Teemu Laitila
24. tammikuuta, 2013 16:19
Kim Dotcomin viime viikonloppuna avaama tiedostonjakopalvelu Mega on ollut alustaan lähtien tietoturvatutkijoiden suurennuslasin alla, sillä palvelua on mainostettu erityisesti yksityisyydensuojan ja turvallisuuden huipputekijänä.
Palvelun todellinen tietoturva on kuitenkin kyseenalaistettu useammalta taholta. Yksi kritisoitu ominaisuus on palvelun nojaaminen jo aika päiviä sitten epäluotettavaksi todistettuun SSL-salaukseen. Nyt Ars Technica uutisoi tietoturvatutkija Steve "Sc00bz" Thomasin kehittämästä Megacracker-työkalusta, joka kykenee purkamaan käyttäjän salasanan rekisteröitymisen yhteydessä lähetetyn vahvistusviestin URL-osoitteesta.
Ars Technican mukaan vahvistusviestissä annettu linkki sisältää pitkän merkkijonon, joka sisältää muun tiedon ohella AES-tiivisteen käyttäjän salasanasta. Sähköposti on helpohko kaapata matkalta, joten uhka tiivisteen joutumisesta vääriin käsiin on todellinen.
Thomasin kehittämä sovellus Megacracker etsii osoitteesta salasanan tiivisteen ja purkaa sen arvailemalla eli brute force -tekniikalla. Jos salasana on huonosti valittu, se murtuu nopeasti valmiiksi laskettujen sanalistojen avulla. Erityisen ongelmalliseksi käytännön tekee se, että palvelun tiedostojen salaukseen käytetty salasana on puolestaan salattu käyttäjän omalla salasanalla.
Samasta syystä palvelussa ei tällä hetkellä voi vaihtaa salasanaa. Koska käyttäjän sisäänkirjautumiseen käyttämä salasana on avain kaikkeen, Mega ei myöskään sisällä mahdollisuutta unohtuneen salasanan resetointiin. Jos salasana unohtuu, palveluun tallennettu data on käytännössä menetetty.
Megan tekniikkajohtaja Mathias Ortmanin mielestä vahvat salasanat ovat ainut tehokas tie tietoturvan parantamiseen. Ortmanin Ars Technicalle antamien kommenttien mukaan heikot salasanat ovat suurin ongelma.
- Tapauksissa, joissa salasana suojaa myös salatun datan avainta, monimutkaisuuteen perustuva tietoturva vahvan salasanan sijaan ei yksinkertaisesti ole ratkaisu, Ortman toteaa.
Ortman myös lupaa mahdollisuuden salasanan vaihtamiseen tulevaisuudessa. Siihen saakka alun perin heikon salasanan valinneet joutuvat sinnittelemään valitsemallaan tiellä.