¡SORTEO! Sorteamos un Xiaomi Mi Pad 3 [Participar]

MEGA ofrece explicaciones en su blog sobre los problemas de seguridad detectados (actualizada 24/Enero)

Mega blogMEGA ha movido ficha y ha reconocido en su blog gran parte de los problemas de seguridad identificados por los expertos en los primeros días del servicio, así como la existencia de la herramienta Megacrack. La compañía ha compartido sus planes por solventar algunos de estos fallos.

También ha afirmado que algunos de los problemas identificados no son tales, en particular aquellos relacioandos con la debilidad del cifrado de la comunicación SSL, y ha aportado detalles técnicos para justificarlo.

Como se ha comentado en artículos anteriores, en la actualidad los usuarios de MEGA no pueden cambiar su contraseña y, de hecho, si la olvidan, pierden el acceso a todos sus ficheros. MEGA ha afirmado que va a implementar una funcionalidad de cambio de contraseña que “volverá a cifrar la clave maestra con tu nueva contraseña”, así como un método de reseteo de la contraseña que permitirá a los usuarios acceder a su cuenta de nuevo pero no podrán leer sus ficheros antiguos ya que estos habrían sido cifrados con la clave anterior.

Otra mejora que van a poner en marcha se refiere a la aleatoriedad con la que se generan las claves RSA cuando el usuario se da de altaen el servicio ya que, como ya indicamos, la función de Javascript que utilizan para generar números pseudo-aleatorios es en cierto modo predecible. MEGA solventa actualmente este problema de manera parcial, añadiendo más aleatoriedad gracias a tener en cuenta los movimientos erráticos del ratón y las ulsaciones del teclado durante un breve período de tiempo. MEGA ha anunciado que va a permitir que el usuario pueda añadir mayor aleatoriedad, probablemente incrementado ese período de tiempo.

Uno de los puntos más controvertidos de los términos y condiciones de MEGA se refería a la de-duplicación de los ficheros ya que MEGA afirma que si varios usuarios subían el mismo fichero, la compañía se reserva el derecho de almacenarlo sólo una vez y crear enlaces simbólicos que, para el usuario, serían transparentes. Dado que los datos están cifrados con la clave de cada usuario, los expertos se preguntaban cómo era posible que MEGA pudiera identificar ficheros iguales que habían sido cifrados con claves diferentes. MEGA ha aclarado que la de-duplicación sólamente se aplica a ficheros subidos por un mismo usuario o cuando un fichero, cifrado con una clave compartida, se copia en varias cuentas.

MEGA también ha indicado que ciertas acusaciones son falsas, como el hecho de que ellos verifiquen su propio código Javascript o que el servidor SSL utilice cifrado de tan solo 1024 bits. MEGA tiene dos dominios, el frontal mega.co.nz y también el static.co.nz. El primero utiliza cifrado de 2048 bits y es seguro, mientras que el segundo utiliza cifrado de 1024 bits y podría considerarse “inseguro”. Todo el código descargado del servidor “inseguro” es comprobado por una rutina de chequeo de Javascript descargada del servidor “seguro”, lo que impide que el código pueda haber sido manipulado.

Respecto al riesgo de que un atacante pudiera romper el cifrado SSL y comprometer la seguridad de MEGA, la compañía ha admitido este hecho pero le ha reducido importancia: “si eres capaz de romper el SSL, puedes romper muchas otras cosas que son más interesantes que MEGA,” afirman en su blog.

Por último MEGA ha confirmado la existencia de la herramienta MegaCracker y simplemente ha comentado que “es un buen recordatorio de que no se deben usar contraseñas fácilmente adivinables o palabras del diccionario.”

Fuente: Mega blog

Actualización (24/01/2013 17:41): Hemos actualizado la explicación sobre la seguridad SSL relativa a los dominios mega.co.nz y static.co.nz para que refleje mejor la realidad.

Quizás te interese

kim dotcom

Kim Dotcom abandona MEGA para centrarse en la lucha contra su extradición

Kim Dotcom ha anunciando que abandona MEGA para centrarse en la lucha contra su extradicción …

  • Pablo

    Creo que hay una confusión en la explicación de los dos dominios con SSL. No se realiza un intercambio entre static.co.nz y mega.co.nz, sino que el grueso del codigo js necesario para el funcionamiento de Mega se descarga desde static.co.nz (SSL 1024 bits, potencialmente inseguro) y luego se corre un js que comprueba la autenticidad del mismo usando otro js que se descargo desde mega.co.nz (SSL 2048 bits, seguro). Por lo tanto las validaciones se hacen en el cliente.

    • Teknofilo

      Pablo, tienes razón y, como nos gusta ser fieles a la realidad, hemos actualizado la entrada y así lo hemos indicado en el título y al final de la misma. Muchas gracias. Esperamos que te guste nuestra página, que nos sigas y que nos hagas publicidad 🙂

  • Revoltoso

    Ya es posible cambiar la contraseña desde “Mi Cuenta”