Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Gerais
Terça - 05 de Fevereiro de 2013 às 08:33

    Imprimir


O serviço de compartilhamento de arquivos Mega lançou um programa de recompensas que pagará até 10 mil euros (13,6 mil dólares) para cada falha de segurança grave encontrada na plataforma e informada de modo responsável. As regras do programa foram estabelecidas em um post publicado no blog da empresa, no sábado (2/2).

Os tipos de bugs que se qualificam para receber uma recompensa são:

Injeção de SQL e XSS (cross-site scripting); 
falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador; 
questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários; 
estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados; 
problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado.

Os tipos de problemas de segurança que não entram nas regras são:

Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social; 
problemas decorrentes do uso de senhas fracas; 
questões que exigem um grande número de solicitações do servidor (força bruta); 
quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário; 
problemas com relação ao uso de navegador sem suporte ou desatualizado; 
vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores; 
problemas com negação-de-serviço; questões que requerem acesso físico aos data centers; 
questões que envolvem o uso de certificados SSL falsos; 
deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios; 
ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário.

O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.

Não tão seguro

Após o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.

Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.

"A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la", disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.




Fonte: IDGNOW

Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/2833/visualizar/