কিম ডটকমের মেগা সার্ভিস

কিম ডটকমের সাহসী নতুন উদ্যোগ, ফাইল-স্টোরেজ এবং ভাগ করে নেওয়ার মেগা সার্ভিসিং, সমালোচনা সমালোচনা করছে কারণ নিরাপত্তা গবেষকরা বিশ্লেষণ করে যে সাইট ব্যবহারকারীদের ডেটা কীভাবে রক্ষা করে। সংক্ষেপে তারা পরামর্শ দেয়: এটা বিশ্বাস করবেন না।

যদিও মেগা অফিসাররা জাভাস্ক্রিপ্টে "newbies" বলে স্বীকার করে, তবে প্রোগ্রামিং ভাষা তাদের পরিষেবাগুলির মূল উপাদানগুলি চালানোর জন্য ব্যবহার করে, তারা বলে যে তাদের ওয়েবসাইটটি অনলাইনের চেয়ে বেশি ঝুঁকিপূর্ণ নয় ব্যাংকিং সাইট আক্রমণ।

ডটকম অকল্যান্ড বাইরে তার প্রাসাদে রবিবার মেগা জন্য একটি বৃহৎ লঞ্চ পার্টি ছুড়ে ফেলে। সার্ভিসটি মেগাপ্লপডের উত্তরাধিকারী, ডটকম এবং তার সহকর্মীদের কপিরাইট লঙ্ঘনের অভিযোগে ২01২ সালের জানুয়ারিতে যুক্তরাষ্ট্রে দায়ের করা ফাইল-শেয়ারিং সাইট।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

কিম ডটকমের নতুন ফাইল-শেয়ারিং সার্ভিস মেগমেগা, নিরাপত্তা বিশেষজ্ঞদের দ্বারা সমালোচিত হয়েছে, তবে প্রধান প্রোগ্রামার ব্রাম ভ্যান ডের করক (বাঁয়ে) এবং সিটিও মাধ্যাহিস অর্টম্যান (ডানে) বলছেন যে তাদের সাইট আর অনলাইন ব্যাঙ্কিং ওয়েবসাইটের চেয়ে বেশি ঝুঁকিপূর্ণ নয়।

চমকপ্রদ ডটকম মেগা ব্যবহারকারীদের আশ্বাস দিচ্ছে যে সাইট এর এনক্রিপশন তাদের গোপনীয়তা এবং ডেটা রক্ষা করবে, তবে এনক্রিপশন স্কিমটি বাস্তবায়ন করা মূলত ত্রুটিপূর্ণ। পর্যবেক্ষকরা অভিযোগ করে।

মেগা SSL (সিকিউর সকেট লেয়ার) ব্যবহার করে ব্যাপকভাবে ব্যবহৃত প্রোটোকল তার ব্যবহারকারীদের কম্পিউটার এবং তার নিজস্ব সার্ভারের মধ্যে সংযোগ সুরক্ষিত করার জন্য ইন্টারনেট জুড়ে এনক্রিপশন। একবার একটি SSL সংযোগ তৈরি করা হলে, মেগা একজন ব্যক্তির ব্রাউজারে জাভাস্ক্রিপ্ট কোড ছুঁড়ে দিচ্ছে, যেটি তখন মেগা সার্ভারগুলিতে পাঠানো তথ্যের পূর্বে ব্যবহারকারীর ফাইলগুলি এনক্রিপ্ট করে।

সমস্যাটি হল যে SSL দীর্ঘদিনে একটি দুর্বল পয়েন্ট হিসাবে স্বীকৃত হয়েছে । ২009 সালে নিরাপত্তা গবেষক মোক্সি মার্লিনসাইকস SSLstrip নামে একটি টুল তৈরি করে, যার ফলে কোনও আক্রমণকারীকে একটি এসএসএল সংযোগ বিচ্ছিন্ন করতে বাধা দেয়। আক্রমণকারীটি যেকোনো তথ্য যা ব্যবহারকারী ব্যবহারকারীকে জাল ওয়েবসাইটের কাছে পাঠাতে পারেন।

যেহেতু মেগা মৌলিকভাবে SSL- র উপর নির্ভর করে, "ক্লায়েন্ট-সাইড এনক্রিপশন করা সত্যিই কোনও কারণ নেই", মার্লিন্স্পাইক একটি সাক্ষাত্কারে বলেছেন সোমবার। "এই ধরনের স্কিমগুলি SSL- এর সাথে সমস্ত সমস্যাগুলির জন্য ঝুঁকিপূর্ণ।"

যে কেউ মেগা আক্রমণ করে এসএসএসএসপ ব্যবহার করে তার শিকারের ব্রাউজারে নিজস্ব কাস্টম দূষিত জাভাস্ক্রিপ্ট পাঠাতে পারেন। ব্যবহারকারীর অবশ্যই তার পাসওয়ার্ড প্রকাশ করা হবে, যা আক্রমণকারীকে মেগা এর সাথে সংগৃহীত সমস্ত তথ্য ডিক্রিপ্ট করতে দেয়।

মেথিয়াস অর্টমেন, মেগা সিটিও, সোমবার একটি সাক্ষাত্কারে বলেন যে মেগা বিভিন্ন ধরনের ওয়েব ভিত্তিক আক্রমণ রয়েছে। নিরাপত্তার জন্য SSL- র উপর নির্ভর করে এমন অন্য যেকোনো সাইটের মতো, যেমন অনলাইনে ব্যাঙ্কিংয়ের মতো ঝুঁকিপূর্ণ সেগুলি মেগা সাইটের উপর তুলে ধরা হয়েছে, তিনি বলেন।

"যদি তারা পড়তে বিরত থাকে তবে তারা দেখতে পাবে যে আমরা মূলতঃ তারা ঠিকই বলছে তারা আমাদের সম্ভাব্য আক্রমণ ভেক্টরগুলি এবং অন্য কিছু নিয়ে আমাদের অভিযোগ করছে না।, "ওর্টম্যান বলেছিলেন। "এই SSL- সম্পর্কিত আক্রমণগুলির সবগুলি আমাদের কাছে বিশেষভাবে প্রযোজ্য হয় না তারা সমানভাবে উচ্চ নিরাপত্তা প্রয়োজনীয়তাগুলি বা এমনকি উচ্চতর প্রয়োজনীয়তার সাথে কোম্পানিগুলিতে আবেদন করে। "

SSL- এ এনক্রিপ্ট করা নিরাপত্তার সার্টিফিকেটগুলির দ্বারা দমন করা হয় যা অনুমোদিত কোম্পানিগুলি এবং সংস্থার দ্বারা জারি করা হয়। কিন্তু অলংকরণ ব্যবস্থার দীর্ঘদিনের সমালোচনা করা হয়েছে যেহেতু স্ক্যামাররা ওয়েবসাইটগুলির জন্য বৈধ শংসাপত্রগুলি অর্জন করতে সক্ষম হয়নি।

অর্টমান স্বীকার করেছেন যে কেউ একজন মেগা.কম. এর জন্য একটি প্রকৃত SSL সার্টিফিকেট প্রদানকারী একটি সার্টিফিকেট কর্তৃপক্ষকে হ্যাক করার চেষ্টা করতে পারে। এনজেড, যা আক্রমণকারীকে একটি জাল মেগা ওয়েবসাইট তৈরি করার অনুমতি দেবে যা যথাযথ প্রমাণপত্রাদি প্রকাশ করে।

কিম ডটকমের মেগা এন্টারপ্রাইজের তীব্র অপছন্দের অনুযোগে, অর্টমেন বলেন, "আসলে আমি কিছু সরকারকে আশা করি mega.co.nz ছায়া সার্টিফিকেট কোন পয়েন্টে ইস্যু করা এবং আক্রমণে ব্যবহৃত হয়। "তবে মেগা অনধিকৃত SSL সার্টিফিকেটের জন্য স্ক্যান করবে, তিনি বলেন।

নাদিম কোবিয়াসের সৌজন্যে মেগা প্রয়োগের এনক্রিপশন কিভাবে এনক্রিপ্ট করা ইনস্ট্যান্ট মেসেজিং প্রোগ্রাম ক্রিপ্টোক্যাটের ডেভেলপার নাদিম কোবেশি সহ কিম ডটকম, মেগা থেকে নতুন ফাইল-শেয়ারিং পরিষেবাটি সমালোচিত হয়েছে।

যদি মেগা সার্ভারগুলি আপোস করা হয় তবে এটি এছাড়াও একটি আক্রমণকারী সংশোধিত, দূষিত জাভাস্ক্রিপ্ট প্রদান করা সম্ভব হতে পারে, এনড্রিপ্টেড ইনস্ট্যান্ট মেসেজিং প্রোগ্রাম Cryptocat এর ডেভেলপার নাদিম কোবেসি বলেন। মেগা নিজেই দূষিত কোড প্রদান করতে পারে।

"প্রত্যেকবার যখন আপনি ওয়েবসাইটটি খুলবেন, এনক্রিপশন কোডটি স্ক্র্যাচ থেকে পাঠানো হবে" কোবেসি বলেন, "তাই একদিন আমি সিদ্ধান্ত নেব যে আমি আপনার জন্য সব এনক্রিপশন নিষ্ক্রিয় করতে চাই, আমি কেবল আপনার ইউজারনেম বিভিন্ন কোড পরিবেশন করতে পারি যা কোনও এনক্রিপ্ট করে না এবং এর পরিবর্তে আপনার এনক্রিপশন কীগুলি চুরি করে। "

অর্টম্যান দাবি করেছেন যে ডাউনলোড এবং চলমান কোড ডাউনলোড করার সময় ব্যবহারকারীরা তাদের পরিষেবা প্রদানকারীর উপর নির্ভর করতে বাধ্য। যেহেতু মেগা জাভাস্ক্রিপ্ট ব্রাউজারে পাঠানো হয়, লোকেরা কোডটি নিয়মিত বিশ্লেষণ করতে সক্ষম হবে এবং এটি নির্ভরযোগ্য কিনা তা যাচাই করতে সক্ষম হবে। যদি মেগা জাভাস্ক্রিপ্টের সাথে ছাপ ফেলে, "এটি সনাক্তযোগ্য হবে," অর্টম্যান বলেন।

মার্লিনপাইক বলেছেন যে ডেটা এনক্রিপ্ট করার জন্য একটি স্বাক্ষরিত ব্রাউজারের এক্সটেনশনে মেগা ব্যবহার করার জন্য একটি নিরাপদ উপায় হবে, যা কোনও আক্রমণকারীর দ্বারা সংহতিকে প্রতিরোধ করবে। অন্যথায়, একটি ইনস্টল সফ্টওয়্যার ক্লায়েন্ট একই শেষ সম্পন্ন হবে, তিনি বলেন, SSL এর অনিরাপদে একটি ব্যবহারকারীকে প্রকাশ না করে।

মার্লিনপাইক বলেছেন তিনি মেগা ব্যবহারকারীদের মৌলিকভাবে নিরাপত্তা সম্পর্কে অনেকটা যত্ন করেন না কারণ তারা শুধু আগ্রহী তথ্য ভাগাভাগি. মেগা কেবল তাদের সার্ভারে এনক্রিপ্টড ডেটা দেখতে পাবে, সেটআপটি সাইটটির প্রতিষ্ঠাতাগুলিকে মেগাপ্পলোডের কপিরাইট লঙ্ঘনের বিষয়গুলি থেকে মুক্ত করতে বলে মনে হচ্ছে।

"সমস্ত বিষয়গুলি মেগা অপারেটরদের দাবি করে যে তাদের কাছে প্রযুক্তিগত ক্ষমতা নেই কপিরাইট লঙ্ঘনের জন্য সার্ভারের বিষয়গুলি পরীক্ষা করে দেখুন, "মার্লিন্স্পাইক বলেন।

যেকোন নতুন অনলাইন পরিষেবাতে, মেগা কোডটি ইতিমধ্যে প্রডিড করা হচ্ছে। রবিবার, এটি প্রকাশিত হয় সাইটটি একটি ক্রস সাইট স্ক্রিপ্টিং ত্রুটি ছিল, যা কিছু ক্ষেত্রে একটি আক্রমণকারী একটি ব্যবহারকারীর কুকিজ চুরি করতে পারেন, যা অন্তত একটি শিকার এর অ্যাকাউন্টের একটি অস্থায়ী টেকওভারের অনুমতি দেবে। এটি দ্রুত সংশোধন করা হয়েছিল। রবিবার টুইটারে মেগা এর প্রধান প্রোগ্রামার ব্র্যাম ভ্যান ডার কলক লিখেছেন: "এক্সএসএস বিষয়টি ঘন্টার মধ্যে সমাধান করা হয়েছে"। "অত্যন্ত বৈধ বিন্দু, বিব্রতকর বাগ।"

অর্টমান ব্যাখ্যা করেছেন: "ক্রস সাইট স্ক্রিপ্টিং সমস্যাটি লজ্জাজনক আর বেশি ছিল। যে ঘটেছে না হওয়া উচিত এই সত্যিই ব্রাম এবং আমি সম্পূর্ণ জাভাস্ক্রিপ্ট newbies হয় এবং একটি ব্রাউজার দ্বারা এই আচরণ প্রত্যাশিত না যে সত্য কারণে। আমরা আসলে এটা নিয়ে আলোচনা করেছি, কিন্তু আমরা তা পরীক্ষা করে দেখিনি, যাতে এরকম বিব্রতকর ব্যাপার। এটি আমাদের কাছে রিপোর্ট করার পর 30 মিনিট বা তারও কম সময়ের পরে এটি স্থির করা হয়েছিল। "

তিনি বলেন, মেগা আজকের বিশদ বিশদ বিবরণে ওয়েবসাইটটির নিরাপত্তা সংক্রান্ত বিষয়ে তার সমালোচকদের উত্থাপিত বক্তৃতাগুলি সম্বোধন করবে।