На страницах ][ мы достаточно пристально следили за историей «опального» файл-хостинга Megaupload и судьбой его создателя, Кима Доткома. Естественно, когда Дотком запустил новый сервис по адресу mega.co.nz (mega cons — дословно «мегамошенники»), мы не могли пройти мимо. Кроме того, создатели объявили свой новый сервис неприступной крепостью с точки зрения безопасности и закона — так ли это на самом деле?
Предыстория
Чуть больше года назад, 19 января 2012 года, популярный файлообменник Megaupload был закрыт, а в Новой Зеландии арестовали четырех топ-менеджеров компании, включая основателя Megaupload Кима Доткома (замечу, что фамилия, данная Киму при рождении, — Шмитц, но он официально поменял ее на Dotcom в 2005 году).
Тогда Департамент юстиции США обвинил файлообменник в способствовании распространению пиратского контента. За пять лет работы Megaupload якобы нанес индустрии развлечений ущерб в размере 500 миллионов долларов (в виде недополученной прибыли). Кроме того, он якобы породил «криминальные денежные потоки» на сумму 175 миллионов. Также вице-президент MPAA назвал Доткома «самым злостным нарушителем копирайта в мире». Дата-центры Megaupload в Нидерландах, Канаде и штате Вашингтон были арестованы, и правоохранители конфисковали 18 доменов, на которых размещались родственные проекты Megaupload. Пользователи, разумеется, негодовали и даже подавали в суд на ФБР, с требованием вернуть доступ к файлам, но тщетно — возродить файлобменник не удавалось.
Однако радовались правообладатели недолго. Через месяц после ареста вся команда ресурса, включая Доткома, вышла под залог, так и не признав своей вины. Кима долго не хотели отпускать, полагая, что он спешно покинет страну, и припоминая ему, что в молодости он уже был судим за продажу чужих кредиток. В итоге суд все же смилостивился, убедившись, что все средства на его счетах заморожены, а имущество изъято. Но оказалось, что изъятием коллекции дорогих авто и денег со счетов Кима Доткома не испугать. Выйдя под залог к конце февраля, уже в марте он раздавал оптимистичные интервью и давал понять, что вовсе не намерен сдаваться. Ким рассказал журналистам, что ему совершенно не понравился налет на его дом спецназа, перепугавший до полусмерти его беременную жену. Напомню, что в операции были задействованы два вертолета, пять микроавтобусов и 76 человек с собаками, бойцы спецназа и других подразделений полиции, вооруженные пистолетами и винтовками, а также агенты ФБР. Рассказал Дотком и о том, что все претензии правообладателей — «полная чушь». Так, MPAA никогда не обращалась в Megaupload с претензиями и имела возможность напрямую удалять любой пиратский контент с обменника. Суммы, прозвучавшие в зале суда, Дотком тоже поднял на смех: минимум 500 миллионов долларов ущерба от музыкальных файлов за период в две недели означают около 13 миллиардов долларов ущерба в год. Создатель Megaupload заметил, что вся музыкальная индустрия США вряд ли стоит больше 20 миллиардов.
Одним словом, все свелось к тому, что из Megaupload сделали козла отпущения. На вопрос, почему именно Megaupload, Дотком в интервью новозеландскому ТВ ответил так: «потому что я легкая мишень. Дело в моей экстравагантности, хакерском прошлом, в том, что я, знаете ли, не американец — живу где-то в Новой Зеландии, у черта на куличках. У меня прикольные номера на автомобилях и все такое». Подводя итог, Дотком заявил, что не собирается мириться со всем происшедшим и будет бороться. Те, кто внимательно следил за этой историей, не удивились, когда осенью все того же 2012 года Дотком официально объявил, что скоро запустит новый файлообменник, еще лучше прежнего. Он пообещал, что проект (получивший имя Mega) будет недосягаем для «копирастов» и вообще практически неуязвим. Давай посмотрим, что вышло из этой затеи.
Принцип работы
Дотком и команда задались идеей не просто создать удобный файлообменный ресурс, а при этом затроллить правообладателей и правоохранительные органы. И как только первые подробности просочились наружу, многие СМИ вполне заслуженно окрестили Mega криптохостингом. Все файлы, загружаемые на серверы Mega, шифруются прямо в браузере при помощи 2048-битных ключей. Генерация, конечно, случайна, но для большей надежности основывается на пароле пользователя, а также на произвольных движениях мыши и нажатиях на кнопки клавиатуры. Таким образом, ни хостер, ни провайдер понятия не имеют, что именно хранится на серверах.
Данные при этом распределены в облаке, между серверами, находящимися в разных странах мира. Команда Mega больше не складывает все яйца в одну корзину, так что потеря нескольких серверов не обернется для пользователей потерей данных. Публичные ключи также хранятся в облаке, а не на компьютере пользователя.
И возвращаясь к троллингу правообладателей: получается, что даже если какая-либо организация сумеет найти ключ шифрования и доказать, что конкретный зашифрованный файл содержит нелегальный контент, то администрация Mega удалит этот файл. Но благодаря все тому же шифрованию дедупликация файлов на сервере технически невозможна, так что уничтожить одним махом все экземпляры файла просто не представляется реальным. Правообладателям придется «бороться» с каждым экземпляром отдельно.
Еще на подготовительных этапах, когда Mega не был запущен, Дотком ехидно пообещал киностудиям и звукозаписывающим компаниям возможность напрямую удалять файлы, но только в том случае, если они подпишут бумагу, гарантирующую отказ от претензий к самому сервису. Пользователям, в свою очередь, намекали на настоящий пиратский рай — privacy, шифрование и много места под файлы.
Сторонние решения
Как очень метко шутят на просторах Сети: «из-за Mega уже наверняка возник не один десяток стартапов». За стартапы не поручусь, но сторонние сервисы действительно уже начали появляться. Наиболее заметен один из них — поисковик, отыскивающий на криптохостинге фильмы и музыку.
Ресурс, заработавший по адресу mega-search.me, действительно успешно находит файлы, предоставляя пользователям интерфейс для полнотекстового поиска по названиям. Каким образом это возможно, если файлы зашифрованы? Но погоди кидать камни в огород шифрования Mega — поисковик работает совершенно честно. Обычная ссылка на Mega сразу содержит в себе ключ для расшифровки файла. Переходя по такому линку, ты получаешь файл уже в расшифрованном виде. Так работает и поисковая система: попросту ищет в Сети ссылки на файлы Mega и добавляет их в свой поисковый индекс. При этом владельцы Mega все равно не знают, что хранится на их хостинге, а значит, не несут за это никакой юридической ответственности.
Однако у поисковика наметилась и первая проблема — все же команда Mega перестраховывается, ведь Дотком решил обезопасить себя с гарантией. Так, спустя буквально пару дней после запуска поисковика почти все файлы, засветившиеся в нем, были удалены с серверов Mega. Что интересно — это коснулось даже контента, не нарушающего ничьих авторских прав. Это удивило многих пользователей, а парни с TorrentFreak даже провели эксперимент — залили на Mega видеоклипы и фильмы, которые точно опубликованы под свободной лицензией. Например, фрагмент документального фильма о Pirate Bay или старый видеоклип самого Кима Доткома. После экспериментаторы специально выложили ссылки на файлы в открытый доступ.
Ситуация повторилась — файлы вскоре были удалены. На e-mail владельца Mega-аккаунта пришло письмо с объяснениями, гласившее, что в адрес Mega якобы поступили запросы от правообладателей (каких именно — не указано) с требованием удалить файлы. В письме также сообщается, что пользователь ни в коем случае не должен использовать криптохостинг Mega для нарушения чужих авторских прав. На самом деле правообладатели просто не успели бы так оперативно подать жалобу, да и в данном случае жаловаться было попросту некому. Словом, похоже, что в Mega работает что-то вроде собственного отдела «цензуры» или «команды зачистки», которая не разбирается что к чему, а просто удаляет все скомпрометированные файлы. Как эту проблему обойдет mega-search.me, пока непонятно.
Функциональность
Сервис стартовал на скромном новозеландском домене mega.co.nz. Исходно открытие планировалось по адресу me.ga, однако власти африканского государства Габон, которому принадлежит эта зона, оказались сильно против и заявили, что не собираются «служить платформой или сценой, на которой будут разворачиваться действия, нацеленные на нарушение авторских прав недобросовестными людьми». Так файлообменник перебрался на менее красивый адрес.
С точки зрения функциональности Mega мало чем отличается от своих коллег и конкурентов по цеху, скорее даже уступает им в ряде моментов. Но, как и любое файловое хранилище, Mega позволяет загружать файлы и целые папки, хранить их и делиться с другими. Для начала перечислю положительные стороны. Пожалуй, основным плюсом Mega можно назвать немалое количество места: сервис предоставляет пользователю целых 50 Гб бесплатного пространства. Пусть сравнивать не совсем корректно, но все же замечу, что Dropbox предлагает 2 Гб бесплатно (максимум 18 Гб с рефераллами), Google Drive — 5 Гб, а SkyDrive — 7 Гб. Более близкие по логике MediaFire и RapidShare с трудом могут с этим поспорить. Так, MediaFire тоже предлагает до 50 Гб бесплатного места, но имеет ограничение на размер файла — 200 Мб. О RapidShare и говорить нечего — теоретическая неограниченность на деле оборачивается урезанной скоростью, лимитом в 1 Гб трафика в день и другими неприятными вещами. К тому же залить на «Рапиду» что-то мало-мальски нелегальное в последние годы практически невозможно.
Также к плюсам Mega можно отнести простой, минималистичный интерфейс — заливать файлы можно банальным drag-and-drop — и возможность использовать сервис без регистрации (хотя в таком случае возможности будут несколько ограничены). Словом, с управлением разберется даже ребенок.
Нет у Mega и ограничения на размер заливаемых файлов, что тоже может многим прийтись по душе.
Для тех, кому мало 50 Гб, конечно, предусмотрены премиум-аккаунты: дополнительное пространство можно приобрести в объеме 500 Гб, 1 Тб и 2 Тб. Ежемесячная стоимость подписки составит 13,29, 26,59 и 39,90 доллара соответственно. Поделиться доступом можно как к отдельным файлам, так и к целым папкам. При расшаривании доступа нужно указать e-mail другого пользователя, а также задать права доступа: только чтение, чтение и запись, полный доступ. После права всегда можно будет изменить. Если же возникла необходимость поделиться отдельным файлом, Mega сгенерирует ссылку для загрузки. Здесь есть и один интересный нюанс: ссылка может сразу включать ключ для доступа и иметь вид https://mega.co.nz/#!osA2CAZD!GdmpwWm2jUwHx1N4VJtjxzHSxyUJmXnRJBV8tBgaq1o, а может и не включать. Это своеобразная дополнительная мера безопасности. То есть можно опубликовать ссылку в широком доступе, а ключ передать только нужным людям, «лично в руки». Ну и еще одна маленькая, но приятная особенность — Mega поддерживает русский язык.
А дальше начинаются минусы. Клиента для десктопов, а также приложений для мобильных устройств пока нет. Разумеется, это обещают исправить в самом скором будущем (а еще прикрутить к сервису собственный IM и прочие свистелки), но пока придется работать с тем, что есть, — с веб-интерфейсом. И никакой тебе синхронизации файлов между несколькими устройствами, за этим к Dropbox’у. Из-за шифрования для медиафайлов недоступен онлайн-просмотр, что тоже представляет определенное неудобство.
Также Mega считает все браузеры, кроме Google Chrome, «устаревшими» и настойчиво рекомендует пользователям переходить на Хром. Цитируя официальное сообщение: «пока другие обозреватели пробуют внедрить всю функциональность HTML5, Google Chrome уже это сделал». В остальных обозревателях действительно возможны проблемы. У меня в последней версии Opera, к примеру, отказались появляться выпадающие меню, при помощи которых производится управление файлами. Похожие баги были замечены и в Firefox.
Помимо прочего, у Mega имеются ощутимые проблемы со скоростью. Загрузить в обменник картинку или пару музыкальных треков удается быстро, но, если поставить на загрузку файл более серьезного размера, можно долго наблюдать за полоской прогресс-бара и грустной надписью вроде «speed: 290 kb/s». Что интересно, в Google Chrome такой проблемы не наблюдается — в браузере «Корпорации добра» скорость почти всегда в порядке. Штука в том, что Chrome использует HTML5 FileSystem API. Надеемся, причина тормозов на других браузерах — повышенное внимание публики к Mega и огромная нагрузка, упавшая на его серверы в первые дни ажиотажа. В противном случае такая дискриминация здорово удручает, все же Chrome не единственный браузер на свете.
Еще один минус — из-за шифрования отсутствовала возможность восстановить или сменить пароль. Он вводится только один раз — при регистрации (и его лучше хорошенько запомнить). Впрочем, возможность смены пароля все же реализовали, для этого достаточно залогиниться на сайт и нажать на соответствующую кнопку в разделе «Аккаунт». А вот забывать пароль крайне не рекомендуется — процедуры восстановления не предусмотрено.
Немного цифр
- Через пять дней после запуска Mega.co.nz достиг отметки 141 в Alexa.com, оставив позади RapidShare и Dropbox
- Более 100 000 человек зарегистрировались в первый час.
- К концу второй недели хостилось более 50 миллионов файлов.
- Ожидается, что в месяц будет поступать по 20 петабайт пользовательских данных (на протяжении первого полугодия).
Критика
Основным объектом жарких способов и критики стала, конечно же, система шифрования Mega. Сразу ряд солидных изданий (таких как Ars Technica, The Verge и Forbes) опубликовали весьма скептические мнения относительно нового детища Кима Доткома.
Одним из первых на тему шифрования нелестно высказался криптограф Надим Кобейсси (автор Cryptocat). Двадцатидвухлетний специалист пишет: «такое чувство, что код Mega написал я сам, в 2011 году, будучи в стельку пьян». Дело в том, что поначалу Cryptocat работал по схожему принципу и тоже шифровал прямо в браузере, но позже Кобейсси отказался от этой идеи. Кобейсси уверен, что сама схема шифрования файлов в браузере, ключом, полученным от сервера, далека от идеала. Неизвестно, какой именно ключ присылает сервер, работает ли шифрование вообще (если сервер отключит его, пользователь об этом и не узнает), если да, то каким образом. Все это выглядит крайне ненадежно еще и потому, что ряд серверов файлохранилища расположен в США, и все мы знаем, чем это может закончиться. Получается этакая «криптография на доверии», что, конечно, довольно странно.
Другие эксперты склонны согласиться с автором Cryptocat. Большинство уверено, что должен существовать некий доверенный объект на стороне пользователя, которым и будет подписываться шифр. Если же эта задача возложена на JavaScript-библиотеку в браузере, полученную от самого Mega, о каком доверии вообще может идти речь? На этот счет прекрасно высказался Метью Грин, профессор криптографии в Институте информационной безопасности им. Джона Хопкинса: «JavaScript, верифицирующий сам себя, — это все равно что попытка поднять себя, потянув за шнурки, — из этого ничего не выйдет».
Впрочем, стоит сказать, что схема работы Mega скорее направлена на противостояние с представителями закона и авторских прав, а не призвана защищать пользователей. С этих позиций все выглядит несколько логичнее.
Критиковали Mega и за то, что шифрование целиком основано на SSL — технологии, которую уже многократно ломали. На это Дотком ответил, что «если вы в состоянии взломать SSL, вам под силу взломать множество других ресурсов, которые куда интереснее Mega».
Был обнаружен ряд XSS-уязвимостей, позволяющих перехватить пользовательские cookies и получить доступ к аккаунту. Дырки оперативно закрыли. Ars Technica также отмечает странную фразу в условиях обслуживания, гласящую, что с хостинга будут удаляться дубликаты файлов. Выходит, хваленое privacy и шифрование не совсем так хороши и существует возможность узнать, есть ли на серверах дубликат некоего файла? Ответ на этот вопрос «и да и нет». Дедупликация действительно существует, но это совершенно нормально и безопасно, как уверяет нас официальный блог Mega. Умельцы уже создали программу MegaCracker, которая подбирает пароли от файлообменника по хешу, присланному в ссылке подтверждения регистрации. Таблицу с предвычисленными хешами автор программы гордо залил на сам Mega :).
Реакция команды Mega на этот шквал критики спокойная. В блоге ресурса недавно появились ответы на самые острые вопросы относительно шифрования, дедупликации и прочего. К примеру, объяснено, что JavaScript не совсем «верифицирует сам себя». Так, часть JavaScript проходит с доверенного HTTPS-сервера с 2048-битным шифрованием и верифицирует другие части JavaScript, пришедшие с недоверенных HTTP / 1024-битных HTTPS.
В том же блоге прога MegaCracker вообще была названа «отличным примером того, почему не стоит использовать в качестве паролей слова и легко угадываемые комбинации, особенно когда этот пароль также служит и ключом шифрования для всех файлов на Mega».
Подводя итог, скажу, что пиратского рая и суперкриптохостинга, похоже, не получилось, а вот интересный сервис — вполне. Ошибки исправляются, вопросы не остаются без ответов, функциональность обещает расширяться — для начала неплохо. Кстати, недавно Ким Дотком в своем Твиттере и вовсе пообещал в скором времени провести конкурс по поиску уязвимостей в Mega. Разумеется, с денежными призами.