Нерасшифрованный файл mega что делать
Справочная информация
про свой опыт решения некоторых проблем и использования ряда возможностей ОС и приложений
пятница, 11 августа 2017 г.
Особенности использование общих папок MEGA
При использовании папок совместной работы с облачным хранилищем MEGA возник ряд вопросов, для ответа на которые пришлось немного подумать.
Приглашение в папку совместной работы от другого пользователя получено и принято, но сама папка в дереве папок облачного диска не отображается.
Это объясняется приобретённой привычкой ожидания появления общих папок так, как это реализовано в Диске.Яндекс, Cloud@Mail.Ru, Dropbox.
Необходимо обратиться к самому левому вертикальному меню и щёлкнуть по значку «Общие со мной», который расположен под значком облака.
При перемещении данных между облаком и папкой совместного доступа при работе в браузере при переносе из своего облака папку назначения следует указать среди объектов «Общие со мной».
При перемещении данных из одного из объектов «Общие со мной» выбор места назначения в своём облаке производится как обычно.
При подключении папок для синхронизации десктопного клиента (при назначении выборочной синхронизации в процессе установки клиента) папки «Общие со мной» отображаются ниже дерева папок своего облака Cloud Drive.
MEGA.NZ пропали Файлы
Сколько вы платите за хранение ваших файлов на Меге?
Пиши админам. У меня так с Яндекс диском было давно правда. Пропали фото, после обращения были восстановлены и ещё 100Гб места халявного добавили.
В поддержку сёги написал, но черт их знает, какие там сроки реагирования
Вы всерьёз думаете что пикабу отреагирует быстрее, и восстановит вам файлы?
Т.е., вы надеетесь, что рядовые пользователи интернета дадут вам лучший совет, чем поддержка самого файлохранилища?
Покупай брат
Зачем проходить экзамен на знание нормально машина водить, если ты уже знаешь нормально машина водить?
Уточнение в свете последних событий
Про холодец
Знаете, когда-то давно, в моём сопливом детстве, мы держали скотину.
На семью из пяти человек, в самом начале зимы мы забивали двух свиней.
Это как минимум 200 кг мяса, не считая голов, ливера и копыт.
Гдет в конце декабря мы резали бычка или тёлку.
Это ещё 150-170 кг чистого мяса.
Жена частенько меня подъёбывает по поводу моего «голодного детства»..
Конечно, можно было зайти домой и тебя бы накормили, но ведь потом тебя на улицу не выпустят..
Ладно, сейчас разговор не об этом..
После разделки туш, оставались три головы, 12 ног, 12 мотолыжек, два свинячих хвостика и один бычий хуй хвост.
В один из дней отец говорил:
— 4iLiSH, сходи в сарай. Наруби там на холодец.
К тёще поедем, холодца сварим, тестя угостим.
Видя нас на пороге, бабушка всегда расплывалась в самой искренней улыбке.
Да, во времена моего детства, газа не было и зимой печь топилась круглосуточно.
Вставай, пошли. Поможем немножко старикам..
— Ну ты чего к ребёнку пристал?! Тебе сказали уже, не надо ничего, мы сами всё сделаем! Сиди, внучок! Вот, ещё пирожок возьми..
— Нет, ну правда, пошто мальчишку тиранить, пусть с бабкой сидит, сами управимся..
Отец же, не обращая внимания на пламенные речи деда с бабкой просто смотрел на меня.
Я нехотя поднимался из-за стола и под причитания бабушки о том как сильно заебали её внука физическими нагрузками мы выходили из дома во двор.
Там мы втроём, я, мой батя и мой дед, чистили снег.
Высказывания отца, типа:
— Смотри, дед, стареешь.. Внук-то, быстрее тебя лопатой орудует..
Придавали мне сил и я кидал снег как тот роторный снегоуборщик.
Закончив кидать снег, мы шли колоть дрова.
Дед старый, пусть он и носит! Я же сильнее деда, я и буду колоть.
Дед с отцом улыбались и после недолгих попыток уговорить меня на работу полегче, соглашались с тем что я уже взрослый мужик.
Отец колол чурбаки на плахи. Я колол плахи на поленья, дед носил их в сарай.
Иногда мы заходили домой погреться, отдохнуть, покушать или попить чай.
Бабушка тщетно взывала к совести двух здоровых мужиков, которые маленького мальчишку уже совсем заморили.
Отец с дедом улыбались.
— А мы разве его заставляем?
Если устал, так пусть сидит и отдыхает, мы сами доделаем.
Закончив колоть дрова, я еще успевал помочь деду перетаскать их в сарай.
А потом мы садились за стол разбирать сварившийся к тому времени холодец.
Мы все вместе отделяли мясо от костей.
Бабушка, отрезав кусок хлеба и отщипнув самый смачный кусочек мяса протягивала мне.
— Держи. Больше всех сегодня работал. Устал?
Я мотал головой и говорил что не устал.
Игрушек, вон, полный магазин..
А мы раньше вот эти кости, от холодца, сушили и потом ими в бабки играли..
Отец разливал из привезённой бутылки в две рюмки и они с дедом долго сидели за столом, обсуждая совершенно неинтересные мне вопросы.
Глаза мои постепенно закрывались и бабушка уводила меня в соседнюю комнату, на диван.
А утром, на столе, стоял холодец.
Не знаю кто как, а я холодец люблю.
Вот и сейчас, закусил рюмаху кусочком холодца, прикрыл на секунду глаза, и на меня нахлынули эти воспоминания.
Наглость
Требования
Немного позитива в ленту
Москалї
Только вот давайте без политоты хоть здесь.
Ответ на пост «Разница»
В далеком 2017 году мы с подружкой решили проехаться по странам бывшей Югославии.
Ехали подготовленные, с обновленной повесткой, в частности, гласившей: в Сербии надо есть.
И вот, Белград. Жаркое утро, нам предстоит долгий туристический день поглощения культуры и всего такого. А значит, надо позавтракать! В те времена моя подруга очень увлекалась тренировками с железом, так что ее рацион отличался большими объемами. На завтрак она шла одухотворённая, с вожделеющим желудком.
Мы сели в ресторанчике на главной улице. Официант принес нам меню, которое мы начали пристально изучать. Варианты предлагались достойные, но привычки и фото блюд берут свое, захотелось нам отведать всего-то омлета и блинчика с ветчиной. Точнее, моей оголодавшей подружке. Я потратила минут 15, объясняя, в какой стране мы находимся, что нельзя верить фото, что еда будет огромная, что мы умрем недостойно от заворота кишок, ни одной басни так и не написав.
Короче, приносят блин с ветчиной. Точнее, БЛИН. БЛИНИЩЕ. Сложенный в 4 раза треугольником, где КАЖДЫЙ слой содержит сметану, сыр и ветчину. Поймите меня правильно, это было божественно. Но он рассчитан на целый взвод. Может, на роту. А нас тут две! Но что делать, долг зовет, а мы дамы ответственные.
. подумали мы, но нам вынесли омлетище. С кучей свежих овощей. С сыром. Пушистый нежный омлет, желтый как солнце, вкусный как запретный плод.
Я не знаю, как мы ходили в +40С по улицам, когда объем наших желудков превышал объемы наших туловищ. И все же, мы справились, переварили, и мало того, к вечеру начали нуждаться в пропитании как ни в чем не бывало.
Вечером снова пошли в ресторан. По-моему, даже в тот же самый. Да, прежде чем начнете осуждать, имейте в виду: мы поели местных блюд в другие дни, но тогда, едва прибыв в страну, хватало и культурного шока. В том числе, от размеров порций.
Через полчаса попыток все доесть я обнаружила ласково закинутый целиком кусман пармезана. Варианта три:
1) шеф-повар использовал настолько огромный кусок сыра, что этот ему показался недостойным внимания,
2) он задолбался натирать столь гигантский кусок,
3) я унизила его своим заказом ризотто вместо нормальной человеческой плескавицы. В этом случае, спасибо, что не в рожу, иначе было бы больно.
Моя коллега по чревоугодию никак не могла докопаться до дна тарелки, обнаруживая все новые и новые куски куры. Одному богу известно, сколько куриц погибло ради этого блюда. Посчитать мы не смогли.
Бросив тщетные попытки не оставлять ничего на тарелках, как учили в постсоветском детстве, мы позвали официанта, чтобы попросить завернуть остатки с собой. Его лицо стоило запечатлеть! Это была смесь искреннего беспокойства за наше здравие (вероятно, умственное), отвращения к нашему слабоволию и отчаяния, что с едой могло быть что-то не то. Мы пару минут внушали, что все в полном порядке, нам все очень понравилось и мы просто ходим забрать остатки с собой.
Когда он вернулся с контейнерами, его лик был омрачен полнейшим смятением. Возможно, мы нарушили культурные нормы. Но это не мы, а наши подло сжавшиеся желудки, честное слово.
Утром в картошке нашли еще три куриных ноги. Ризотто я так и не доела.
Берем под контроль криптографию в облачном хранилище MEGA
После запуска в какой-то мере скандального сервиса MEGA разговоры о его защищенности немного побурлили и затихли. На сегодняшний день сервис живет своей жизнью и его никто даже не поломал. Из всех разговоров почему-то был упущен термин «User Controlled Encryption» (UCE, или Контролируемая пользователем криптография), которой кичится MEGA. Под словом «упущен» я подразумеваю тот факт, что мы не рассмотрели все возможности, которые дает нам криптографический движок, выполняющийся в JavaScript на стороне клиента.
Конечно, сам сервис MEGA под этим подразумевает всего лишь то, что ключи шифрования не хранятся на сервере, а вся их криптография выполняется в контексте браузера. При этом после запуска сервиса было много разговоров о том, что в нем используются нестойкие криптографические алгоритмы и что вообще все плохо и мы все умрем, а наши файлы прочитает ФСБ. Это подтолкнуло меня на мысль расширить понятие «UCE» и действительно взять криптографию под свой контроль, а именно — заменить или дополнить некоторые механизмы обеспечения безопасности сервиса.
В этой статье я частично разложу по полочкам магию, которая происходит в двух мегабайтах JavaScript-кода MEGA и покажу, как можно переопределить некоторые методы, чтобы перестать волноваться и полюбить криптографию. В результате мы получим сервис облачного хранения файлов с двухфакторной аутентификацией и аппаратным шифрованием критически важной информации.
MEGA, UCE и все-все-все
Итак, начнем с того, что рассмотрим технологии, на которых построена клиентская часть сервиса, как происходит регистрация новых пользователей, аутентификация зарегистрированных пользователей, смена пароля и загрузка/скачивание файлов.
JavaScript
Как вам уже может быть известно, вся клиентская часть сервиса основана на JavaScript, в коде главной страницы прописаны контрольные суммы SHA-256 для всех скриптов и страниц, которые загружаются браузером. Сама загрузка происходит следующим образом: у всех файлов проверяются контрольные суммы, после чего они объединяются в один BLOB, который отдается браузеру. По исходному коду js-файлов видно, что их писали разные люди и порой встречаются забавные перлы, как например последствия копипаста, бессмысленные условия и просто странные переменные.
В процессе изучения исходного кода сайта я также заметил, что он довольно активно обновляется, разработчики исправляют мелкие ошибки и оптимизируют уже написанный код, что не может не радовать. Сам код написан весьма прямолинейно и без излишней накрутки в виде прототипов: сайт обходится тремя сотнями глобальных переменных и более чем 8000 функций. Разбираться в архитектуре сайта и менять его код было весьма просто.
Из сторонних фреймворков MEGA использует jQuery (без него сейчас никуда), Ext JS и SJCL. Последний как раз реализует криптографическое ядро с AES-шифрованием. SJCL также обуславливает интересный формат хранения ключей и прочих байт-массивов: вместо того, чтобы просто гонять байты в обычном массиве, они «сжимаются» в формат, который именуется a32. Его суть в том, что содержимое любого массива байт пакуется в 32-битные числа и записывается в массив меньшей длины. То есть, каждые 4 байта массива преобразуются в один банальный int. В коде сайта есть функции, которые выполняют всевозможные преобразования над импровизированным множеством
Ключевая информация
Ближе к коду
Сейчас я предлагаю разобрать процессы регистрации и аутентификации, посмотреть, как создается мастер-ключ и как производится его зашифрование.
Я тут попытался изобразить на бумажке эти процессы и дабы дать вам понять всю суть безумия, даже сделал вот такую фотку:
Регистрация нового пользователя
Сам по себе процесс регистрации довольно запутанный, после заполнения пользователем анкеты вызывается могучая кучка функций, но нас интересует функция api_createuser :
Вход пользователя в систему
Как бонус к регистрации/аутентификации можно взглянуть на процесс смены пароля.
Эта функция вызвала много нареканий, поскольку основана на доморощенном алгоритме. За время написания статьи создатели сервиса успели немного поменять ее код, но существенных изменений я тут не заметил. Ее суть состоит в том, что переданный пароль зашифровывается 65536 раз на константном ключе для того, чтобы получить неотличимый от случайного ключ. Почему создатели сервиса не воспользовались существующими алгоритмами (например, PBKDF2), остается загадкой.
Загрузка и зашифрование файлов
Вкратце весь этот процесс можно представить вот так:
Предупреждаю, долгое вникание в эту картинку опасно для мозга, поэтому ниже я расскажу, как же все это происходит.
Скачивание и расшифрование файлов
«Перегрузка» криптографических операций
Хочу отметить, что здесь я применил весьма хитрый метод. В данном случае нам важно, чтобы злоумышленник не мог расшифровать файл, даже если он перехватит пришедший с сервера ключ файла и будет знать мастер-ключ пользователя. Поэтому тут можно сыграть на особенностях архитектуры сервиса и использовать для за(рас)шифрования файлов значение ключа ul_keyNonce (оно же dl_keyNonce), полученное в результате зашифрования на токене значения ключа ul_key (или dl_key).
Используемые технологии
Для реализации аппаратного шифрования будет использоваться USB-токен Рутокен ЭЦП (также подойдет Рутокен Web) совместно с плагином для браузера «Рутокен Web PKI Edition». Подробное описание плагина мы уже приводили в статьях Рутокен WEB PKI Edition и Щит и меч в системах ДБО. Прикладное решение.
Непосредственно разработка
Сразу хочу сделать замечание по поводу моего исходного кода: он, по сути, находится в альфа-версии, хотя и реализует описанную выше функциональность. Я не проверял, насколько моя переделка получилась совместимой с остальными функциями сервиса, поэтому все исходники я выложил на github и буду рад любой помощи по доработке этой системы. Поэтому я не буду засорять статью дальше огромными листингами, а лишь опишу общую схему работы расширения.
Готовое расширение можно скачать здесь. Разработано оно с помощью сервиса Crossrider, что дает расширения для трех браузеров (Chrome, Firefox и IE), но проверять его работу лучше в Chrome или Firefox, причем в первом оно работает гораздо стабильнее.
Демонстрация работы
Логинимся на сервис и открываем страницу файл-менеджера
Подключаем расширение или букмарклет, после чего нам нужно будет ввести PIN-код токена
Переходим на страницу учетной записи и выполняем привязку токена к аккаунту
Затем можно выйти из сервиса и попробовать снова зайти, используя двухфакторную аутентификацию:
Вводим логин-пароль
Вводим PIN-код
profit!
Вместо заключения
Здесь мне так и хочется написать «продолжение следует. », поскольку я не осветил детали создания расширения и интересности прикручивания асинхронных функций шифрования в сервис, который в большинстве случаев использует синхронные вызовы. В заключении этой статьи я хотел бы еще раз обратиться к идее реализации client-side криптографии.
Подход к реализации дополнительных криптографических функций на стороне клиента может быть применен к любому веб-сервису, которому не важно, что хранить у себя на сервере: будь то файловое хранилище, почта или простейший чат. Например, можно реализовать защищенную почту на базе любого почтового сервиса с использованием шифрования сообщений в формате CMS и механизмов обмена ключами по алгоритму VKO GOST R 34.10-2001.
Спасибо за внимание, жду ваших вопросов и комментариев.
PS: первым пяти желающим (из Москвы) потестировать плагин мы можем подарить по токену — пишите в личку.
Справочная информация
про свой опыт решения некоторых проблем и использования ряда возможностей ОС и приложений
четверг, 27 мая 2021 г.
Inbox для MEGA – папка MEGAdrop
Облако MEGA предоставляет возможность загрузки вам файлов тем у кого такого аккаунта не имеется или у кого необходимости его создавать, но необходимость отправки вам контента присутствует.
Респондент может открыть в браузере предоставленную вами ссылку нажать на кнопку «Загрузить» и указать файлы, которые он желает вам отправить. На приведенных ниже рисунках показан пример загрузки двух файлов в папку MEGAdrop. Drop – это имя папки созданного Filebox (папка преобразована в папку MEGAdrop). Ниже наименования папки будет отображено имя, которое указано вами в вашем профиле аккаунта MEGA.
В процессе загрузки одного файла можно добавить ещё файлы, которые будут поставлены в очередь загрузки. Завершение загрузки сопровождается записью «Завершить» напротив файла из списка очереди загрузок.
Преобразовать в папку MEGAdrop можно не каждую папку MEGA. Так, папки общего доступа или папки, на которые имеется ссылка, преобразовать в папку MEGAdrop не получится.
Создайте в браузере отдельную папку, которая будет выполнять функцию вашего Filebox (папка MEGAdrop), правым кликом мыши выберите пункт контекстного меню и подтвердите желание преобразовать данную папку с папку MEGAdrop (Создать):
Предоставьте её тем кому необходимо.
Ограничение. Папки передать нельзя. При попытке передачи папок отобразится уведомление:
Для обратного преобразования папки MEGAdrop в обычную папку используйте команду «Закрыть папку MEGAdrop» правого контекстного меню:
Mega: обзор (не)безопасности
Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состояния зарубежной дискуссии на эту тему.
Итак, одной из первых тему безопасности Меги подняла ArsTechnica, в публикации с забавным названием «Megabad: A quick look at the state of Mega’s encryption». Несмотря на то, что статье не удалось избежать ряда нелепых журналистских ляпов (большая часть которых на настоящий момент уже исправлена, и увековечена лишь в комментариях), автор справедливо отметил ряд довольно крупных огрех со стороны Mega:
Помимо обсуждения дедупликации, статья Forbes содержит несколько довольно-таки резких комментариев (в частности, упомянутый выше Nadim Kobeissi заявил Forbes следующее: «если честно, у меня сложилось впечатление что это программировал я сам, в 2011 году, будучи при этом пьяным»). Особо следует отметить точку зрения Matthew Green (профессора криптографии в Институте Информационной Безопасности им. Джона Хопкинса), осудившего всю практику шифрования силами одного лишь яваскрипта в целом – «Верификация javascript’ом самого себя подобна попытке подтянуть себя вверх за шнурки. Ничего не выйдет». Интересно, что Green не первый, кто заговорил о фундаментальной уязвимости браузерной javascript-криптографии – тезис о ненадежности таких систем был изложен еще в 2011 году специалистами из Matasano Security.
Вежливо, но сурово раскритиковали Мегу и их коллеги по цеху из SpiderOak, опубликовав очень интересную статью об особенностях основ «Мега криптографии». В ней они указывают на крайнюю слабость самопальной функции деривации ключа, примененной командой Доткома при преобразовании пароля в мастер-ключ, используемый для дальнейшей шифрации асимметричного ключа (кстати, кое-кто уже состряпал утилиту для брутфорса хешей Меговских паролей, которые содержатся в ссылке подтверждения регистрации) и уязвимость процедуры аутентификации к реплей-атакам.
SpiderOak обещают продолжить изучение архитектуры Mega с обязательной публикацией (вероятно, сочных) результатов.
Ну и наконец, на сладкое, добрые прохожие из fail0verflow team обнаружили, что в механизме валидации компонентов страницы, используемом Mega (том самом механизме, о фундаментальной ненадежности которого говорил Matthew Green) имеется откровенно хрестоматийная ошибка – вместо криптостойкой хеш-функции используется СВС-МАС. Для тех, кто не очень знает толк в криптографических извращениях, стоит наверное пояснить, что СВС-МАС является аутенфикационным кодом сообщения (а отнюдь не хешем в строгом смысле слова), и использовать его в качестве хеша вредно для здоровья (пользователей), ибо позволяет «сильному» оппоненту (например, оператору CDN) осуществить хищение пользовательских ключей.
Mega отреагировали на найденную fail0verflow уязвимость крайне оперативно, и в настоящий момент используют SHA-256…Однако, наличие такого грубого ляпа у сервиса, гордящегося своей «криптографичностью», не может не тревожить.
Ну вот наверное и все на сегодня.
Возможно, в дальнейшем я продолжу публиковать научно-популярные обзоры сканадалоинтриг и расследований, связанных с безопасностью различных сервисов (не только Mega).
[UPD]
В ответ на разгоревшуюся дискуссию, Мега организовала программу финансового поощрения «ответственных прохожих», и планирует платить награды за найденые баги.
Есть еще ограничения, а именно: мега не будет платить за баги, требующие для использования очень больших вычислительных мощностей (что разумно), баги носящие условно-академический характер (что неблагоразумно, ибо как завещал тов. Шнаер, «Attacks always get better; they never get worse»), а также RE/DOS-уязвимости (что, мягко говоря, странно, ибо такие атаки ну никак не относятся к категории проблем, о которых нормальный хозяин веб-сервиса хотел бы узнать «по факту применения») и атаки требующие (неопределенно) большое количество запросов к серверу.
Откровенно настораживает отношение Меги к проблеме недостаточного количества энтропии при генерации ключей, которую Мега отнесла к «академическим» проблемам, и потребовала «показать реальную уязвимость» (На всякий случай напоминаю, что «недослучайные» RSA ключи это весьма серьезно). К сожалению, криптографические проблемы нельзя решить путем методичного самовнушения про «отсутствие реальной уязвимости»…
Также мега аккуратно обошла вопрос относительно возможной идентификации хранимых шифртекстов (то есть идентификации контента без расшифровки, силами дедупликационного механизма или других архитектурных особенностей), в особенности обладателями копии плейнтекста (ну, вы понимаете, о ком я)
В целом, все это оставляет смешанное впечатление — хотя сумму в 10 000 евро маленькой назвать нельзя, условия мероприятия оставляют некоторый неприятный осадок.