Cloud-Dienst Mega soll alles andere als sicher sein

Am vergangenen Wochenende ist Kim Dotcoms Cloud-Speicher Mega gestartet und hat auch immenses Interesse ausgelöst. Das Haupt-Argument der Macher rund um Kim Dotcom ist die angebliche Sicherheit des Dienstes. Doch genau das bezweifeln einige Experten. mehr... Kim DOTCOM, Kim Schmitz, Mega, File manager Bildquelle: MEGA Kim DOTCOM, Kim Schmitz, Mega, File manager Kim DOTCOM, Kim Schmitz, Mega, File manager MEGA

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Toll! Massenregistrierung möglich - und wen juckts?
 
@Nordstern: ist wie einem Porsche zu bemaengeln dass man schneller als die richtgeschwindigkeit fahren kann wenn man das pedal weiter durch drueckt
 
@Nordstern: Das nichteingeben von 20 Zeichen langen unleserlichen Worten kommt der Usability auch beim manuellen Registrieren zugute.
 
@Schmengengerling: "Das nichteingeben von 20 Zeichen langen unleserlichen Worten kommt der Usability auch beim manuellen Registrieren zugute."

Dem kann ich nur zustimmen, dieses Captscha-Gedöns ist eine echte Seuche. Auf einigen Seiten sind diese so unleserlich, dass es selbst für Menschen mit guter Sehkraft und guter Phantasie es schwierig wird, sie zu entschlüsseln. Die Benutzerfreundlichkeit geht damit gegen null.
 
@Nordstern: vor allem: was ist daran eine Sicherheitslücke? Viel eher Behindertengerecht als die ganze Captcha-Sch* die sonst überall zu finden ist. Entwickler, die sich Mühe geben und Portale, die gescheite Entwickler haben, nutzen ganz andere Methode, die auch noch Nutzerfreundlich sind. Captchas schrecken mich eher ab - wie viele andre auch.
 
@Nordstern: Wenn man sich das Video anschaut, dann wird schon klar, dass es zumindest ein bisschen juckt. Man kann MEGA dadurch als Proxy für den Spamversand nutzen, da beliebige Texte als Nutzernamen zugelassen werden, also auch ganze Spammails, die dann von MEGA dem glücklichen Empfänger zugestellt werden.
Ist zwar kein Weltuntergang in meinen Augen, aber MEGA täte auch keinen Schaden nehmen, wenn Sie die Registrierung auf 10 pro Stunde pro IP beschränken würden ^^
 
Ja der Heiko Frenzel legt ja richtig los, von professionellen Web-Designer (FWT-Group) über SEO-Experten zum Sicherheitsexperten. Ich lach mich weg.
 
@Nordstern: Was ja kein Sicherheitsproblem ist, vielleicht ist es auch gewollt. Wir wissen doch eh alle was Mega damit machen will, warum nicht also gleich es Tools erleichtern direkt einen Account dort zu generieren? Zudem die meisten Captcha Systeme eh für den Arsch sind, entweder sind diese zu einfach und knackt eh jeder Bot, oder der Mensch selbst kann die Dinger nicht mehr lesen. Ich brauche bei einigen System 5 Versuche, das ist schon Krank wenn man sich in irgendeinem unbekannten Forum registrieren möchte.
 
Vllt sollten sie sich mal kurz ueberlegen wieso man keine capchas und leichte registrierung hat und was die verschluesselung fuer mega bedeutet... aber hey..1024 bit.. ziemlich unsicher, oder:)
 
@-adrian-: RSA 768 gilt schon als rel. unsicher, weil es in recht kurzer Zeit geknackt werden kann, RSA 1024 gilt als NOCH "sicher", deshalb der Zusatz "einer Organisation wie dem FBI wäre es zuzutrauen" und das halte ich nicht für abwegig. An sich finde ich es etwas unsinnig die User-Daten mit RSA 2048 zu verschlüsseln, aber die "Server-Daten" (welche die Schlüssel mit einbezieht) nur mit RSA 1024...klingt schon fast nach einer "Sollbruchstelle"...
 
@Draco2007: Es ist Kim doch voellig egal ob das FBI die daten entschluesseln kann. Es geht ihm doch primaer darum nicht verantwortlich gemacht zu werden die hochgeladenen dateien zu scannen so wie es bei so vielen Filehostern gefordert ist.. zb Rapidshare.
 
@-adrian-: juristisch dürfte die Frage interessant sein, ob eine "wirksame Verschlüsselung" vor Verantwortung seitens eines Betreibers schützt. Ist die Verschlüsselung knackbar, ist sie auch vom Betreiber selbst knackbar und somit könnte der Anbieter sehr wohl kenntnis vom Inhalt erlangen, wenn es nicht sogar einen Generalschlüssel gibt der die Einsicht aller Daten gewährt.
 
@Rikibu: WEP ist schon eine wirskame Verschluesselung :)
 
@Rikibu: grundsetzlich "knackbar" ist jedes Verschlüsselungsverfahren. Die Frage ist nur ob sich dafür der Aufwand lohnt (oder ob inzwischen 10 Jahre vergangen sind).
 
@Chialya: Nicht jedes ;-) Eins gibt es, das unknackbar ist....
 
@Draco2007: Nach den Beschreibungen auf verschiedenen News-Seiten soll doch angeblich Mega gar nicht die Schlüssel besitzen mit denen die User-Daten verschlüsselt werden. Daher kann Mega auch nicht die Daten herausgeben. Die Daten werden lokal auf den Rechnern der User verschlüsselt und danach zu Mega hochgeladen. Also wäre höchstens die Verschlüsselung der Verbindung betroffen, was es (vielleicht) ermöglichen würde die Daten abzufangen, aber da diese selsbt bereits verschlüsselt sind, hätte man nichts gewonnen. Weiß jemand Genaueres, waren die News-Artikel ungenau, bzw. falsch?
 
@Nunk-Junge: Mega setzt genau deswegen auf Javascript, daher der Schlüssel liegt beim User und die Verschlüsselung wird beim User gemacht. Würde man die Schlüssel auf dem Server generieren, wären diese auch dort bekannt. Würde man auf dem Server verschlüsseln, könnte man in die Daten vorher rein schauen.

Entscheidend ist eher wie der Schlüssel generiert wird, also ob der Algo auch einen sicheren 2048 Bit Schlüssel erzeugt. Was nutzt mir der längste Schlüssel, wenn er vorhersehbar berechnet wurde.

Wenn man auf normale Übertragungstechniken setzt die ein Browser problemlos beherrscht, frage ich mich auch was man anderes als SSL einsetzen soll. Zudem der Stream sogar mit "nur" 128 Bit verschlüsselt wird, der eigentliche Schlüssel (Zertifikat) ist 1024 Bit. Aber selbst wenn jemand das Zertifikat neu erzeugen könnte, müsste derjenige immer noch aktiv in den Datenstrom eingreifen (Man-in-the-middle). An die Daten kommt er dadurch noch lange nicht dran, selbst nicht an den Schlüssel da er beim User liegt. Dass das FBI sicher genug Möglichkeiten hat um den User auszuspionieren mag sein, ob deswegen die Implementierung schlecht ist wafe ich zu bezweifeln. Sowieso erweckt Herr Alan Woodward den Eindruck bei mir, mit Halbwissen sich Gehör zu verschaffen.
 
Hier das Video zum Spambot: https://www.youtube.com/watch?v=VmvW7ELAxx4
 
Ich hoffe es wird etwas an den Servern gemacht. Bisher war es mir nicht möglich auch nur eine einzige Datei hochzuladen. So viel zum großen neuen Hoster. Nobody is perfect.
 
@helix22: Ich frag mich echt, wer bei so nem Hoster überhaupt was hochlädt bzw. sich registriert - private Sachen im Leben nicht und illegale Sachen sowieso nicht.
 
@Vitrex2004: TrueCrypt-Container sind Dir schon bekannt, oder?
 
@TurboV6: sicher, aber dann kannste auch alle anderen Hoster nehmen, die sind wenigstens verfügbar :-) und preisen nicht etwas an, was sich aus technischen Gründen derzeit gar nicht nutzen lässt.
 
Alles nur Blabla.
 
Das lustige daran ist das sein Twitteraccount gestern erst gehackt wurde. Wenn er mit Mega genauso umgeht bleibt diese Seite nicht lange online. Er legt sich schon mit den falschen Leuten an..
 
@helix22: echt haben sie diesen gehackt? der postet doch den ganzen tag schon munter rum
 
@-adrian-: vielleicht ist er es ja nicht selber ;)
 
@CoF-666: zugegeben es gibt auch sehr viele twitter accounts die mit kim und dotcom in verbindung gebracht werden koennten .. dieser ist aber nicht betroffen: https://twitter.com/KimDotcom
 
1024 bit Verschlüsselung ... nicht sicher? ... ne Platte von mir liegt seit 8 Jahren bei den "Experten" der Staatsanwaltschaft. Ich hab denen sogar angeboten das ganze in meinem RZ knacken zu lassen, weil ich den Schlüssel mittlerweile vergessen hab. Ich weiß nur noch, dass da Katzenbilder drauf waren, glauen sie mir aber nicht :(
 
@wuddih: RSA und AES nicht verwechseln. RSA 768 gilt jetzt schon als rel. unsicher.....Gepackte Container oder TrueCrypt setzen aber auf AES...und selbst AES 256 gilt noch als sehr sicher...das sind einfach verschiedene krytographische Methoden, bei denen unterschiedliche Schlüssellängen zum Einsatz kommen. (RSA asymetrisch (public-key) und AES symetrisches mit nur einem Key....)
 
Das Positive an der Sachist doch, das die Leute vom FBI usw. nicht Arbeitslos werden. Ist auch eine art der Wirtschaftsförderung was Herr Dotcom da betreibt wenn auch nicht eine ganz saubere^^
 
@Edelasos: quod erat demonstrandum
 
@Edelasos: naja wirtschaftsförderung... was fördern die denn? die dämmen höchstens ein das es nich weiter ins minus geht, aber gefördert wird da gar nix im sinne von etwas erwirtschaften, generieren... vom eindämmen von kriminalität hat noch kein staat leben können
 
Lauter Trolle diese Experten. Der Grund warum Javascript genutzt wird ist, dass die Daten schon am Client(!) verschlüsselt werden!!! d.h. zusätzlich zu https wären die Daten selbst bei MIMT-Zertifikat-Tausch-Angriffen sicher!
 
Ich stelle gerade fest, dass rund 90 % aller Webseiten nicht sicher sind o.O ... da ist doch MEGA eher das kleinere Übel
 
@Schrimpes: 90% ist vielleicht etwas übertrieben, aber die jüngste Vergangeheit hat bewiesen das auch das FBI, das Pentagon, die GEMA usw. nicht sicher sind, bzw. nicht sicher genug waren. Zumindest kamen die Angreifer schon recht weit.
 
@Zwerg7: Ja klar ist das etwas überspitzt. Aber wie du schon sagst, wer oder was ist heutzutage schon sicher?
 
Ich uploade auf mega mit 140kb/s auf andere Hoster mit dem hundertfachen Geschwindigkeit... das muss sich noch deutlich verbessen!
 
@xFighter2012: Was hast du bitte für eine Leitung, dass du auf 14 Mb/s upload kommst? ;)
 
@fatherswatch: Will ich auch gerne haben xD
 
@fatherswatch: 14Mb/s sind doch nicht einmal volle 200Mbits.
 
@EvilMoe: Und wer hat 200 Mbit Upload?
 
@fatherswatch: Die meisten Server auf jeden Fall.
 
@fatherswatch: 100mbit/s Up&Down. Ist auch kein rein privater Anschluss ;)
 
@xFighter2012: Warst du schonmal bei der Eröffnung eines Elektronikmarktes in einer Deutschen Großstadt? Oder schonmal versucht an populäres Onlinespiel am Releasetag zu spielen? Oder am 1. Schulferientag in den Urlaub zu fahren? Was glaubste wieviele Leute direkt mal ihre 50 GB ausschöpfen wollen? Natürlich wird sich das bessern, wenn der Ansturm vorbei ist.
 
Also eines ist ja wohl klar, aufgrund den Ankündigungen von Herrn Schmitz, dass es keine Newsseite ohne Mega gibt und dann noch diverse Regierungsorganisationen, dürfte es wohl keinen Webdienst geben der zzt. mehr unter Beobachtung steht.
 
Bei der Überschrift hatte ich erst gedacht sie hätten tatsächlich Sicherheitsprobleme entdeckt. Halte es allerdings nicht für bedenklich wenn das FBI es eventuell,irgendwie,irgendwann mal schaffen könnte meine Exceltabellen oder Bilder von Motorradtouren zu entschlüsseln xD
 
Die Dummheit der anderen machten ihn zum Millionär . Und er wäscht seine Hände weiterhin in Unschuld.
 
@Ackerporsche: Ich würde das FBI nicht als "Dumm" bezeichnen... :-P
 
SSL gibts auch mit 2048 bit oder 4096 bit von daher völlig unverständlich aber wenn man schon auf die Saftbude von Comodo setzt...
 
Das FB bricht SSL bestimmt nicht über den Algorithmus. die werden schon eine CA finden, die Ihnen Zertifikate ausstellt, mit denen Sie sich von typischen Browsern ungewarnt bei SSL zwischensetzen können. Nebenbei: Wenn die doppelt hochgeladene Dateien erkennen können, setzen die auch keine starke Verschlüsselung ein ODER haben Metadaten über die Files (was heißt, dass sie mehr als "nichts" wissen)
 
@DRMfan^^: Nö, Du kannst ja Files verschlüsselt uppen, was eh jeder macht. Nimmst Dunun File A vom Kumpel und schickst es einfach hoch, was aber der Kumpel schon tat, gibt es den gleichen Hash. Verpackst Du es neu oderschiebst noch was mit ein gibt es nen neuen Hash, also gibt es dann 2 Files - wenn auch mit fast identischen Inhalt. Ist wie bei Wuala, nimmst Du ein Update was andere schon geuppt haben, erscheint es sofort im Ordner, ansonsten lädst Du es e en hoch und ein anderer freut sich.
 
@Yepyep: Dennoch wiederspricht das dem "Sinn" und vorallem der Werbung von Mega. workarounds gibts meistens, aber das tut nichts zur Sache. Mega wollte "einfacher" sein.....
 
Jeder Anbieter ist sicher, einfach die Daten vor dem Upload selber hochgradig verschlüsseln und gut ist.
 
Naja, da ich selber einen kleinen Server betreibe, weiß ich, dass es ein erhebliches Problem sein kann, wenn Massenregistrierung möglich sind.

Mehrere Möglichkeiten:
1. Registrierungen können so getimed werden, dass z.B. 10.000 registrierungen in einer Sekunde passieren. Was hat man dadurch? Denial of Service Attack - Server angreifbar

2. Ich kann den Tabellencache des Servers so überlasten, dass er mir Fehlermeldungen aussendet. Klingt für den Laien uninteressant für manch andere sehr interessant (Tabellenstruktur rausfinden, SQL-Abfragen, SQL-Struktur ....) ;-)

3. Wenn ich einen kleinen Bot schreiben kann, kann ich auch sicher ein Programm schreiben, womit man einfach sinnlos rießige Daten hin und her ladet. Klingt jetzt nicht schlimm (bei einem Filehoster ja üblich), dadurch kann ich aber seine Preispolitik verändern. D.h. wenn ich z.B. Rapidshare oder uploaded.to bin, kann ich damit diesen Hoster in die Knie zwingen, da er für die Bandbreite zahlen muss. (Das habe ich jetzt hoffentlich nicht zu kompliziert erklärt!)

...
zu faul um weiteres aufzuschreiben

Zu 1024 Bit-Verschlüsselung:
Naja, hilft auch, das einzige was mich daran stört ist, dass Mega dort etwas anderes angekündigt hat (2048Bit) und somit zerstört Mega höchstens meinen Glauben an den Dienst!
 
@Paul279: 1. Vielleicht, aber es ist nirgendwo bewiesen dass er keinen DoS Schutz implementiert hat. Es gibt mittlerweile auch intelligentere Systeme um sich gegen DoS zu schützen, ein Captcha ist es ganz sicher nicht. 2. Das ist aber wohl eher weniger ein Problem der Registrierung, wenn ich einen SQL Server in die Knie zwingen kann mit ein paar Registrierungen hat man schon ein anderes Problem. Sicher wenn die Last auf eine bestimmte Tabelle recht hoch ist, kann es natürlich beim Schreiben klatschen. Aber auch hier sorgt man für Limits und unterdrückt natürlich auch Fehlermeldungen hin zum Webserver. Ich logge SQL Fehler natürlich mit, aber zeige im Fall des Falles auch eigens erstellte Fehlermeldungen an. 3. Wenn ich erst mal registriert bin kann ich das sowieso, ein Captcha ist dagegen sowieso kein Schutz. Es ist daher auch eine Sache wie viel Daten der User hoch laden darf. 4. Auch du hast nicht verstanden, dass sich die 1024 Bit auf das ausgestellte SSL Zertifikat beziehen. Mit der Speicherung der Daten selbst hat das überhaupt nichts zu tun.
 
Irgendwas stimmt da aber nicht, als ich mich registrierte, wurde ein 2048Bit Schlüssel erzeugt und kein 1024Bit Schlüssel.
 
@Shadow27374: Bitte nochmal genau den Artikel lesen. ;-)
 
@DirtyJoe: Danke
 
Alter Hut ... Wuala.com verschlüsselt die Daten lokal mit AES 256 bit. Kein Java oder SSL nötig. Was soll ich mit Mega wenn ich wirklich legal und sicher dort bin?
 
und laaaaangsam..... 2,67 GB zu 31% in 2h31min .... tztztz :-((
 
@mgg2000: 1. Ferientag in Schleswig-Holstein. Stau vor dem Elbtunnel ca. 16 km.
 
Hier ein guter Artikel der das ganze ziemlich neutral betrachtet und erklärt: http://fail0verflow.com/blog/2013/megafail.html
 
@Matti-Koopa: haha, ganz anderes Kaliber als WF.
 
Ihr solltet euch vielleicht alle mal die Stellungsnahme von Kim zu dem ganzen Schmarn hier durchlesen.. ;)
https://mega.co.nz/#blog_3
 
Ich denke jeder weis das nichts 100% sicher sein kann :x
 
So viel zu den sicheren Links/Keys: http://tobtu.com/megacracker.php Einmal den Masterkey gefunden und man zugriff zu allen Links.
 
Megafail, hier gehts weiter http://fail0verflow.com/blog/2013/megafail.html
 
"alles andere als ideal"
Ich finde es gut, dass WinFuture solche Formulierungen schon in Anführungszeichen setzt. Dieses Neusprech drückt im Klartext nur aus, dass die Verschlüsselung nicht perfekt ist. Dann bekommt der Satz aber eine ganz andere Bedeutung, aber das dürfen die so natürlich nicht Verkünden. ;)
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles