Během deseti let od založení získalo cloudové úložiště MEGA Kima Dotcoma 250 milionů registrovaných uživatelů. Ti zde uložili neuvěřitelných 120 miliard souborů, které zabírají více než 1 000 petabajtů. Klíčovým argumentem, který pomohl tomuto růstu, je slib, který nedává žádný z velkých konkurentů: ani provozovatel nedokáže dešifrovat uložená data.
Na domovské stránce služby je například k vidění obrázek, který srovnává nabídku MEGA s Dropboxem a Diskem Google. Kromě toho, že MEGA přichází s citelně nižšími cenami, je v porovnání zdůrazněno, že nabízí end-to-end šifrování, zatímco zmínění dva konkurenti nikoli.
V průběhu let firma tento údajný rozdíl opakovaně připomínala. Asi nejlépe je shrnut v příspěvku na blogu, v němž tvrdí: „Pokud budete používat dostatečně silné a jedinečné heslo, nikdo nikdy nebude mít přístup k vašim datům. A to ani v mimořádně nepravděpodobném případě, že by došlo k zabavení celé infrastruktury!“
Není to tak úplně pravda
V úterý zveřejněný výzkum ukazuje, že tvrzení, že provozovatel nebo subjekt, který má kontrolu nad infrastrukturou, nemá přístup k uloženým datům, není pravdivé. Autoři tvrdí, že architektura, kterou MEGA používá k šifrování souborů, je zatížena zásadními chybami v kryptografii, které umožňují komukoli, kdo má nad platformou kontrolu, provést útok na obnovení celého uživatelského klíče.
Díky tomu může záškodník dešifrovat uložené soubory nebo dokonce nahrát na účet usvědčující nebo jinak škodlivé soubory, přičemž tato data budou k nerozeznání od skutečně nahraných. „Ukázali jsme, že systém MEGA nechrání uživatele před škodlivým serverem, a představili jsme pět různých útoků, které umožňují úplné narušení důvěrnosti uživatelských souborů,“ napsali experti na webu MEGA Awry.
Poté, co provozovatel v březnu obdržel informaci o zjištěných nedostatcích, začal toto úterý zavádět aktualizaci, jež ztěžuje provádění útoků. Experti však varují, že oprava poskytuje pouze „ad hoc“ prostředky pro zmaření útoku na obnovení klíče, ale vůbec neřeší problém s jeho opakovaným použitím, nedostatečnou kontrolou integrity a další systémové problémy, jež identifikovali.
„To znamená, že pokud jsou předpoklady pro ostatní útoky splněny nějakým jiným způsobem, mohou být stále zneužity,“ napsali odborníci na bezpečnost v e-mailu adresovaném magazínu Ars Technica, jež o celé kauze podrobně informuje. „Proto tuto opravu neschvalujeme, ale systém již nebude zranitelný přesně tím řetězcem útoků, který jsme navrhli.“
Zatloukat, zatloukat, zatloukat
MEGA se k objevu bezpečnostních expertů staví rezervovaně. Předseda představenstva Stephen Hall v e-mailu zaslaném novinářům přiznal pouze to, že po krátkou dobu existovala možnost, že by útočník mohl popřít závazek týkající se zabezpečení dat, ale pouze za velmi omezených okolností a u velmi malého počtu uživatelů. Dle jeho slov bylo vše napraveno.
Základem šifrovacího schématu MEGA je heslo, které si volí každý uživatel. Klientský software, který funguje na různých platformách, používá toto heslo k odvození dvou klíčů: jednoho pro ověřování uživatelů na serverech a druhého pro šifrování náhodně generovaného hlavního klíče, který šifruje další materiál používaný k šifrování souborů, složek a soukromých chatů.
Odborníci zjistili, že tato hierarchie postrádá prostředky, které by zajistily integritu klíčů. V důsledku toho servery místo, aby odmítly neplatný klíč, pokračovaly v interakci. Tím se platforma otevírá útoku na obnovení klíče, který lze realizovat, jakmile se uživatel přihlásí k účtu o něco více než 512krát.
Experti vytvořili důkaz konceptu útoku, který unese přihlašovací relaci pomocí tajné sondy, jež má podobu tokenu ID relace. Ten byl upraven oproti tokenu, který klientská aplikace očekávala. Přihlášení sice selže a vyžaduje po uživateli opětovné zadání hesla, ale pro kohokoli, kdo ovládá platformu, by bylo triviální jednoduše přijmout vrácené ID.
Magických 512 přihlášení
Jakmile je tento proces dokončen více než 512krát, získá útočník celý soukromý klíč RSA, který se používá k šifrování všech ostatních klíčů a klíčového materiálu. Toto lze řetězit s dalšími exploity, které odborníci vymysleli a jež umožňují čtyři další útoky.
Stephen Hall však kontruje s tím, že „Zjištěné zranitelnosti negují záruku pouze v případě, že se uživatel přihlásil více než 512krát v době, kdy byl teoretický útočník aktivní.“ Dle jeho slov je zřejmé, že v systému MEGA nebyl spuštěn žádný škodlivý proces a je přesvědčen že jen velmi málo uživatelů by se přihlásilo více než 512krát v době, kdy by byla platforma pod tímto potenciálním útokem.
Chyby jsou závažné nejen proto, že popírají desetileté bezpečnostní záruky avizované provozovatelem služby, ale také proto, že odhalují architekturu, která není tak vyspělá, jak se mnozí uživatelé a recenzenti domnívali. Výzkum také upozorňuje na netriviální problém, jak chyby plně odstranit.
„Zde prezentované útoky ukazují, že je možné, aby motivovaný útočník našel a využil zranitelnosti v reálných kryptografických architekturách, což má zničující důsledky pro bezpečnost,“ napsali experti. „Je obzvláště znepokojující, že služby jako MEGA – které inzerují soukromí jako hlavní funkci, a proto přitahují zejména uživatele, kteří potřebují silnou ochranu – nedokážou odolat kryptoanalýze.“
