Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Mega promete anonimato, mas realidade não é bem assim


Empresa mantém registros bastante detalhados de seus usuários - e pode usá-los para colaborar com autoridades, se achar necessário

À primeira vista, Kim Dotcom e a sua equipe estão se empenhando para garantir a proteção de seus usuários e dos arquivos por eles enviados. Segundo uma análise feita pelo fundador e editor-chefe do site Torrent Freak, Ernesto Van Der Sar, a forma como o Mega criptografa seus dados funciona "de forma brilhante". Mas quem prefere manter-se no anonimato pode ficar um pouco decepcionado com o serviço.

Em sua política de privacidade, a empresa deixa bem claro que mantém registros bastante detalhados de seus usuários. Logs de comunicação, dados de tráfego, uso do site e outras informações relacionadas à prestação dos serviços são apenas alguns dos dados coletados e armazenados por Dotcom e sua equipe. Além disso, a companhia mantém registros de endereços IP usados para acessar o serviço e exige que os dados dos cadastros estejam sempre atualizados.

Segundo Van Der Sar, nas regras atuais do novo serviço de Dotcom, dissidentes e denunciantes não estão protegidos, caso autoridades queiram algumas informações específicas.

"Se nós pensamos que é necessário ou temos que por lei em qualquer jurisdição, então temos o direito de entregar suas informações às autoridades. Reservamo-nos o direito de ajudar com as investigações de qualquer agência de aplicação da lei, incluindo mas não limitado a divulgação de informações a eles ou a seus agentes. Também nos reservamos o direito de cumprir com todos os processos legais, incluindo mas não limitado a intimações, mandado de busca e ordens judiciais", diz a política de privacidade.

Outro ponto que chamou atenção é que o Mega afirma que "podemos usar qualquer informação que temos sobre você como cliente, relativa a sua credibilidade e dar essa informação para qualquer outra pessoa para fins de avaliação de crédito e cobrança de dívida."

Mas tudo isso não parece ser um grande problema para a maioria dos usuários, afinal o serviço bateu a marca de 250 mil cadastrados poucas horas depois de ser lançado, segundo o seu fundador.

Cuidado com o que compartilha

Por mais que o Mega se autointitule "A Empresa da Privacidade" (The Privacy Company") e garanta que todos os dados são criptografados de forma eficaz, especialistas em segurança aconselham a não confiar muito no serviço. Que a criptografia será feita, isso não há dúvidas, mas o sistema utilizado para a sua implementação é duvidoso.

O Mega utiliza o SSL (Secure Sockets Layer), um protocolo amplamente utilizado para criptografia em toda a rede - e também altamente vulnerável. O SSL há tempos é conhecido por ser um ponto fraco na web.

Em 2009, o pesquisador de segurança Moxie Marlinspike criou uma ferramenta chamada sslstrip, e a apresentou durante a conferência hacker Black Hat daquele ano. A ferramenta permite a um invasor interceptar e interromper uma conexão SSL para, então, espionar todos os dados que o usuário envia para o site falso.

Levando em conta que o Mega se baseia fundamentalmente em SSL, "não há realmente nenhuma razão para fazer a criptografia do cliente", disse Marlinspike em uma entrevista na segunda-feira (21/1). "Esse tipo de processo é vulnerável ​​a todos os problemas com SSL."

Considerando que o Mega verá apenas dados criptografados em seus servidores, o procedimento seria uma maneira de "absolver" os fundadores do site de questões relacionadas à violação de direitos autorais do Megaupload. "Tudo o que importa é que os operadores do Mega possam alegar que eles não têm a capacidade técnica para inspecionar o conteúdo no servidor a procura de violação de direitos autorais", disse Marlinspike.

Fonte: IDGNOW