Schemat szyfrowania serwisu Mega Kima DotComa

Dla wszystkich tych, którzy nie pamiętają (mimo że bardzo trudno zapomnieć obsceniczną buńczuczność tego wydarzenia), oficjalna inauguracja usługi została zorganizowana zgodnie z charakterystyczną dla Kima DotComa zasadą "wszystkie chwyty dozwolone", a relację z tego wydarzenia opublikowano na kanale YouTube hakera, aby wyryć ją w pamięci następnych pokoleń internautów.

Od swojej inauguracji usługa Mega była przedmiotem wielu śledztw i dochodzeń dotyczących bezpieczeństwa infrastruktury i samej koncepcji. Jednak do chwili obecnej Mega znajduje się w doskonałej kondycji i dynamicznie się rozwija. Według mnie w przyszłości dynamika tego rozwoju może się tylko nasilić, biorąc pod uwagę zwłaszcza coraz większe kontrowersje wokół poufności danych w internecie.

Wspomnianych wątpliwości w żadnym stopniu nie rozwiewają najnowsze rewelacje Edwarda Snowdena dotyczące programu PRISM, wykorzystywanego przez rząd USA do inwigilowania działań obywateli w Internecie. Rzeczywiście, danych przesyłanych do serwisu Mega i w nim przechowywanych teoretycznie nie można szpiegować na poziomie dostawcy usług internetowych - chyba że złamany zostanie sam mechanizm szyfrowania (AES/RSA). Jednak, zgodnie ze stanem wiedzy ogólnej i specjalistycznej, nie mówimy tutaj o takich przypadkach.

Przewaga usługi Mega nad innymi usługami udostępniania plików:

1. Poufność: Wszystkie dane przechowywane na serwerach Mega są szyfrowane, w związku z czym firma Mega nigdy nie widzi zawartości danych użytkownika. Można to bardzo łatwo zweryfikować, ponieważ pełne szyfrowanie realizują skrypty tekstowe oparte na otwartym kodzie źródłowym po stronie klienta. (DotCom jest tak pewny skuteczności swojego mechanizmu szyfrowania, że ufundował nagrodę w wysokości 10 000 EUR dla osoby, która zdoła go złamać). Podsumowując, bezpieczeństwo danych zależy od osoby dysponującej kluczami, czyli od użytkownika. Jest to również zdecydowana korzyść dla dostawcy usługi, ponieważ serwis może uniknąć problemów z prawami autorskimi, które wcześniej doprowadziły do ostatecznego wyłączenia serwisu Megaupload. Jednak, parafrazując słowa Kim DotComa, jest to niewielka korzyść w porównaniu z całkowitym uniezależnieniem się od inwigilacji, jakie Mega może zaoferować swoim użytkownikom.
2. Bezpieczne udostępnianie plików: Użytkownicy (nawet ci, którzy nie zarejestrowali się w serwisach udostępniania plików) mogą w bezpieczny sposób udostępniać pliki między sobą, ponieważ odwołania do plików w serwisie Mega opierają się na łączu do pliku oraz kluczu pliku. Z tego względu dostęp do pliku może uzyskać osoba dysponująca informacjami o obu tych elementach. Jest to dodatkowa warstwa bezpieczeństwa dostępu do przesłanych plików.

Wady/luki w zabezpieczeniach:

1. Ataki za pośrednictwem przeglądarek: Usługa jest nadal wrażliwa na ataki ze strony klienta, na przykład ataki typu "Man in the Browser", które mogą zastąpić algorytmy szyfrowania używane przez serwis Mega algorytmami znanymi dla osoby przeprowadzającej atak. Atak tego typu pozwala również obejść kontrolę spójności danych po stronie klienta, realizowaną poprzez wczytanie kodu Javascript z innego serwera Mega. Podsumowując, wszystkie znane słabości wszystkich mechanizmów uwierzytelniania (włącznie z uwierzytelnianiem dwuczynnikowym) występują również w mechanizmie uwierzytelniania serwisu Mega. Jeśli więc komputer klienta padnie ofiarą ataku, użytkownik jest "ugotowany".
2. Protokół SSL: Złamanie zabezpieczeń protokołu SSL (lub atak typu booby trap przeprowadzony przez NSA) oznacza złamanie zabezpieczeń serwisu Mega. Jednak według mnie przypadki złamania zabezpieczeń protokołu SSL będą oznaczały o wiele większe problemy dla całego Internetu niż dla serwisu Mega.

Nie wiadomo, co czeka hakera Kima DotComa w przyszłości, ponieważ daty jego ekstradycji i przesłuchania są konsekwentnie przesuwane. Możemy jednak śmiało stwierdzić, że jego druga próba zapewnienia użytkownikom swobody udostępniania treści przetrwa znacznie dłużej.