Sonntag, 10. Februar 2013

7 Schwachstellen bei Mega gefunden nach Ankündigung von Belohnung



Nach Ankündigung von bis zu 10 000 Euro Belohnung für das finden einer Sicherheitslücke beim neuen, verschlüsselten Filehostingservice Mega, gibt es nun erste Resultate dieses Aufrufs, der ja Bekanntlich als Antwort auf die weit verbreitete Kritik an der Sicherheit des Services veröffentlicht wurde. Wie Mega in ihre Blog berichteten wurden bisher 7 Schwachstellen in ihrem Webservice entdeckt und sogleich geschlossen.

Auf ihrer eigens erschaffenen Skala von 1 bis 6, wobei 1 eine unbedeutende Lücke und 6 eine systemkritische Lücke ist, wurden nur Sicherheitsprobleme im Bereich 1 bis 4 entdeckt.

Wobei nur eine im Bereich 4 war, drei im Bereich 3, eine im Bereich 2 und zwei im Bereich 1.
Laut Mega also nicht wirklich gravierende Sicherheitsprobleme.

Hier noch die exakten Angaben von Mega:

Schweregrad der Klasse VI: Fundamentale und allgemein nutzbare kryptographische Konstruktionsfehler

Schweregrad der Klasse V: Remote Code-Ausführung auf MEGA Servern (API / DB / root Cluster) oder größere Zutrittskontrollen Verstöße

Schweregrad der Klasse IV: Kryptographie Konstruktionsfehler, die erst nach Kompromittierung der Server-Infrastruktur (live oder post-mortem) ausgenutzt werden können

Schweregrad III: Remotecodeausführungen Allgemein  auf Client-Browser (Cross-Site Scripting)

Schweregrad II: Cross-Site-Scripting, die erst nach Beeinträchtigung der API-Server-Cluster oder erfolgreich Montage eines Man-in-the-Middle-Angriff (z. B. durch die Ausgabe eines gefälschten SSL-Zertifikat + DNS / BGP Manipulation) ausgenutzt werden können

Schweregrad der Klasse I: Alle harmloseren oder rein theoretische Szenarien


Leider wurden keine Angaben darüber gemacht wer diese Lücken gemeldet hat, und ob, und wie viel derjenige dafür bekommen hat. Ein bisschen Schade, das Mega so sparsam mit Informationen umgeht.

Auch betonen sie, dass sie glauben, dass es verfrüht wäre, um irgendwelche Schlüsse zu ziehen zu dieser Zeit - knapp drei Wochen nach ihrem Start und einer Woche seit dem Start des Belohnungsprogramms. Und das es klar sei, dass die identifizierten Schwachstellen alle gefunden wurden, nachdem nur ein paar Zeilen Code gelesen wurden, und keiner von ihnen eine Analyse auf einer höheren Ebene der Abstraktion benötigte.
Auch sei ganz klar, dass die Brute-Force-Herausforderungen (das File das man entschlüsseln soll) noch nicht geknackt sei, und das es laut ihnen auch in ein paar Milliarden Jahren noch nicht der Fall sein werde. Und sie würden sich freuen, wenn ein paar Einreichungen zu weit gefährlicheren Schwachstellen eintreffen würden.

Also los gebt euch Mühe!

Bis jetzt scheint der Beweis zu fehlen das Mega unsicher ist.



Keine Kommentare:

Kommentar veröffentlichen