Mega программа что это

Mega: обзор (не)безопасности

Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состояния зарубежной дискуссии на эту тему.

Итак, одной из первых тему безопасности Меги подняла ArsTechnica, в публикации с забавным названием «Megabad: A quick look at the state of Mega’s encryption». Несмотря на то, что статье не удалось избежать ряда нелепых журналистских ляпов (большая часть которых на настоящий момент уже исправлена, и увековечена лишь в комментариях), автор справедливо отметил ряд довольно крупных огрех со стороны Mega:

• Слабость генератора случайных чисел, используемого Mega при создании RSA-пары (создатель Cryptocat, Nadim Kobeissi, долго и зло проходился по их генератору в твиттере)
• Общая сложность системы и некоторая амбивалентность документации
• Явное указание на наличие дедупликации в TOS («Our service may automatically delete a piece of data you upload or give someone else access to where it determines that that data is an exact duplicate of original data already on our service. In that case, you will access that original data»)

Помимо обсуждения дедупликации, статья Forbes содержит несколько довольно-таки резких комментариев (в частности, упомянутый выше Nadim Kobeissi заявил Forbes следующее: «если честно, у меня сложилось впечатление что это программировал я сам, в 2011 году, будучи при этом пьяным»). Особо следует отметить точку зрения Matthew Green (профессора криптографии в Институте Информационной Безопасности им. Джона Хопкинса), осудившего всю практику шифрования силами одного лишь яваскрипта в целом – «Верификация javascript’ом самого себя подобна попытке подтянуть себя вверх за шнурки. Ничего не выйдет». Интересно, что Green не первый, кто заговорил о фундаментальной уязвимости браузерной javascript-криптографии – тезис о ненадежности таких систем был изложен еще в 2011 году специалистами из Matasano Security.

Вежливо, но сурово раскритиковали Мегу и их коллеги по цеху из SpiderOak, опубликовав очень интересную статью об особенностях основ «Мега криптографии». В ней они указывают на крайнюю слабость самопальной функции деривации ключа, примененной командой Доткома при преобразовании пароля в мастер-ключ, используемый для дальнейшей шифрации асимметричного ключа (кстати, кое-кто уже состряпал утилиту для брутфорса хешей Меговских паролей, которые содержатся в ссылке подтверждения регистрации) и уязвимость процедуры аутентификации к реплей-атакам.

SpiderOak обещают продолжить изучение архитектуры Mega с обязательной публикацией (вероятно, сочных) результатов.

Ну и наконец, на сладкое, добрые прохожие из fail0verflow team обнаружили, что в механизме валидации компонентов страницы, используемом Mega (том самом механизме, о фундаментальной ненадежности которого говорил Matthew Green) имеется откровенно хрестоматийная ошибка – вместо криптостойкой хеш-функции используется СВС-МАС. Для тех, кто не очень знает толк в криптографических извращениях, стоит наверное пояснить, что СВС-МАС является аутенфикационным кодом сообщения (а отнюдь не хешем в строгом смысле слова), и использовать его в качестве хеша вредно для здоровья (пользователей), ибо позволяет «сильному» оппоненту (например, оператору CDN) осуществить хищение пользовательских ключей.
Mega отреагировали на найденную fail0verflow уязвимость крайне оперативно, и в настоящий момент используют SHA-256…Однако, наличие такого грубого ляпа у сервиса, гордящегося своей «криптографичностью», не может не тревожить.

Ну вот наверное и все на сегодня.

Возможно, в дальнейшем я продолжу публиковать научно-популярные обзоры сканадалоинтриг и расследований, связанных с безопасностью различных сервисов (не только Mega).

[UPD]
В ответ на разгоревшуюся дискуссию, Мега организовала программу финансового поощрения «ответственных прохожих», и планирует платить награды за найденые баги.

• удаленное выполнение кода на сервере Мега (включая SQL-injection)
• удаленное выполнение кода в клиентском браузере (XSS-ки и.т.п.)
• скомпрометировать криптографическую модель безопасности, манипулировать данными и ключами
• обойти управление доступом, осуществлять несанкционированную перезапись и уничтожение ключей и пользовательских данных
• подвергнуть угрозе пользовательские данные в случае захвата привязанного к аккаунту почтового ящика

Вкусно? Не совсем…

Есть еще ограничения, а именно: мега не будет платить за баги, требующие для использования очень больших вычислительных мощностей (что разумно), баги носящие условно-академический характер (что неблагоразумно, ибо как завещал тов. Шнаер, «Attacks always get better; they never get worse»), а также RE/DOS-уязвимости (что, мягко говоря, странно, ибо такие атаки ну никак не относятся к категории проблем, о которых нормальный хозяин веб-сервиса хотел бы узнать «по факту применения») и атаки требующие (неопределенно) большое количество запросов к серверу.

Откровенно настораживает отношение Меги к проблеме недостаточного количества энтропии при генерации ключей, которую Мега отнесла к «академическим» проблемам, и потребовала «показать реальную уязвимость» (На всякий случай напоминаю, что «недослучайные» RSA ключи это весьма серьезно). К сожалению, криптографические проблемы нельзя решить путем методичного самовнушения про «отсутствие реальной уязвимости»…

Также мега аккуратно обошла вопрос относительно возможной идентификации хранимых шифртекстов (то есть идентификации контента без расшифровки, силами дедупликационного механизма или других архитектурных особенностей), в особенности обладателями копии плейнтекста (ну, вы понимаете, о ком я)

В целом, все это оставляет смешанное впечатление — хотя сумму в 10 000 евро маленькой назвать нельзя, условия мероприятия оставляют некоторый неприятный осадок.

• Mega
• Mega.co.nz
• Ким Дотком
• криптография
• безопасность
• безопасность веб-приложений
• скандалоинтриги
• расследования

• Информационная безопасность
• Криптография

Источник: habr.com

Mega

Mega — облачное хранилище для компьютеров на базе операционной системы Windows, Linux, macOS, с поддержкой Android и iOS гаджетов. Программа Mega на Виндовс имеет повышенную систему безопасности, благодаря чему просмотр любых загруженных вами файлов надежно закрыт от других пользователей!

Возможности Mega

• Свободный просмотр всех своих данных, загруженных ранее на сервис хранения файлов — доступ к файлам из любой точки мира прямо в браузере;
• Быстрая синхронизация вашего мобильного устройства, смартфона или планшета с компьютером;
• Поддерживается резервное копирование из клиента Mega на сервер;
• Удобное проведение любых операций с файлами: удалить, переименовать, добавить, создать папку, переместить в нее и т.д.;
• Mega предоставляет внушительный объем памяти, в которую можно загружать файлы;
• Дополнительные сервисы кроссплатформенного приложения: Mega-чат и Mega-электронная почта.

Преимущества

• Русскоязычный интерфейс;
• Отсутствует назойливая реклама;
• Стабильная работа на любой платформе;
• Высокая скорость загрузки и скачки файлов;
• Mega поддерживает докачку в процессе обмена файлами;
• Клиент программы обновляется автоматически;
• Объем хранилища Mega можно расширять до 4 Тb;
• Возможность синхронизировать файлы на жестком диске в отдельную категорию «сохранено оффлайн»;
• Mega хранит фото видео и другую информацию в зашифрованном виде;
• Достаточно большой бесплатный объем дискового пространства для хранения информации — 50 гигабайт;
• Облако Мега на компьютер позволяет установить удобное расширение на браузер: Google Chrome, Mozilla Firefox и т.д.
• В программе точно отображается свободное место на виртуальном диске и вашем компьютере. Это дает возможность вести контроль и по необходимости увеличить место облачного контейнера;
• С помощью клиента облачного хранилища данных Megasync можно легко и безопасно проводить синхронизацию между объектами, перемещать любые файлы (фотографии, видео, ваши личные данные и т.д.): смартфон – планшет – компьютер;
• Высокая система защиты всех данных файлообменника, путем защиты методом шифрования. Для этого используется криптоалгоритм AES (Advanced Encryption Standard), с ключом длинной 128 бит и RSA (2048-битный ключ), необходимый при обмене файлами.

Недостатки

• Увеличение объема хранилища платное, тарифные планы недешевые;
• Для бесплатного использования действует лимит на передачу в день по времени;
• Для создания учетной записи Mega необходимо использовать адрес электронной почты, полученный на крупном международном сервисе;
• При входе в учетную запись наблюдаются подвисания компьютера, особенно на Windows 10;
• В случае потери своего пользовательского пароля доступ к файлообменнику и своим файлам восстановить невозможно.

Источник: softcatalog.io

Обзор облачного хранилища Mega

Mega – один из лучших облачных сервисов хранения, хотя ему не хватает набора приложений, которые вы получаете от Apple, Google, Microsoft и Dropbox. Он имеет бесплатный уровень, конкурентоспособные цены, очень высокий уровень безопасности и, как правило, очень прост в использовании.

Плюсы

• Отличные протоколы безопасности
• По конкурентоспособной цене
• Чистый, удобный интерфейс

Минусы

• Базовая поддержка бизнеса
• Ограниченное количество дополнительных приложений и надстроек

Mega настраивает свое облачное хранилище несколько иначе, чем детище эксцентричного технологического предпринимателя Кима Доткома (который с тех пор ушел, но также отвечал за ныне несуществующую Megaupload), его главная привлекательность – это разнообразие встроенных механизмов безопасности, которые вы получаете на всех тарифных планов Mega (включая бесплатный).

Функции включают в себя сквозное шифрование и публикацию исходного кода на GitHub, так что любой может проверить его на предмет проблем безопасности. Mega в целом интуитивно понятна и проста в использовании, с кроссплатформенными инструментами, доступными для Windows, macOS, Linux, Android и iOS.

Мега особенности

Mega обеспечивает хороший баланс между функциями и простотой и работает практически на каждом устройстве. Вы можете настроить просмотр определенных папок на вашем компьютере, а также загрузку файлов через веб-интерфейс. Можно загрузить файл любого размера, если вы остаетесь в пределах своей общей квоты, при этом служба также поддерживает управление версиями, позволяя извлекать более старые версии документов.

Прямо в сервисе Mega реализовано совместное использование файлов и папок. Он включает в себя возможность либо включить ключ шифрования со ссылкой, что довольно удобно, либо передать ключ шифрования отдельно, хотя и по другому каналу, – приятная функция, чтобы произвести впечатление на пользователей, заботящихся о безопасности, но, возможно, не на широкие массы. Для еще большего уровня безопасности ссылки также могут быть защищены паролем с назначением даты истечения срока действия.

Что выделяет Mega, так это функции безопасности с поддержкой сквозного шифрования (подробнее см. Ниже) и четким акцентом на защиту вашей конфиденциальности во всем. В платформу даже встроен защищенный клиент чата, который особенно полезен для использования Mega в условиях малого бизнеса для безопасного общения между сотрудниками.

Чего не хватает в Mega, так это бесплатного онлайн-офисного пакета, который включают другие облачные провайдеры, и в нем отсутствуют некоторые из более продвинутых функций, имеющихся в других продуктах, но в целом это отличное облачное решение для хранения данных, которое позволяет сосредоточить внимание на защите ваших данных. Загрузка и синхронизация очень просты, большинство необходимых вам опций обмена файлами уже включены, а ваши файлы доступны практически отовсюду.

Мега интерфейс

Веб-интерфейс Mega обеспечивает удобство и плавность работы. Все аккуратно выложено и доступно – независимо от того, нужно ли вам загружать файлы или получать информацию о своей учетной записи – все очень просто. Веб-приложение позволяет просматривать (или слушать) мультимедийные файлы, документы и т.д. Прямо в браузере. Такие функции, как общий доступ к файлам и папкам, всегда доступны одним щелчком мыши, что делает его одним из наиболее удобных решений для облачного хранения, с которыми мы сталкивались.

Помимо доступа к Mega через браузер, есть также возможность использовать приложение MegaSync для Windows, macOS или Linux. Как и в онлайн-интерфейсе, в настольном клиенте все довольно чисто и хорошо продумано, чтобы отслеживать любые папки, которые вы назначаете, синхронизируя файлы аналогично Dropbox. Вы можете детально контролировать синхронизацию всего облачного хранилища Mega с компьютером или только выбранных файлов и папок.

Также впечатляет количество расширений, которые предлагает Mega, включая расширение для почтового клиента Thunderbird, для интерфейса командной строки. То, что эта служба облачного хранилища создается людьми, увлеченными технологиями, демонстрирует интегрированную зашифрованную платформу чата под названием MegaChat, которая используется для безопасного общения с другими пользователями, когда в этом возникает необходимость.

Когда мы их используем, скорость загрузки и выгрузки достаточно высока – если, конечно, у вас есть приличное широкополосное соединение – и на рабочем столе есть несколько приятных дополнительных функций, которые нам также нравятся: например, возможность ограничивать используемую полосу пропускания и возможность исключить определенные файлы из процесса синхронизации на основе их имен.

Мега безопасность

Важная причина, по которой Mega привлекает клиентов, заключается в ее подходе к безопасности. Платформа полностью зашифрована, что означает, что даже Mega – или кто-либо, выдающий Mega ордера, – не сможет понять ваши данные. Также имейте в виду, что это означает, что если вы забудете свой пароль, вы не сможете вернуть свои данные (вам необходимо подтвердить, что вы понимаете это, прежде чем создавать учетную запись).

По правде говоря, это не совсем так: в вашей учетной записи есть ключ восстановления, но вам нужно записать его в другом месте, чтобы создать надлежащую сеть безопасности. Безопасный доступ к вашей учетной записи также может быть выполнен путем включения двухфакторной аутентификации (2FA), что является дополнительным преимуществом, которое мы всегда хотели видеть с точки зрения безопасности. На каждом этапе действительно видно, что Mega серьезно относится к конфиденциальности и безопасности uber.

Окончательный вердикт

Mega пользуется большим спросом, особенно среди пользователей, которые ценят конфиденциальность и безопасность выше большинства других соображений. Имея возможность использовать различные приложения и функции, легко сказать, насколько легко обойти службу, находя все необходимые инструменты. Mega обслуживает как абсолютных новичков в облачном хранилище, так и более продвинутых пользователей, которые могут воспользоваться такими функциями, как зашифрованный чат или интерфейс командной строки.

Также существует привлекательность для корпоративных пользователей благодаря дополнительным функциям управления пользователями, защищенному встроенному чату и возможности простого обмена файлами с людьми, не использующими Mega. В целом Mega имеет чистый, простой в использовании интерфейс с множеством полезных функций. Хотя у него нет возможностей некоторых других облачных сервисов, он может превзойти многие из них по цене, а меры безопасности Mega действительно впечатляют.

• ← Что такое 2FA? Объяснение двухфакторной аутентификации
• Как смотреть фильмы DC Extended Universe по порядку →

Источник: fix-note.ru

MEGASync

О программе

Клиент MEGASync позволяет легко синхронизировать файлы между компьютером, смартфоном или планшетом и безопасным облачным хранилищем MEGA с надежным шифрованием. Вы получаете 20 ГБ для загрузки и хранения данных бесплатно

Что нового

• Добавлена поддержка аккаунтов Pro Flexi.
• Новая функция резервного копирования.
• Исправлены обнаруженные ошибки в macOS Ventura.
• Исправлены обнаруженные сбои в Windows, Linux, macOS.
• Улучшена производительность.
• Исправлены ошибки перевода.

Новое в версии 8.4 (iOS) (23.11.2021)

• Исправления ошибок и улучшения

Новое в версии 6.18.1 (Android) (07.10.2022)

• Исправлены ошибки и улучшена производительность

Новое в версии 5.0.1 (407) (Android) (06.10.2021)

• Изменён интерфейс звонков в MEGAchat.
• Теперь пользователи могут присоединяться к звонкам MEGAchat по ссылкам как гости или зарегистрированные участники.
• Увеличено количество участников звонка.
• Исправлены ошибки и улучшена производительность.

Системные требования

• Windows XP (SP3), Server 2003 и выше, Windows Vista, Windows 7, 8, 10, 11.
• Mac OS X 10.9 (Core 2 Duo 64 bits) и выше.
• GNU/Linux (Debian / Ubuntu, RedHat / Fedora / CentOS, Debian, openSUSE, Mint и многие другие дистрибутивы).
• Мобильные устройства на базе Android 6.0 и выше.
• Требуется iOS 12.1 или более поздняя версия. Совместимо с iPhone, iPad и iPod touch.
• Windows 10 Mobile, Windows Phone 8.1, Windows Phone 8.

Полезные ссылки

• Веб-портал для управления обычным хранилищем
• Лучшие VPN для Windows 10: Скорость, безопасность и приватность

Подробное описание

Mega (файлообменник) — безопасный сервис облачного хранения и обмена файлами, который предоставляет от 20 ГБ надежного хранилища бесплатно. Вы можете расширить облачное хранилище, используя платный Pro-аккаунт, с 400 ГБ до 16 ТБ.

В отличие от многих других провайдеров облачных систем хранения данных, с использованием Mega ваши данные шифруются и расшифровываются только с помощью клиентских устройств. Таким образом, ваши данные надежно защищены и доступны только вам. Mega шифрует весь контент прямо в браузере или клиенте MEGASync с помощью алгоритма AES.

Ваши данные доступны в любое время, с любого устройства, в любом месте. Добавьте файлы, синхронизируйте папки с облаком и другими устройствами, делитесь данными с доверенными контактами — обновление происходит в режиме реального времени. Доступ к файлам вы можете получить с помощью компьютера, смартфона или планшета, любого браузера.

Основные преимущества MEGASync

Безопасность: Ваши данные зашифрованы от места отправки до места доставки. Никто не сможет перехватить их во время хранения или перемещения.

Гибкость: Синхронизация любых папок на компьютере, смартфоне или планшете с облачным хранилищем. Синхронизируйте любое количество папок одновременно.

Скорость: Воспользуйтесь мощной инфраструктуры MEGA и возможностью отправки с помощью нескольких соединений.

Щедрость: храните до 50 ГБ бесплатно при использовании достижений MEGA.

Клиент MEGASync доступен для компьютеров с ОС Windows (ожидается поддержка Mac OS X и Linux) и мобильных устройств на базе iOS и Android.

Источник: www.comss.ru