
http://www.tobtu.com/files/megacracker.zip
http://www.tobtu.com/megacracker.php
Quien quiera cifrar un fichero de forma segura lo que tiene que hacer es hacerlo en su local, hay sistemas de ficheros que permiten hacerlo al vuelo, y luego subir lo cifrado a la nube como si fuera un fichero normal y corriente. Así te evitas que las claves de cifrado pasen por el navegador.
#4 Yo por ejemplo monto mi cuenta de Box via Webdav con fuse, y una vez montado, en el directorio empleo eCryptfs, de esa manera como dices, de manera transparente trabajo con almacenamiento en la nube y cifrado.
Como ecryptfs funciona fichero a fichero en vez de sobre un volumen/device completo, si cambio un fichero no tengo que andar actualizando un fichero de 2gb creado con cryptoloop cada vez que cambio una coma
Si ayer pintaban mal las cosas para MEGA en materia de seguridad, hoy no han hecho más que empeorar.
El investigador Steve “Sc00bz” Thomas ha publicado una herramienta llamada MegaCracker capaz de extraer contraseñas a partir del e-mail de confirmación que MEGA envía a sus usuarios.
Más info en http://www.teknofilo.com/desarrollan-una-herramienta-que-averigua-contrasenas-debiles-de-mega/
En el blog de mega ha publicado un post sobre la seguridad y los arreglos que harán.
Él no quiere la seguridad de los ficheros que subamos, él lo que quiere es cubrirse las espaldas en caso de otro testarazo del FBI alegando que los ficheros están protegidos y que no sabían nada de Copyright.
Además antes estaba sin cifrado y nadie se quejaba. Aunque puestos ha hacerlo, por lo menos hazlo bien.
#1 y ni siquiera está tan claro que puedan alegar desconocimiento:
"...resulta bastante extraño que MEGA afirme en sus condiciones de servicio que puede identificar y eliminar ficheros duplicados en sus servidores para una mayor eficiencia. ¿Cómo es posible que MEGA pueda comparar ficheros de distintos usuarios que han sido cifrados con distintas claves sin tener acceso al fichero original?"
MEGA ofrece explicaciones en su blog sobre los problemas de seguridad detectados:
http://www.teknofilo.com/mega-ofrece-explicaciones-sobre-los-problemas-de-seguridad-detectados/