MegaCracker : Et maintenant, le #Mega crack

3238029478_aa1df44c98On se doutait bien que le chateau de sable de l’ami Kim allait vite s’effondrer. Le marketing sur la crypto, c’est bien, l’implémentation correcte de mécanismes de chiffrement c’est mieux. J’avais, aux côtés de certains autres sceptiques, déjà émis les plus grandes reserves concernant l’utilisation de ce service en tentant de vous expliquer que la sécurité de Mega était bancale.

Il n’aura donc fallu que 48 heures pour que Steve Thomas ne vienne confirmer nos soupçons. Le p0c consiste en un cracker de mots de passe pour les fichiers “protégés” sur Mega. Il utilise le lien de confirmation de votre inscription. Ce dernier ne contient pas que le hash de votre mot de passe mais contient également votre clé privée chiffrée, et comme l’explique l’auteur, une fois cette dernière crackée, TOUS vos fichiers peuvent être déchiffrés. C’est le premier très serieux p0c venant confirmer nos craintes.

Particuliers comme entreprises, planquez bien vos liens de confirmations… you’re already p0wn3d.

Et voici le Megacracker

Et son Readme :

 

**** MegaCracker v0.1a ****

Cracks a Mega password from a confirmation link. Do NOT post your confirmation
link because it contains not only a hash of your password but your encrypted
master key. Once the master key is disclosed all your file can be decrypted.

./megacracker-64 [options]

-h|–hash=<string>
Confirmation link.

-H|–hash-file=<file>
File with confirmation links.

–help
Display help and exit.

-i|–input=<file>
File with passwords to test [default is stdin].

-I|–input-precomp=<file>
File with pregenerated data.

-o|–output=<file>
Output data to use later.

Copyright (c) 2013 Steve Thomas <steve AT tobtu DOT com>
This is free software: you can redistribute it and/or modify it under the
terms of the GNU General Public License as published by the Free Software
Foundation, either version 2 of the License, or (at your option) any later
version. There is NO WARRANTY, to the extent permitted by law.

—————
There are at least six things in the confirmation link:
* Encrypted master key (16 bytes)
* Password hash (16 bytes)
* Unknown field (15 bytes?)
* Email address
* Name
* Unknown field (8 bytes?)
This will extract the password hash and crack it.
This will except confirmation links in these forms (You can truncate the data after #confirm to 43 characters):
* https://mega.co.nz/#confirm…………………………………….
* mega.co.nz/#confirm…………………………………….
* #confirm…………………………………….
* …………………………………….
If you want to generate some you can run this in your web browser’s console:
var pw_aes = new sjcl.cipher.aes(prepare_key_pw(“password”));
base64urlencode(
a32_to_str(
encrypt_key(pw_aes, [rand(0x100000000),rand(0x100000000),rand(0x100000000),rand(0x100000000)]))+
a32_to_str(
encrypt_key(pw_aes, [rand(0x100000000),0,0,rand(0x100000000)])));
dqKqDkwkeaJZCSm8gOUTRsgil2fSec1H4J0i2Z8aIbg

This is a precomputed list of passwords. You can use this with -I|–input-precomp:
https://mega.co.nz/#!rYkkTYzA!B_qWf18rDV4NrXAFM4vwwCdYhvRY14zkFyMITAMQSeY

 

Thx @fo0_

Le #Mega coup d’esbroufe de Kim Dotcom est une opération réussie

FilesharingIl nous avait promis un site révolutionnaire qui allait changer le monde, on a au final une usine à gaz dont tout le monde parle mais sur laquelle, au final, très peu de gens ont réussi à uploader le moindre fichier. Il nous avait promis un système de partage sécurisé qui allait devenir le temple de l’échange de particulier à particulier, et on se retrouve avec un site bien commercial qui sera sous peu agrémenté de publicités… et manque de bol, une vulnérabilité faisait que le seul truc qu’on aurait pu réussir à partager était sa clé privée RSA sensée assurer “votre sécurité”. Le respect de la vie privée des utilisateurs est elle aussi sujette à extrême prudence, sachez qu’il n’y en a tout simplement pas.

Capture d’écran 2013-01-20 à 19.30.06

Indisponibilités à répétitions, sécurité hasardeuse, privacy inexistante, mécanismes cryptographiques comme argument commercial implémenté avec les pieds, tout juste bon à se dédouaner face à une justice qui le tient à l’oeil… mais comment Kim Dotcom arrive t-il encore à berner son petit monde avec ce site ?

C’est simple… le FBI a fait de lui un martyr. En décidant il y a un an d’éradiquer Megaupload de la toile, les copyright trolls et le FBI lui ont donné une visibilité rêvée. Cette visibilité, c’est son plus gros capital, et il sait s’en servir. Bien fait a t-on presqu’envie de dire. Et très franchement, je le dirais s’il n’y avait pas les utilisateurs au milieu. La fermeture de Megaupload a donné lieu au coup de départ des ayants-droit d’une offensive sur le direct download. Ce n’est quelque part pas un mal car ces sites, tous bien commerciaux, ne peuvent décemment se faire les chantres de l’échange non commercial.

Et pourtant, c’est bien un tour de force que Mega est en train de réussir. Le nombre incalculable d’articles de presse qui vantent l’outil pachydermique de Kim est ahurissant. Ses offres commerciales sont présentées un peu partout, comme parfaitement légales, et effectivement elles le sont telles que présentées dans ses conditions générales de vente et d’utilisation du service. Et il faut dire qu’il a fait profil bas concernant cette volonté de devenir la Mecque du warez qu’il affichait un peu plus ostensiblement à l’époque de Megaupload.

Mega se veut plus “respectable”. Kim n’offre pas les outils de recherche de fichiers contrefaits sur son site, il est plus malin, il fournit juste l’API qui permettra à des tiers de le faire. Il offre bien une possibilité de partager sur le papier mais ne nous y trompons pas, la manière dont il a restreint la mise à disposition au public des fichiers n’est qu’une posture juridique.

Le site n’était d’ailleurs pas encore officiellement lancé que l’url d’un site de recherche, Searchonmega, tournait déjà un peu partout sur le Net. Ce site vous allez le voir partout ou Mega sera. C’est un peu ce que le débrideur de liens premium était à Megaupload, vous allez en voir des dizaines fleurir, il s’agira de sites bien commerciaux eux aussi, Kim ne sait que trop bien comment se créer un petit microcosme très rentable.

Si le succès est bien là pour Mega, le site ne manquera pas de cristalliser un peu plus la petite guéguerre des infrastructures que se livrent les FAI français, les éditeurs de contenus et les transitaires, comme Cogent, qui assure le transit de Mega. L’incident entre Cogent et Orange n’était qu’un apéritif, et ce dernier risque de ne pas être le seul à monter au créneau cette fois ci.

Capture d’écran 2013-01-20 à 19.50.39

En attendant, Kim Dotcom a réussi son coup de communication, il peut sans problème affirmer que le lancement de Mega est une opération réussie, mais l’engouement du lancement en grande pompes, c’est une chose. La piètre expérience utilisateurs offerte par Mega aura vite raison du site si ce dernier ne trouve pas LE truc qui assurera sa prospérité.

Non, #Mega n’est pas anonymisé !

kim-dotcomLa presse, du moins une certaine presse, a tendance à attribuer des supers pouvoirs au nouveau jouet la nouvelle pompe à cash de l’ami Kim Dotcom. Il y a tout d’abord l’aspect sécurité et le blindage tout relatif que nous avons un peu abordé ici. Mais on ne sait trop par quel raccourcis intellectuel certaines personnes assimilent la sécurité d’une infrastructure web à l’anonymisation des utilisateurs.

L’anonymat est une question complexe. On anonymise un flux de données par le biais du chiffrement, mais ceci ne suffit pas, loin de là. Une source d’upload dont le contexte n’est pas protégé est à peu près tout ce que vous voudrez mais certainement pas anonyme !

Mega ne propose strictement aucune solution d’anonymisation et se paye même le luxe d’une assez fumeuse politique de rétention et d’utilisation des données personnelles que Zataz expose d’ailleurs très bien ici. En plus des données normales de trafic que Mega stockera (mais combien de temps ?), l’ami Kim se réserve le droit d’exploiter vos informations bancaires, et le monsieur en connait un rayon, puisqu’il a été condamné 1998 pour plusieurs fraudes à la carte bleue.

Nous pouvons utiliser les informations que nous détenons sur vous, en tant que client, concernant votre solvabilité. Nous pouvons fournir cette information à une autre personne – évaluation du crédit et à des fins de recouvrement de créances -.

Dans le genre intrusif, on peut difficilement faire mieux. Bref si vous êtes un uploadeur compulsif faisant commerce de vos warez, soyez prévenus, c’est pas Kim vous fera des cadeaux et vous n’êtes _en rien_ anonymisés.

Le Mega retour de Kim Dot Com

megaOn a beau ne pas être fan du bonhomme, il faut quand même lui accorder qu’il a le sens du suspens et du rebondissement. Depuis la fermeture de Megaupload, Kim Dot Com n’avait de cesse d’expliquer qu’il reviendrait avec mieux, plus gros, plus fort. C’est donc aujourd’hui que Mega, son nouveau site devrait ouvrir ses portes. J’ai donc voulu aller jeter un oeil à la plomberie du nouveau site de l’ami Kim.

A ma première tentative de connexion au frontal http://mega.co.nz/, il semble que le DNS en mange déjà plein la tête, et une redirection me téléporte sur kim.com/mega avec un joli message m’expliquant l’embouteillage :

Capture d’écran 2013-01-19 à 17.34.52

Peu importe, nous y accèderons par l’IP : http://94.242.253.38/

Première surprise, l’hébergeur est un illustre inconnu : as5577 et voici ses informations de peering.

Le frontal semble être un apache et petite subtilité… il est en debug !

Capture d’écran 2013-01-19 à 17.39.30

Et voici ce que nous raconte le Nmap  :

Capture d’écran 2013-01-19 à 17.44.15

Un apache en debug, un MySQL… c’est quand même un peu étrange pour un site qui est sensé encaisser des millions de requêtes dans quelques minutes… mais bon, pourquoi pas après tout ? Alors bluff ou pas bluff ton Mega, Kim ?

Update : le host et le dig sont assez intéressants également :

Capture d’écran 2013-01-19 à 18.12.17

 Update 2, cette fois nous y sommes Mega est ouvert, et la véritable infrastructure se dévoile, on est niveau AName sur une architecture similaire à celle de Megaupload :

Capture d’écran 2013-01-19 à 19.16.03

Update 3 : Le lancement semble être un succès, les premiers chiffres devraient le confirmer rapidement. En parcourant un peu le code source on tombe sur le CDN qui sert les fichiers statics, ces derniers semble être servis par Cogent. Gageons que ceci va faire super plaisir à Orange et que la guerre du transit qui a opposé les deux entreprises va surement s’étendre à d’autres fournisseurs d’accès Internet français.

Capture d’écran 2013-01-19 à 23.30.47

 

A la racine du static files server, circulez, il n’y a rien à voir :

Capture d’écran 2013-01-19 à 23.25.24

Mes premiers tests d’upload… merdiques, je n’ai jamais réussi à finir l’upload d’un binaire d’openoffice, l’upload s’est tout simplement bloqué, et la crête d’upload a du avoisiner les… 6,4ko (Mega a peut-être été victime de son succès, mais c’est franchement pas top) :

Capture d’écran 2013-01-19 à 21.13.05

J’ai tenté ensuite une inscription comme ça pour le fun après avoir lu un article de Gizmodo qui nous explique que Méga fait dans la Méga sécurité… mouais bof, utiliser les mouvements de souris pour ajouter de l’entropie lors d’une génération de clé, ça n’a rien d’une nouveauté, c’est comme ça que procèdent déjà de nombreux logiciels “sérieux”.

Capture d’écran 2013-01-19 à 23.21.26

En tout cas, Kim l’a bien vendu en appelant ça de la crypto contrôlée par l’utilisateur. Je n’y vois personnellement pas de procédé révolutionnaire mais la presse devrait se laisser embobiner assez facilement, les 3 mots ensemble claquent pas mal.

Update 4 : La crypto coté user c’est un concept plutôt sympa, mais voilà quand on sert la secu de son paquet de javascript avec une clé 1024 bits, on parait tout de suite un peu moins blindé, c’est ce que relève  @DrWHax (thx @koolfy).

Capture d’écran 2013-01-20 à 00.38.19

On commence à voir fleurir une multitude d’âneries sur le supposé blindage de Mega, une analyse un peu plus fine de l’infra et des petites horreurs en Javascript qui traitent un peu trop de logique pour que ce soit si blindé que ça, devraient vite révéler les faiblesses de Mega. Si vous comptez utiliser Mega “professionnellement”, pour le moment, réfléchissez y à deux fois.

Un XSS a même déjà été trouvé.

mega xss

Le XSS peut conduire à un vol de la clé RSA privée puisque cette dernière utilise LocalStorage, ce qui est bien… mais franchement pas top.

Capture d’écran 2013-01-20 à 00.35.42

De multiples grossières erreurs peuvent avoir un impact important sur la sécurité globale des utilisateurs de Mega et pour le moment, le “blindage” du site reste à démontrer, mais une chose est sûre… peut mieux faire.

Update 5 : Bon ça commence à être la fête du slip, un nouveau scan met en évidence d’autres ports ouverts sur le front en 166 (errata le 7070 et le 554 sont probablement de faux positifs):

Capture du 2013-01-20 01:31:23

Update 6 : Niveau accessibilité c’est pas non plus trop ça, en fait c’est même à se demander qui y accède :

Capture du 2013-01-20 02:51:33

Update 7 : il y aurait bien un souci concernant le mécanisme de génération des clés de chiffrement, assuré par un fichier javascript. En fait Mega semble utiliser assez peu de différents paramètres pour générer ses clés. Il en découle une entropie non satisfaisante et on peut donc supposer que la séquence de prédiction des clés est faillible. @Kaepora signale aussi fort justement que Mega peut très bien désactiver le chiffrement serveur side pour un utilisateur donné sans que ce dernier en soit notifié. La crypto coté user ok mais le contrôle reste à Mega… Bref si vous avez des fichiers confidentiels, oubliez tout de suite de les coller sur Mega, ils ne sont pas en sureté.

Update 8 : les bizarreries au niveau du certificat SSL commencent. Voir le paste de l’analyse SSLyze de @fo0_ .Ce qui était valide hier ne l’est plus aujourd’hui :

Capture d’écran 2013-01-20 à 10.28.21

Wget le met en évidence, l’émetteur est maintenant rapporté comme étant inconnu (thx @ali0une)… et c’est vrai que le choix de Comodo peut paraitre un peu curieux :

Capture d’écran 2013-01-20 à 11.01.22