Mega ha risposto alle critiche sulla sicurezza del servizio mosse ieri da diversi esperti del settore, che sottolineavano come il sistema crittografico proposto da Kim Dotcom e soci non sia solido quanto dovrebbe e, soprattutto, come indicato dai messaggi promozionali. Gli esperti di Mega ammettono effettivamente che la chiave crittografica è memorizzata solo sul server, e che l'unico modo di sbloccarla è la password dell'utente.
Ed è vero che al momento non esiste una procedura per modificare tale password. Ci sarà tuttavia in futuro anche un metodo per il ripristino della parola segreta, ma i dati saranno illeggibili a meno che l'utente non abbia soluzioni alternative. Migliorerà anche il sistema per generare entropia math.random(), e sarà integrata la possibilità di aggiungere elementi casuali a discrezione dell'utente.
Kim Dotcom
Si erano sollevati dubbi anche sulla deduplicazione, e su come questa potesse nascondere un accesso indebito ai file. "Mega usa la deduplicazione, ma basandosi sull'intero file dopo la codifica. Se si carica lo stesso file due volte, e lo si codifica con la stessa chiave a 128 bit, sul server ne è conservata solo una copia. O se (e questo è molto più probabile!) si copia un file in diverse cartelle o account utente con il file manager o l'API, tutte le copie punteranno allo stesso file".
Un'altra ammissione riguarda la possibilità di accessi non autorizzati. È vero che qualcuno potrebbe prendere il controllo del server, e lo stesso Mega potrebbe abusare della fiducia accordatagli, ma "ogni produttore di software online potrebbe installare trojan sui computer degli utenti". Così com'è vero che violando la connessione SSL si potrebbe accedere ai dati, ma se si ha tale capacità "si può accedere a molte cose che sono anche più interessanti di Mega". Insomma, i rischi ci sono ma sono gli stessi che si ritrovano anche altrove.
C'è poi la delicata questione del JavaScript, sostanzialmente l'unico strumento usato per verificare che i comandi siano autorizzati. "Javascript non verifica sé stesso. C'è del codice JS che viene da un server HTTPS a 2048 bit affidabile, che controlla i comandi JS aggiuntivi provenienti dai server http/HTTPS a 1024 bit non affidabili. Questo sostanzialmente ci permette di ospitare i contenuti su un gran numero di server distribuiti in tutto il mondo senza preoccuparci della sicurezza".
Presentazione di Mega
Tutto bene allora? Più o meno, perché sono bastate poche ore per creare Megacracker, uno strumento che può estrarre la password dell'utente a partire dal link di conferma ricevuto via mail - non facile da ottenere. Secondo Kim Dotcom è "un eccellente promemoria per ricordarci di non usare password facili da indovinare o rintracciabili in un dizionario, soprattutto se la vostra password è anche quella che sblocca la crittografia di file archiviati su Mega".
A questo punto sta al singolo consumatore decidere se Mega offre una sicurezza sufficiente oppure no, e stabilire se la risposta offerta è adeguata e risponde alle critiche. Da parte nostra crediamo che il nuovo servizio potrebbe fare uno sforzo in più e aggiungere un elemento della crittografia che risieda sul computer degli utenti, liberandosi così almeno delle ambigue verifiche Javascript.
Chi vuole usare Mega (o un altro provider) come soluzione di backup, in ogni caso, dovrebbe ricordare alcune semplici precauzioni. La prima e fondamentale è che la copia conservata online non dovrebbe mai essere l'unica, anche per chi usa un account premium. La sicurezza dei dati è solida solo se esistono più copie in diversi luoghi (più di un computer, dischi esterni, più di un servizio online), possibilmente sincronizzate costantemente. Una cosa complessa da fare per un utente privato, chiaramente, ma almeno saperlo è doveroso.
Cercare su Mega non è semplice, ma si può fare
E per chi ci tiene alla crittografia, poi, è sempre meglio applicarla in locale e caricare online file già protetti. Dopotutto gli esperti di Mega hanno ammesso che esiste la possibilità di una violazione: meglio quindi che ci sia un'altra porta da scardinare, o magari più di una.
Chiariti (si spera) i dubbi sulla sicurezza di Mega, è bene evidenziare un ultimo aspetto: le funzioni di crittografia in questione sono utili e benvenute per gli utenti, ma sono state create come scudo legale a difesa dello stesso Mega. Servono infatti per sostenere una non complicità con utenti che pubblicano e diffondono materiali protetti da copyright.
Una possibilità che, tra l'altro, si è già concretizzata. Su Mega si trovano già materiali che violano il diritto di autore, ed esistono già servizi di indicizzazione e ricerca, anche se un po' acerbi. Insomma, sembra che il fenomeno Megaupload si stia ripetendo, solo che stavolta Kim Dotcom si è creato una solida protezione legale, e un'infrastruttura ancora più solida. Sarà difficile accusarlo di nuovo, e ancora di più "spegnere" Mega com'è stato fatto con il suo predecessore.
Insomma, i produttori cinematografici e musicali sembrano sotto scacco, ma la partita è ancora aperta. Kim Dotcom dovrà comunque rispondere celermente alle richieste di rimozione che, ne siamo certi, cominceranno presto ad arrivare numerose.
Aggiornamento: Kim Dotcom ha affermato su Twitter che presto offrirà un premio in denaro a chi riuscirà a violare la sicurezza di Mega.