ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)
এই মাসের গোড়ার দিকে কিম ডটকম মেগা নামে একটি এনক্রিপ্ট ফাইল ফাইল স্টোরেজ সিস্টেম চালু করেছিলেন ually আইনী সমস্যাগুলি তুলে ধরে যা তার পূর্ববর্তী সংস্থা মেগাপলোডকে বন্ধ করে দিয়েছিল, ডটকম নতুন পরিষেবাটিকে ব্যক্তিগত, এনক্রিপ্টড এবং অতি সুরক্ষিত হিসাবে উল্লেখ করেছেন। তবে এটি পরিষ্কার যে মেগাটির অর্থ কী তা সম্পর্কে কিছুটা অস্বাভাবিক ধারণা ছিল।
এনক্রিপশন পরিস্থিতি
সস্তাে সুরক্ষিত সংযোগগুলি সরবরাহ করতে মেগা একটি চালাক স্কিম ব্যবহার করে। ব্যবহারকারীরা সেন্ট্রালাইজড সার্ভারগুলির মাধ্যমে মেগায় সংযুক্ত হন যা 2048-বিট আরএসএ কী ব্যবহার করে। এই সার্ভারগুলি 1024-বিট আরএসএ কীগুলি ব্যবহার করে "সস্তা" সার্ভারগুলির বিতরণ নেটওয়ার্কের সাথে সংযুক্ত। সোফোসের নেকেড সিকিউরিটি ব্লগের মতে, "এর অর্থ হল যে নেটওয়ার্কের নিম্ন-সুরক্ষা অংশ থেকে অননুমোদিত স্ক্রিপ্টগুলি সরবরাহ করার জন্য আপনাকে 2048-বিট-সুরক্ষিত সার্ভার এবং 1024-বিট-সুরক্ষিত সার্ভারগুলির সাথে আপস করতে হবে।
"দেখুন! আপনার সুরক্ষা পিষ্টক রাখার একটি ঝরঝরে উপায় তবে এটি সরবরাহ করার জন্য কম দাম দিন""
স্কিমটি চালাক, তবে কিছু সমালোচকদের সাথে মাস্টারটি পাস করেনি - যা সোফাস বিস্তারিতভাবে নথিভুক্ত করেছেন। ব্যর্থতা যখন প্রবাহ 1024-বিট সার্ভার থেকে ডেটা সরাতে ব্যবহৃত জাভাস্ক্রিপ্টের দিকে তাকাতে থাকে তখন বিষয়টি আরও বেড়ে যায়। তারা আবিষ্কার করেছেন যে মেগা সিবিসি-ম্যাক প্রমাণীকরণ নিয়োগ করেছেন, এতে একটি হার্ড-কোডেড কী রয়েছে যা স্ক্রিপ্টে স্পষ্টভাবে দৃশ্যমান। এটি একটি সংমিশ্রণ লক ব্যবহার করার মত ছিল, তবে পিছনে কোডটি লিখতে যাতে আপনি এটি ভুলে যান না।
জাভা ইস্যুটির ক্ষেত্রে, মেগা কয়েক ঘন্টার মধ্যে দ্রুত পরিস্থিতি সংশোধন করে। যাইহোক, এমনকি দ্রুত প্রতিক্রিয়া সকলকে স্বাচ্ছন্দ্য দেয়নি। সোফোস কানাডার সিনিয়র সিকিউরিটি অ্যাডভাইজার চেস্টার উইসনিউইস্কি সিকিউরিটি ওয়াচকে বলেছিলেন, "মেগায় কর্মীরা / প্রোগ্রামাররা কীভাবে সঠিকভাবে ক্রিপ্টোগ্রাফি করবেন সে সম্পর্কে প্রথম সূত্র আছে? আপনি ক্রিপ্টো বিশেষজ্ঞদের এভাবে অপেশাদার ভুল করার আশা করবেন না।"
তিনি আরও বলেছিলেন, "তারা আরও কত ভুল করে থাকতে পারে? আপনি কীভাবে এটি করছেন তা দেখতে না পারলে আপনার ডেটা সুরক্ষিত করার জন্য কি অন্যের বিশ্বাস করা উচিত?"
অন্যদিকে কাউন্টারট্যাকের প্রধান গবেষক শান বোডমার মেগার এনক্রিপশন সিস্টেমগুলি সম্পর্কে তার মূল্যায়নে ভোঁতা ছিলেন। "না এটি ডেটা অখণ্ডতার দীর্ঘমেয়াদী সমাধান সম্পর্কে ভালভাবে ভাবা যায় না, তবে হাঁটু-ঝাঁকির সমাধান হিসাবে বাজার কৌশল অবলম্বনের একটি অংশ হিসাবে আরও।"
বোডমার সিকিউরিটি ওয়াচকে বলেছেন, "গুগল ড্রাইভ, ড্রপবক্স, বা স্কাইড্রাইভের মতো আরও অনেক নির্ভরযোগ্য বাস্তবায়ন রয়েছে যা"
এটি কিমকে নিরাপদ রাখার বিষয়ে All
মেগার বিক্রয় পয়েন্টগুলির মধ্যে একটি হ'ল এটি "এন্ড-টু-এন্ড এনক্রিপশন" সরবরাহ করে যেখানে মেগায় পাঠানোর আগে ডেটা এনক্রিপ্ট করা হয়, যখন এটি মেগায় বসে থাকে এবং নির্দিষ্ট ক্রিপ্টোগ্রাফিক কী দ্বারা কোনও ব্যবহারকারী যখন ডাউনলোড করেন কেবল তখনই ডিক্রিপ্ট হয়। ধারণাটি হ'ল এমনকি যদি মেগা হ্যাক হয় বা (সম্ভবত আরও বেশি) আইন প্রয়োগকারী কর্তৃক তথ্য হস্তান্তর করতে বাধ্য করা হয় তবে আপনার ডেটা অকেজো এবং এমনকি অজানা।
এটি গুরুত্বপূর্ণ কারণ মার্কিন ডিজিটাল মিলেনিয়াম কপিরাইট অ্যাক্টের অধীনে, কোনও ওয়েবসাইট যদি কপিরাইটযুক্ত বিষয়বস্তু হোস্ট করার জন্য শাস্তি এড়াতে পারে তবে যদি তা সরানোর জন্য আইন প্রয়োগের ক্ষেত্রে দ্রুত সহায়তা করে। ইইউর বৈদ্যুতিন বাণিজ্য নির্দেশে একইভাবে ধারণার মধ্যে সীমিত দায়বদ্ধতার ব্যবস্থা রয়েছে। মেগার জন্য, এনক্রিপশন প্রকল্পটি ব্যবহারকারীদের তাদের তথ্য একটি এনক্রিপ্ট করা আকারে সংরক্ষণের অনুমতি দেয়, তবে এটি পুলিশ ডটকম এলে ডটকম এবং তার সংস্থাকে সম্পূর্ণ অস্বীকার করার অনুমতি দেয়।
তবে মেগা তথ্যের সাথে ব্যবহারকারীর তথ্য এনক্রিপ্ট করে না। আমরা যে বিশেষজ্ঞদের সাথে কথা বলেছি তারা বলেছে যে এটি অদ্ভুত বা এমনকি অবহেলা না হওয়ার পরেও বেশিরভাগ আইন প্রয়োগের ক্ষেত্রে সহযোগিতার সাথে যোগাযোগ তৈরি করেছিলেন।
"এটি অস্বাভাবিক নয়, তবে তারা পরামর্শ দেয় যে তারা যে ক্রিপ্টোগ্রাফিক সুরক্ষা প্রয়োগ করেছেন সেবার ব্যবহারকারীর চেয়ে মেগা রক্ষা করার জন্য আরও অনেক কিছু রয়েছে, " উইসনিউস্কি বলেছিলেন। "যদি নিউজিল্যান্ড আইন প্রয়োগকারী ফাইলের মালিকানা এবং সংযোগের তথ্য সম্পর্কে জানতে চায় তবে মেগা সক্ষম হতে পারে এবং আমরা সেই তথ্য হস্তান্তর করতে ইচ্ছুক বলে ধরে নিই।"
এমন পরিস্থিতিতে যেখানে মেগা ব্যবহারকারীরা ফাইলগুলি ভাগ করার জন্য তাদের ক্রিপ্টোগ্রাফিক কীগুলি হস্তান্তর করে (যা তারা ইতিমধ্যে রয়েছে) এবং আইন প্রয়োগকারীরা নিশ্চিত করতে পারে যে সামগ্রীটি প্রকৃতপক্ষে কপিরাইটের অধীনে রয়েছে, মেগা ব্যবহারকারীর তথ্যে অ্যাক্সেস রাখতে পারে। এটি মেগাকে উভয় উপায়ে থাকতে দেয়; তারা তাদের সিস্টেমে অবৈধ বিষয়বস্তুতে অন্ধ থাকতে পারে তবে তবুও একটি "নিরাপদ বন্দরে"।
বোডমার একমত হয়ে বলেছিলেন, "ভবিষ্যতের আইনি চ্যালেঞ্জগুলি সহজ করার জন্য মেট্রিক্স বেক-ইন করার পূর্বাভাসটি যৌক্তিক পদ্ধতির মতো বলে মনে হচ্ছে, আমার শেষ উদ্যোগটি যেভাবে শেষ হয়েছে তা শেষ করে দিলে আমিও একই কাজ করব।"
সিওআর সিকিউরিটির সুরক্ষা কৌশলবিদ অ্যালেক্স হোরান উল্লেখ করেছিলেন যে আইনী জড়িততা এড়াতে পদক্ষেপ গ্রহণে মেগা একা থাকতেন না। তিনি সিকিউরিটি ওয়াচকে বলেন, "কোম্পানিকে মামলা মোকদ্দমা থেকে রক্ষা করার জন্য অনেকগুলি সিস্টেম তৈরি করা হয়নি? আমি যুক্তি দিয়ে বলব যে মেগা এটি করতে বাধ্য, " তিনি সিকিউরিটি ওয়াচকে বলেছেন।
"গড় ব্যক্তির তুলনায় এটির চেয়ে বেশি সংবেদনশীল হতে পারে কারণ তিনি ধরে নিতে পারেন যে তার নতুন পরিষেবাটি নিবিড়ভাবে বিশ্লেষণ করা হবে, " হোরান বলেছিলেন।
টেকওয়ে
যদিও মেগা অবশ্যই এনক্রিপ্ট তথ্য দেয় তবে এর ক্রিয়াকলাপের অন্যান্য দিকগুলি সন্দেহজনক বলে মনে হয়। ক্রিপ্টোগ্রাফিক ব্যর্থতা এবং বিতরণ ব্যবস্থার চেয়ে বেশি উদ্বেগজনক, কীভাবে পরিষেবা বিপণন হচ্ছে। এটি শুরু থেকেই পরিষ্কার হওয়া উচিত: এটি আপনার সুরক্ষার জন্য ডিজাইন করা হয়নি, এটি তাদের সুরক্ষার জন্য তৈরি করা হয়েছে।
ম্যাক্স থেকে আরও তথ্যের জন্য, টুইটারে @Wmaxeddy তাকে অনুসরণ করুন।