Mega repara siete vulnerabilidades encontradas a través de su plan de recompensas

Hace algunos días Mega lanzó un programa de recompensas por hasta USD$13.500 para quienes reportaran vulnerabilidades en el sistema. La compañía dio a conocer en su blog siete vulnerabilidades que fueron reparadas gracias a este plan, que correspondían a errores de “clase I” a “clase IV”.

Mega estableció una tabla con seis niveles, siendo el sexto para vulnerabilidades explotables y que correspondieran a fallas fundamentales de diseño, mientras el primero incluye errores de bajo impacto.

La compañía detalló los errores e indicó que fueron reparados, aunque no entregó detalles sobre quiénes fueron los que enviaron los reportes, y se ganaron el dinero. La mayoría de las iniciativas de este tipo (de Google, Facebook y otros) dan a conocer a los hackers que enviaron los informes, como una manera de incentivar a otros a participar y enviar lo que encuentren.

Como sea, el programa de recompensas de Mega sigue en pie y todavía se puede participar si encuentras algo. Según indicó la empresa en su blog, los errores reportados hasta ahora “podrían ser todas descubiertas revisando unas pocas líneas de código en un momento; ninguna requirió un análisis a un mayor nivel de abstracción”. Así que todavía puede haber más fallas dando vueltas.

Kim Dotcom ofrece USD$13.500 a quien logre vulnerar la seguridad de Mega

Quizás para desviar un poco la atención del escándalo con Mega-search de ayer, Kim Dotcom hizo un potente anuncio a través de Twitter hoy: Se ofrece una recompensa de 10.000 euros (unos USD$13.500) a la primera persona que logre vulnerar la seguridad de Mega.

Parte importante del discurso de Mega tiene que ver con la seguridad y la privacidad de los archivos, y como parte de ello, Dotcom ha asegurado que el sitio trabajará para reparar cualquier problema que sea descubierto. La idea de ofrecer recompensas por descubrir fallas también es utilizada por Facebook, Google y otras empresas.

Mega ha recibido varias críticas sobre la seguridad que tiene implementada. A esto se suma la eliminación “por error” de archivos legítimos compartidos públicamente. La compañía recomendó no distribuir enlaces públicos por internet.

Kim Dotcom admite el bloqueo al buscador Mega-search, dice que éste debe “seguir las reglas”

Kim Dotcom admitió que Mega está detrás del repentino cierre del buscador Mega-search.me, creado por unos franceses y que buscaba indexar material almacenado en el servicio en la nube que fuera compartido públicamente por los propios usuarios.

Según Dotcom, Mega decidió bloquear al buscador porque el servicio no tenía un sistema para retirar contenidos con copyright, lo que habría ofendido a los dueños del mismo (estudios y sellos).

“Tenemos algunos e-mails de los dueños de los derechos diciendo ‘estos tipos ni siquiera tienen un procedimiento de retiro de contenidos, ¿qué están haciendo al respecto?’ Cuando nos enfrentamos a una situación como esta, tenemos que actuar”, dijo Dotcom en una entrevista con TorrentFreak.

Dotcom señaló que Mega se preocupó debido a la gran cantidad de atención que recibió Mega-search, en especial debido a que en el buscador aparecía un montón de contenido “pirata”.

Ayer, Mega-search explicó a través de una advertencia que Mega desarrolló un script para borrar cualquier archivo indexado por el buscador, lo que había motivado el cierre “temporal” del sitio.

Dotcom indicó que Mega-search no tenía una política de retiro de contenido con copyright, sino que enlazaba a las políticas de Mega. Además, usaba un diseño parecido al del sitio, lo que podría haber confundido a algunas personas respecto a que el buscador estaba de alguna forma afiliado con la empresa.

Mega se disculpó en un post por los archivos legales de usuarios que fueron retirados ayer a raíz del bloqueo a Mega-search.me.

“Nos disculpamos por el muy pequeño número de usuarios que, debido a las prácticas legales cuidadosas de Mega, sufrieron el retiro de archivos autorizados por error”, señala.

Dotcom también indica que habría preferido un curso de acción diferente. “Me hubise gustado enviarle a los chicos de mega-search.me una advertencia y decirles: Agreguen un procedimiento de retiro de contenidos que permita a terceros eliminar enlaces de tu índice, eliminen la marca Mega y sean buenos ciudadanos que cooperen con los dueños de los derechos“, dijo.

Dotcom defendió la medida tomada por Mega indicando que Mega-search.me fue denunciado por decenas de sitios como una web “infractora”.

“Nos verán actuando agresivamente contra sitios que intenten imitar Mega y usar nuestros logos. También iremos tras sitios que no tengan facilidades para retirar contenidos, porque ese es el mayor problema”, dijo. No significa que patrullarán internet, indicó, pero sí que tomarán medidas “cuando sea necesario”.

Adicionalmente, Mega publicó un artículo en su blog en el que sugiere que es una mala idea compartir enlaces públicos de Mega. ”Creemos que al ignorar nuestro consejo y hacer las llaves de cifrado públicas, especialmente a través de sitios que ni siquiera implementan un protocolo de aviso y retiro de contenido, ustedes no estaban completamente ignorantes a repercusiones negativas”, afirma el sitio oficial.

Mega bloquea cualquier contenido compartido usando la herramienta Mega-search

Ayer en la mañana, Kim Dotcom se ufanaba de haber recibido sólo 50 requerimientos para retirar contenido supuestamente infractor de Mega. Sin embargo, la cifra está incorrecta, o Mega está bloqueando material por sí mismo, luego que miles de contenidos desaparecieran aún cuando se tratara de archivos que no infringían nada.

En los últimos días apareció un sitio llamado Mega-search.me, dedicado a indexar enlaces a Mega que hubiesen sido compartidos públicamente en internet. Los enlaces debían ser enviados por los propios usuarios al sitio para que otros pudiesen buscarlos. De esta manera, era posible buscar contenidos como películas, música, libros o cualquier otro material para descargarlo desde Mega usando el enlace público directo.

Dentro del material indexado por Mega-search había también contenido que no era infractor, como copias de Ubuntu o canciones bajo creative commons. Sin embargo, a poco andar del buscador, todo el material que aparecía en los resultados de búsqueda resultaba bloqueado por el sitio.

TorrentFreak realizó una prueba subiendo material creative commons y propio y compartiéndolo de forma pública en internet, de tal manera que pudiese ser indexado por Mega-search. “Sorprendentemente, los archivos fueron retirados por Mega en cuestión de minutos, afirmando que habían recibido una nota de infracción por copyright por cada uno de ellos”, señala Ernesto en el sitio.

Mega-search también notó la situación:

Esto podría deberse a que alguien está usando Mega-search para enviar notificaciones de infracción a Mega, o bien a que el propio Mega está bloqueando contenidos compartidos de forma pública por esta vía.

Al ingresar ahora a Mega-search, aparece la siguiente advertencia:

Está en francés, pero podemos entender que Mega desarrolló un script para borrar cualquier archivo indexado por Mega-search, por lo que el buscador fue desactivado temporalmente.

En sí mismo, Mega-search no es ilegal, sino que sólo recopila material que podría haber sido compartido igualmente en un foro o algún otro espacio público en la red, y lo ordena para hacer más fácil la búsqueda.

Mega no ha entregado ninguna respuesta frente a esta situación todavía, aunque queda en una posición bastante incómoda después de acusar al FBI de eliminar los archivos totalmente legítimos de los usuarios de MegaUpload. ¿Qué pasa con los archivos legítimos de los usuarios de Mega-Search?

Kim Dotcom asegura que Mega tiene 50 millones de archivos y el 0,001% es contenido ilegal

Si bien han pasado menos de dos semanas desde que se lanzó Mega.co.nz –el servicio de almacenamiento de archivos alojado en Nueva Zelanda que es el sucesor del extinto Megaupload–, Kim Dotcom reveló que el servicio ya cuenta con alrededor de 50 millones de archivos, y de éstos, sólo el 0,001% ha sido eliminado por los dueños del copyright ya que contenían material pirata.

“¡Un uso MASIVO sin infringir (el copyright)!”, afirmó festivamente Kim Dotcom vía Twitter. Además, aseguró que Mega está recibiendo alrededor de 50 notificaciones diarias para eliminar archivos por infringir los derechos de autor, contrastándolos con Google, que según el excéntrico alemán recibe unas 450.000 solicitudes diarias (pero no especifica que Google indexa contenido público y a una escala mucho mayor).

Si bien 50 peticiones diarias muy probablemente no represente la cantidad de archivos que infringen el derecho de autor en el sitio, el punto de Dotcom es que el servicio no ha sido utilizado para compartir masivamente material pirata e ilegal, como las acusaciones que en su momento cayeron sobre MegaUpload por parte de las autoridades estadounidenses y que causaron su cierre.

Cuidado con tu contraseña: El cifrado de Mega

“La privacidad es un derecho humano”, dijo Kim Dotcom sentado sobre el escenario en el lanzamiento de Mega, su nuevo servicio de almacenamiento de datos en la nube. Siguiendo esa afirmación, Dotcom creó el servicio para entregar la máxima protección de datos a través de cifrado de datos, lo que a su vez le sirve para protegerse de situaciones como la del año pasado, cuando MegaUpload fue cerrado por el FBI.

Aunque no es el primero ni el único en ofrecer cifrado de datos, el nuevo Mega lo hace de una forma ligeramente diferentes. El servicio encripta todos los archivos cuando los subes al servidor, y cuando los bajas, son descifrados para que puedas volver a abrirlos. Mientras estén guardados en la nube, permanecerán cifrados y nadie podrá abrirlos si no tiene la llave, que es tu contraseña de usuario.

Mega usa la contraseña para generar de forma indirecta las llaves para cifrar y descifrar los archivos. Esto significa varias cosas:

• Primero, no puedes perder tu contraseña de Mega. El servicio no almacena las contraseñas, de modo que si la pierdes, no habrá ninguna forma de recuperarla. “Desafortunadamente su contraseña MEGA no es sólo una contraseña – es la clave de cifrado principal para todos sus datos. Si la pierdes, pierdes el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta”, señala el servicio.
• Segundo, el cifrado a partir de la contraseña también implica que no es posible cambiar la contraseña de usuario sin descartar las llaves para descifrar. De este modo, debes quedarte para siempre con la primera contraseña que elegiste.
• Si elegiste “password” como contraseña o alguna otra palabra obvia, puede que alguien se tome tu cuenta y no hay ninguna manera de recuperar tu cuenta y desalojar al invasor. La única manera de proteger tus datos en ese caso es borrándolos de Mega.

Mega no pide confirmar el password cuando te creas una cuenta, así que también hay que tener cuidado de no escribirlo mal por accidente.
Si todo eso anduvo bien, una vez que tus archivos estén arriba almacenados en la nube, podrás compartirlos a través de un enlace, pero esto también requerirá de una llave para poder abrirlos. Cada archivo o carpeta que subas al servicio contará con una llave propia generada a partir de un pedazo del password.
Puedes enlazar un archivo de dos maneras:

• Enlace directo: Las personas que tengan este enlace podrán descargar los datos, pero obtendrán exactamente lo que tiene Mega, es decir, un archivo cifrado del que no se entiende nada. Si quieren descifrarlo, necesitarán la llave específica para el archivo, que sólo tienes tú.
• Enlace cifrado: Permite descargar el archivo descifrado, lo que es una opción menos segura y quizás más parecida al antiguo MegaUpload.

Cabe agregar que no hay posibilidad de hacer streaming de archivos almacenados en Mega, debido a que “nuestro modelo de encripción de extremo a extremo por sí excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar esta característica”, advierte el servicio. Varios de los servicios que dependían de MegaUpload para obtener contenido no podrán usar a Mega de la misma manera que antes.

La estrategia de Mega definitivamente hace más difícil que un contenido tuyo pueda ser denunciado por copyright, ya que se vuelve más trabajoso saber si infringe algo o no, y es imposible descifrarlo sin tener la llave correspondiente, que no está en manos de Mega.

Sin embargo, Mega más que nada está protegiéndose a sí mismo de los archivos que la gente sube. La compañía simplemente no puede saber si hay infracción a menos que se le indique directamente qué es lo que está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo. Así, no puede ser culpable de “facilitar” la piratería porque simplemente no puede saber qué es ilegal y qué no.

Mega es completamente ignorante respecto a lo que guarda, y si hay piratería, es culpa de los usuarios, que son los responsables de subir el material y de compartirlo – ya que son ellos los que tienen la única forma de acceso a los archivos, que tiene que ser otorgada conscientemente a otros.