MEGA ofrece explicaciones en su blog sobre los problemas de seguridad detectados (actualizada 24/Enero)

💿 ¡Oferta especial de Pascua! ¡Windows 11 por solo 13,45€ y Office 2021 Pro por 25,25€! [ Saber más ]

Mega blogMEGA ha movido ficha y ha reconocido en su blog gran parte de los problemas de seguridad identificados por los expertos en los primeros días del servicio, así como la existencia de la herramienta Megacrack. La compañía ha compartido sus planes por solventar algunos de estos fallos.

También ha afirmado que algunos de los problemas identificados no son tales, en particular aquellos relacioandos con la debilidad del cifrado de la comunicación SSL, y ha aportado detalles técnicos para justificarlo.

Como se ha comentado en artículos anteriores, en la actualidad los usuarios de MEGA no pueden cambiar su contraseña y, de hecho, si la olvidan, pierden el acceso a todos sus ficheros. MEGA ha afirmado que va a implementar una funcionalidad de cambio de contraseña que «volverá a cifrar la clave maestra con tu nueva contraseña», así como un método de reseteo de la contraseña que permitirá a los usuarios acceder a su cuenta de nuevo pero no podrán leer sus ficheros antiguos ya que estos habrían sido cifrados con la clave anterior.

Otra mejora que van a poner en marcha se refiere a la aleatoriedad con la que se generan las claves RSA cuando el usuario se da de altaen el servicio ya que, como ya indicamos, la función de Javascript que utilizan para generar números pseudo-aleatorios es en cierto modo predecible. MEGA solventa actualmente este problema de manera parcial, añadiendo más aleatoriedad gracias a tener en cuenta los movimientos erráticos del ratón y las ulsaciones del teclado durante un breve período de tiempo. MEGA ha anunciado que va a permitir que el usuario pueda añadir mayor aleatoriedad, probablemente incrementado ese período de tiempo.

Uno de los puntos más controvertidos de los términos y condiciones de MEGA se refería a la de-duplicación de los ficheros ya que MEGA afirma que si varios usuarios subían el mismo fichero, la compañía se reserva el derecho de almacenarlo sólo una vez y crear enlaces simbólicos que, para el usuario, serían transparentes. Dado que los datos están cifrados con la clave de cada usuario, los expertos se preguntaban cómo era posible que MEGA pudiera identificar ficheros iguales que habían sido cifrados con claves diferentes. MEGA ha aclarado que la de-duplicación sólamente se aplica a ficheros subidos por un mismo usuario o cuando un fichero, cifrado con una clave compartida, se copia en varias cuentas.

MEGA también ha indicado que ciertas acusaciones son falsas, como el hecho de que ellos verifiquen su propio código Javascript o que el servidor SSL utilice cifrado de tan solo 1024 bits. MEGA tiene dos dominios, el frontal mega.co.nz y también el static.co.nz. El primero utiliza cifrado de 2048 bits y es seguro, mientras que el segundo utiliza cifrado de 1024 bits y podría considerarse «inseguro». Todo el código descargado del servidor «inseguro» es comprobado por una rutina de chequeo de Javascript descargada del servidor «seguro», lo que impide que el código pueda haber sido manipulado.

Respecto al riesgo de que un atacante pudiera romper el cifrado SSL y comprometer la seguridad de MEGA, la compañía ha admitido este hecho pero le ha reducido importancia: «si eres capaz de romper el SSL, puedes romper muchas otras cosas que son más interesantes que MEGA,» afirman en su blog.

Por último MEGA ha confirmado la existencia de la herramienta MegaCracker y simplemente ha comentado que «es un buen recordatorio de que no se deben usar contraseñas fácilmente adivinables o palabras del diccionario.»

Fuente: Mega blog

Actualización (24/01/2013 17:41): Hemos actualizado la explicación sobre la seguridad SSL relativa a los dominios mega.co.nz y static.co.nz para que refleje mejor la realidad.

💿 ¡Oferta especial de Pascua! ¡Windows 11 por solo 13,45€ y Office 2021 Pro por 25,25€! [ Saber más ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario