Tovább hergeli a jogvédőket Kim Dotcom

2013.01.22. 9:16

Még a hétvégén elindult, de a rendszert ellepő egymillió felhasználó rohama miatt gyakorlatilag azóta is használhatatlan Kim Dotcom új fájlmegosztó oldala, a Mega. A szigorúan az Egyesült Államokon kívül működő szájt működtetője a magánszféra védelmezőjének szerepébe bújt. A korábbi kalózvezér szuperbiztos, jogvédők elől is védett tárhelyet ígér a felhasználók adatainak, de az első tesztek alapján a MegaUpload utóda egyáltalán nem kijátszhatatlan.

Egyebek mellett helikopteren érkező ál-FBI-ügynököket és miniszoknyával feldobott egyenruhás táncoslányokat is bevetett Kim Dotcom a Mega nevű új fájlmegosztó szolgáltatás premierjén, amelyet új-zélandi óriásbirtokán tartott a hétvégén. Az eseményre pontosan egy évvel azt követően került sor, hogy az amerikai Szövetségi Nyomozó Iroda (FBI) nyomására a helyi rendőrség razziát tartott a MegaUpload nevű fájlmegosztó oldalból milliárdossá lett Kim Dotcom otthonában.

Az eredetileg Kim Schmitz néven anyakönyvezett, jelenleg házi őrizetben lévő it-zseni a MegaUpload nevű internetes tárhelyszolgáltatás működtetéséből vált it-milliárdossá. Ez a szájt hét év után azért zárta be kapuit, mert az amerikai hatóságok szerint Dotcom cége tevőleg is elősegítette a tárhelyein a szerzői jogokat sértő filmek, zenék, e-könyvek és programok terjesztését.

Megdőlt a látogatók rohama alatt a Mega

Noha az ellene folyó per még folyamatban van, Kim Dotcom pontosan egy évvel letartóztatását követően új, saját bevallása szerint leállíthatatlan tárhelyszolgáltatást ötlött ki, amellyel a magánszféra védelmezőjének szerepében is tetszeleghet. A Mega nevű, új-zélandi szervereken és internetcímen futó új szájtra feltöltött tartalmakat ugyanis azonnal titkosítják egy rendkívül erősnek számító, 2048 bites kulccsal. Egy ilyen bonyolult algoritmussal feldolgozhatatlanná tett fájl visszafejtése akkora számítási kapacitást igényel, amilyen még a legnagyobb amerikai szórakoztatóipari cégeknek sem áll rendelkezésére.

Forrás: AFP/Michael Bradley
Kim Dotcom bejelenti a Mega indulását

A titkosítás révén sem a feltöltött  fájlok, mappák neve, sem pedig tartalma nem lehet ismert külső fél, így például zenei vagy filmipari jogvédő szervezetek előtt sem, bár Dotcom szerint nem kifejezetten kalózkodásra tervezték. Nem meglepő, hogy a MegaUpload utódjának hétvégi premierjét követő első napon már egymillióan regisztráltak az oldalra Kim Dotcom twitteres bejegyzése szerint, hiszen a szájt elvileg ötven gigabájtos tárhelyet kínál felhasználóinak ingyen. Az egyelőre még jutalékért dolgozó tárhelyszolgáltató partnereket kereső Mega indulása óta gyakorlatilag használhatatlan. Vasárnap reggel ugyan be lehetett lépni az oldalra, ám a legtöbb felhasználó nem tudott feltöltéseket indítani rá. Az [origo] egyik tesztelőjének hétfőn dél táján sikerült ugyan sokadik próbálkozásra egy kétszáz megabájtos fájlt feltölteni a Megára, de a címzettnek letöltenie ezt a sorozatos hibaüzenetek miatt már nem sikerült.

Nem egészen világos, hogyan titkosít

A Mega legnagyobb vonzerejének szánt fájltitkosítási funkció egyelőre teljesen átláthatatlanul működik. Az oldalra való regisztráció privát és nyilvános kulcsok generálásával kezdődik, ezeket használja később a szolgáltatás a rejtjelezéshez, a feltöltött adatokhoz való hozzáféréshez mindkét kulcsra szükség van.

A fájlmegosztó információs oldala szerint a titkosításhoz használt privát kulcs soha nem hagyja el a felhasználó gépét. E nélkül viszont a  tárhelyén tartott adatokhoz még a hatóságok sem férhetnek hozzá. A kulcsok helyéről azonban nem szolgál bővebb magyarázattal a Mega információs oldala. Mivel a szolgáltatás semmit nem telepít a számítógépre, így a privát kulcs biztosan nem lehet a felhasználó PC-jén. A böngésző gyakran ürített gyorsítótára lehetne az egyetlen hely, ahol a szolgáltatás tárolhatná ezeket az adatokat, onnan azonban bármikor törlődhetne, ami által a fetöltött állományok örökké hozzáférhetetlenné válnának.

Forrás: AFP/Michael Bradley
Dotcom és miniszoknyás őrangyalai

A hiányos leírás sokaknak fejtörést okozott. A legjobban az amerikai Hacker News hírportál írta le a Dotcom programozói által kidolgozott rendszert. Szerintük a titkosításhoz szükséges kulcs privát és publikus részét egyaránt a Mega szerverei tárolják, méghozzá a felhasználó belépési jelszavával kódolva. Belépéskor a szájt automatikusan dekódolja ezt a két kulcsot, és hozzáférést biztosít az adatokhoz. Kim Dotcom új vállalkozásának rendszerei a jelszót nem teljes valójában, hanem egy törőfüggvényen átvezetve (hashelve) tárolja. Ezt a weboldal könnyen tudja ellenőrizni, mert amikor a felhasználó beírja a jelszavát, akkor ugyanazzal a függvénnyel dolgozzák fel a beírt szót, ha az eredmény egyezik a tárolt változattal, akkor a jelszó jó volt. A hashelés azonban egyirányú folyamat, egy hashből olyan nehéz visszanyerni a jelszót, mint a tubusba visszanyomni a fogkrémet.

Ha elfelejtjük a jelszót, minden fájlunk megy a levesbe

Ez a felépítés lehet az oka annak is, hogy a Mega nem kínál lehetőséget a jelszó lecserélésére és az elfelejtett jelszó visszanyerésére sem: ezekhez ugyanis az összes feltöltött fájlt újra kellene titkosítani új kódokkal. Ha a Hacker News jól fejtette meg a folyamatot, úgy Kim Dotcom és programozói nagyon rossz úton járnak. Így ugyanis a felhasználói jelszavak ellopásával adatok tízgigabájtjai is könnyen megsemmisíthetők, ami mondjuk az archív családi videók és fotók raktározása esetében nem a legszerencsésebb.

Forrás: [origo]
Regisztrálni már bárki tud az oldalra...

Ráadásul a Mega esetében azt sem tudni, konkrétan ki tárolja az adatainkat, Kim Dotcom új vállalkozása ugyanis jutalékrendszerben dolgozó tárhelyszolgáltatókból akar globális adatparkhálózatot kialakítani. Mivel a vállalat nem maga működteti a szervereket, az adatbiztonságot a redundáns tárolás szolgálja: a feltöltött adatokról legalább egy másolatot fizikailag eltérő helyen tárolnak. A szájt elődje, a MegaUpload sorsát tekintve ez csekély garanciának tűnik, hiszen a korábbi tárhelyszolgáltatásra feltöltött adatok gyakorlatilag teljes egészét elveszítették a felhasználók, miután az amerikai hatóságok az oldal lekapcsolásakor nem törődtek ezekkel.

Nem jelent új fenyegetést a Mega

A zenei és irodalmi művek szerzőit képviselő Artisjus szerint a Mega szerzői jogi szempontból nem sokban különbözik MegaUpload nevű elődjétől. Kitzinger Dávid, a jogvédő szervezet internetes szolgáltatásokért felelős vezetője egy évvel korábban, a MegaUpload bezárásakor az [origo]-nak úgy nyilatkozott, hogy a fájlmegosztó kiesése nem befolyásolta érdemben a hazai kalózszájtok működését. A szakértő úgy véli, a felhasználók a Mega esetében ugyanúgy felelősséggel tartoznak a feltöltött tartalmak megosztásáért, mint a MegaUpload esetében. Kitzinger szerint ráadásul a titkosítás bevezetésével a szolgáltató nem is elsősorban felhasználóit védi, hanem saját felelősségét próbálja korlátoznia jogsértések terén.

Forrás: [origo]
...de feltölteni gyakorlatilag még semmit nem lehet

Az Artisjus szakértője szerint a Mega titkosítása hamis biztonságot sugall, hiszen ha valaki a szájton keresztül próbál terjeszteni kalóztartalmakat, annak a dekódoláshoz szükséges kulcsot is meg kell osztania közönségével például a letöltések linkjeit tartalmazó fórumokon. Ez azt jelenti, hogy szélesebb körű terjesztés esetén az elődjéhez hasonlóan hamar kiderülhet, ha valaki illegális tartalmakat oszt meg másokkal - hiszen a regisztrációhoz használt adatok nem titkosak.