Mega: Experti zpochybňují zabezpečení nové služby

Nejnovější počin Kima Dotcoma se stal předmětem kritiky ze strany bezpečnostních expertů, podle kterých si služba Mega rozhodně nezaslouží důvěru potenciálních uživatelů. Tvůrci datové úložiště sice přiznávají, že s používáním JavaScriptu nemají příliš zkušeností, použitý programovací jazyk jim však prý umožnil do služby implementovat takové prvky, díky kterým není Mega vůči útokům o nic více zranitelnější než stránky elektronického bankovnictví.

Mega používá protokol SSL, který je nejrozšířenějším webovým standardem používaným pro šifrování komunikace mezi uživatelským zařízením a serverem. Jakmile dojde k připojení přes SSL, Mega vnutí webovému prohlížeči svůj kód napsaný v JavaScriptu, který je posléze používán pro šifrování uživatelských dat ještě předtím, než jsou odeslána na servery služby.

Odborníci na počítačovou bezpečnost vidí problém v tom, že protokol SSL je dlouhodobě považován za jedno ze slabých míst internetu. Výzkumník Moxie Marlinspike v roce 2009 vytvořil nástroj nazvaný SSLstrip, který útočníkům umožňuje zachytit pokus o připojení přes SSL a toto připojení pak zastavit ještě v jeho zárodku. Útočník takto získá volný přístup k uživatelským datům.

Mega se spoléhá zásadně na SSL, takže „rozhodně neexistuje žádný důvod pro šifrování dat na straně klienta,“ říká nyní Marlinspike. Někdo, kdo používá SSLStrip, by podle něj jednoduše mohl uživatelskému prohlížeči poslat vlastní kus škodlivého kódu. Získal by tak přístupové heslo, kterým by se pak dostal k již nešifrovaným datům uloženým na Mega. Řešením by podle Marlinspikeho bylo použít místo JavaScriptu například podepsaný modul pro prohlížeč nebo softwarový klient.

Technický ředitel Mega, Mathias Ortmann, v rozhovoru uznal, že existuje několik různých hrozeb, vůči kterým může být Mega zranitelné. Není však vůči nim o nic zranitelnější, než stránky, které se rovněž spoléhají na SSL, tedy například internetové bankovnictví. S takovými scénáři se podle něj otevřeně počítá. Dokonce se o nich píše přímo na stránkách služby. „Kdyby se obtěžovali si je přečíst, zjistili by, že o všech jimi zmíněných možných problémech, a také několika dalších, víme,“ přešel Ortmann do protiútoku. Tyto scénáře se navíc podle něj přímo netýkají služeb typu Mega.

Mega podle Ortmanna počítá také s tím, že by se někdo mohl pokusit získat falešný certifikát od příslušné certifikační autority a s jeho pomocí vytvořit zdánlivě důvěryhodnou kopii služby. Podobné chování očekává zejména ze strany různých vládních organizací. Z toho důvodu chce Mega provádět pravidelný monitoring, který by měl na falešné certifikáty upozornit.