MEGA, der fragwürdige 50-GB-Cloudspeicher

Mit viel Marketing-TamTam hat Kim "Dotcom" Schmitz seinen Megaupload-Nachfolger präsentiert: Der neue Sharehoster MEGA bietet einiges, was man sich auch als nicht-hackender, nicht-Raubkopien-Downloadender Normaluser nutzen könnte, zugleich finde ich ihn nach zwei Tagen des Ausprobierens eher fragwürdig.

(Work in progress...)

Mega Beta

mega.co.nz bietet 50 GByte freien Cloud-Speicher. Zugegeben, das ist das gut 2,5fache eines vollständig hochgebonusten Dropbox-Kontos, bzw. das 10fache der meisten Cloud-Speicher-Konkurrenten wie Google Drive mit typischerweise derzeit 5 GB. Aber ADrive bietet 50 GB schon seit ca. anno 2009. Also wirklich: Das ist nicht die Sensation; zu der Sensation weiter unten, erst mal eine ultrakurze Zusammenfassung:

  • "Ist MEGA nicht bloss ein besseres Dropbox?"
    Nein
    , es ist schlechter, hat aber mehr Speicher.
  • "Ist es wirklich bloß für Raubkopierer gedacht?"
    Ja, definitiv.
    Und nur bei diesem Einsatzszenario ist es auch innovativ.

Wie ich darauf komme, steht weiter unten. Erst mal die Frage:

Wer braucht das?

Denn, okay: 50 Gig für lau kann man schon mal mitnehmen - sofern folgendes auf Sie zutrifft:

Sie trauen einem Hacker. Hacker sind nicht generell "böse". Aber ebensowenig sind sie automatisch "gut", bloß weil unser heiliger CCC sich um Privacy kümmert. Kim Schmitz ist obendrein, laut Wikipedia, "mehrfach wegen Insiderhandels sowie Betrugs, (Banden-)Hehlerei, Datenausspähung und Computermanipulation verurteilt". Das muss auch nichts heissen, vielleicht war er ja unschuldig, höhöhö. Jedenfalls sollte man sich klarmachen, dass man seine Daten hier einem Vorbestraften anvertraut, der gewiß deutlich weniger vertrauenswürdig ist als Google / Facebook / Dropbox / Microsoft. Nur wenige haben die Eier, das auszusprechen: T3N hatte sie, die NZZ nicht.

Sie trauen diesem Hacker (Kim & his Droogs) zu, dass er andere Hacker abhält. Denn eines ist ja klar: MEGA zu hacken und alle Zugänge irgendwie zu leaken, das wär derzeit der Scoop. Und wäre ich eine Regierung, Mega würde mir nicht schmecken.

Sie haben die AGBs gelesen (hahaha!) und halten sich dran (gnihihi!). Was haben wir gelacht.

Sie haben keine Angst, dass irgendwelche Mega-Puritaner "aus Übersee" Sie in einen Topf mit Piraterie-Terroristen werfen, nur weil Sie einen MEGA-Account haben. (Denn dass es mit Raubkopien weitergehen soll, hat Schmitz unmissverständlich getwittert, und es geht auch aus dem System selbst hervor).

Worauf Mega-User achten sollten

Derzeit brauchen Sie noch MEGA-Geduld ...

Bevor Sie sich ein Konto zulegen, sieben Dinge:

1. Überlegen Sie es sich nochmal. Brauchen Sie das wirklich?

2. Wenn ja: Nehmen Sie Chrome als Browser. Aktualisieren Sie Flash.

3. Wählen Sie für den Mega-Zugang eine anonyme E-Mail-Adresse!

Denn:
4. Vorsicht bei der Mail-Adresse: Sie können die einmal eingerichtete E-Mail-Adresse (derzeit) nicht ändern und sie wird später im System als "Kontakt" geführt. Wer also nicht mit Klarnamen in der Kontaktliste von Raubkopierern erscheinen will (auch wenn es derzeit so ist, dass die Geber in der Liste der Nehmer autauchen, aber nicht umgekehrt), sollte also einen zweiten Mailaccount dafür verwenden, etwa fastmail.fm oder Tor Mail (über TOR: http://jhiwjjlqpyawmpjx.onion/). (Wegwerf-Mail-Adressen funktionieren überwiegend nicht.)
Des weiteren ist es so, dass wenn Sie Ihr Mega-PW verlieren, oder es schon beim ersten Eingeben (es existiert kein Zwei-PWs-miteinander-verifizier-Mechanismus!) versehentlich falsch eingeben (wovor auch Copy&Paste nicht schützt; ich habe u.a. einen Mega-Account, dessen Passwort deshalb mit einem [Enter] endet; geil immerhin, dass das geht), dann sperren Sie diese E-Mail-Adresse wirkungsvoll aus. Für immer. Oder zumindest, bis ein Reset-Mechanismus nachgereicht wurde.

5. Wählen Sie ein sicheres Passwort - siehe Tipps zu sicheren Passwörtern und Kennwörtern.

Denn
6. Vorsicht beim Passwort: Sie können es (derzeit) nicht nachträglich ändern! Manche Leute neigen dazu, beim ersten Einrichten ein simples Passwort zu nehmen, bei dem man sich nicht vertippen kann. Das ist bei Mega fatal, denn dort verwendet man Ihr Passwort direkt zum Verschlüsseln & Entschlüsseln. Ihr Passwort ist ein Private Key. Es existiert derzeit kein Passwort-Reset. Wird ihr Konto gehackt, dann (derzeit) für immer. Das mag sich aber bald ändern. Hat sich in Teilen geändert: Passwort ändern geht jetzt über Mein Konto, Kontodetails, Passwort ändern. Der Passwort-Reset hingegen ist nur möglich, wenn keine Dateien in Mega liegen; sonst verweigert der Dienst den Reset.

7. Bringen Sie Geduld mit. Der Server wird derzeit & noch immer überrannt und ist mega-lahm.

Infinity:NaN:NaN - nur wenige Einitäten können diesen Download abwarten...

Was der MEGA-Cloud-Speicher bietet

Auf den ersten Blick: nicht wahnsinnig viel.

  • 50 GByte Speicher; ja, das ist okay.
  • Kein Limit bei Dateigrößen (!). Sehr okay.
  • Keine (künstlichen) Limits bei Transfers wären auch okay, derzeit ist die Realität jedoch: die Bytes tröpfeln.
  • Interner Dateimanager mit Drag-and-Drop. Nice.
  • Anwendungsübergreifendes Drag-and-Drop a la SkyDrive: Sie können Dateien und Ordner hochladen, indem Sie das Zeug aus dem Windows-Explorer direkt in den Browser mit Mega-Website ziehen. Nice.

MEGA Dateimanager

Die Sicherheit von MEGA

Das erste Killerfeature:

  • Aufgrund seiner Geschichte wird Mega garantiert nicht mit Behörden kooperieren, egal was für harmloses / unerwünschtes / geheimes / raubkopiertes / verbotenes / krankes Zeug man da speichert. )Aber weiss man's?)
  • Verschlüsselte Dateiübertragung mit RSA-2048 beim Up- und Download. Ergo auch verschlüsselte Dateispeicherung. Selbst wenn man die Server beschlagnahmen würde, würde man nichts damit anfangen können.
  • (Noch; denn alles heute verschlüsselte wird eines Tages entschlüsselt werden können.)

Ja, das ist nicht schlecht. Wenn auch nicht sooo neu, wie einige glauben: Teamdrive und iDrive und andere machen das ebenfalls so. Und es ist ohnehin jeder irre, der Dropbox für wichtige Dateien ohne sowas wie BoxCryptor verwendet oder TrueCrypt-Container in der Box verwahrt.

Aber ist es auch sicher? MEGA verspricht bequeme Verschlüsselung schon vor der Verbindung: gut, verlässt sich aber darauf, dass der Browser dieser liefert: schlecht. Denn im Browser kann alles mögliche stecken, von dem man nichts weiß. Richtig sicher geht anders.

  • Inzwischen ist mit MegaCracker ein erstes Hacker-Tool aufgetaucht (Download auf eigene Gefahr!).

Passwort ändern

Geht jetzt über Mein Konto, Kontodetails, Passwort ändern.

Ein Passwort-Reset ist auf die übliche Weise möglich, ABER NUR, wenn keine Daten im Speicher liegen. Dann heisst es: 'We have received a request to reset the password of your MEGA account. Unfortunately, your account already contains some data. As your password is also your master encryption key, you cannot reset it without losing your existing files and folders. Therefore, your request cannot be processed.'

Über MEGA-Freigaben raubkopieren

Das zweite Killerfeature: Freigaben. Sonst hätte Kim ja gar keinen Grund, sich als Held zu feiern:

  • Wie bei Dropbox & Co können Sie Dateien und Ordner für andere freigeben. (Dropbox vermied früh, dass das allzu sehr missbraucht werden kann: siehe Dropbox/Dropship).
  • Nach dem Freigeben haben Sie die Möglichkeit, via E-Mail-Adresse beliebige Personen einzuladen, die freigegebene Daten herunterladen können sollen. Die erhalten auch wirklich eine Einladung per Mail, derzeit mit ordentlicher Verzögerung.
  • Jeder Adresse läßt sich Nur Lesen oder Lese- und Schreibzugriff erteilen (Und natürlich Vollzugriff, also Löschen und so weiter, aber das sollte man nicht tun.)

Mit Freigaben gibt man anderen Mega-Nutzern Zugriff auf Dateien

  • Wer eingeladen wird, kann (auf den ersten Blick) nur dann downloaden, wenn er selbst zuvor ein Konto bei Mega angelegt hat. Hat er schon ein Konto, sieht er sofort die Freigabe. Die Leute, mit denen man Dateien tauscht, werden also über die Kontakte gemanaged - der Schlüsselbund.

Hier ein Bild, wie ein User die Freigaben von zwei anderen Usern sieht. Zu beachten ist: Diese beiden User haben "mich" eingeladen; "ich" tauche aber nicht in ihren Kontakten auf, solange ich nicht umgekehrt sie einlade, indem ich auch ihnen etwas freigebe. Auf ihre Freigaben kann ich - entsprechend den mir gewährten Zugriffsrechten - aber ungehindert zugreifen und die Dateien in mein eigenes Cloud Drive schieben. (Was keine Zeit dauert, es sind ja stets nur 'Links auf Dateien'.)

MEGA Kontakte: Hier sieht man die Freigaben anderer Nutzer und kann hemmungslos tauschen

MEGA-Download per Link

Dass nur Mega-User downloaden können, das stimmt so nicht ganz - nur im Fall von Freigaben ist das so. Denn zusätzlich hat jede Datei auch einen Downlod-Link. Ganz rechts finden Sie dazu eine Spalte namens URL.

Klickt man drauf, erhält man einen Link wie https://mega.co.nz/#!VhAVgbYI!fahbEhcfwuyiPFxCn8HBLHebXpUNHK9Avb-lUbnPQMY.

ein MEGA Download-Link

Diesen Link kann man tauschen, mailen, sammeln, whatever. Genau wie bisher schon bei normalen Dateien oder Raubkopien über Sharehoster. Diese Links werden dann üblicherweise, zum Beispiel bei raubkopierter Musik, über Blogs wie Blogspot.com getauscht (wie das geht: siehe http://bit.ly/VOVtP8)

Aber Vorsicht: Diese generierten Mega-Links enthalten den Schlüssel für die Entschlüsselung der fraglichen Datei! Anders gesagt: Wer den Link einer Datei in MEGA hat, kann diese Datei ohne weiteres entschlüsselt downloaden.

So kann man MEGA als "Darknet" nutzen und Dateien tauschen, mit "Freunden" ebenso wie mit völlig Unbekannten. Man kann jede beliebige Datei einem großen Publikum zur Verfügung stellen: Der Link ist ja anonym für den Anbieter (by the way: nicht für den Downloader).

Unsicher ist das deswegen, denn wenn jemand außer mir - ohne Zugang in das System, nur mit einem Link ausgestattet - auf meine Datei zugreifen kann, dann kann es letzlich jeder. Für jede Datei existiert ein Link - auch für nicht freigegebene (!). Ein solcher Link existiert auch in Dropbox für jede Datei, dort ist er der Link (bei Nicht-Freigaben!) jedoch Session-abhängig und daher für Nutzer ohne Anmeldung nicht sinnvoll.)

BTW: ISPs mit Vorratsdatenspeicherung können die Downloader von Dateien, die als ge(C)opyrightet betrachtet werden, anhand des benutzten Download-Links identifizieren: Die Abfrage https://mega.co.nz/#!-11!!-_Du_SCHNaRcHZaPFEN!_42BND#HvRJV@IMF wird ja auch durch den ISP gejagt. Man wird wohl letzlich versuchen, dies auszunutzen, um gegen Downloader vorzugehen; schon heute wird ja der Download von urheberrechtlich geschütztem Material als Grauzone betrachtet (Abmahnung gegen Filesharer basieren auf dem Upload-Anteil). Mega erzwingt geradezu den Wunsch nach noch mehr Vorratsdatenspeicherung. Danke, Kim.

Korrektur: Zumindest das scheint nicht der Fall zu sein. Dank an NoName für den Hinweis zum Fragment identifier. Wieder was gelernt!

Warum MEGA derzeit taugt

MEGA etabliert eine (extrem minimierte) Version einer Public-Key-Infrastruktur. Das ist die Sensation an Mega.

Eigentlich hätten unsere Regierungen das für uns als Bevölkerung längst einrichten sollen, damit wir nicht von Hackern und der Industrie ausspioniert werden. Deswegen ist es ein bisschen ein Hohn, dass sowas nun ausgerechnet von Kim "Nächster-James-Bond-Schurke" Schmitz kommt, der sich mit zwielichtigen Geschäften eine goldene Nase verdient hat. Aber auch wieder korrekt, denn der Grund, warum wir keine solche Infrastruktur haben, ist, das sie "offiziell" nicht erwünscht ist. Dazu muß man nicht paranoid sein: noch vor einigen Jahrzehnten wollte man Verschlüsselung verbieten, in einigen Ländern ist das immer noch so (siehe www.cryptolaw.org).

Mega kann man nur zum Vertickern von ein paar Dateien nutzen (derzeit nicht mal dazu). Aber prinzipiell arbeitet man an solchen oder ähnlichen Strukturen schon länger, um Zensur zu umgehen, etwa freenetproject.org oder projectmeshnet.org. Sprich: Strukturell ist gegen Mega wenig zu sagen. Es ist "gut". Das Erlösmodell drumherum wird zeigen, ob es "böse" ist: Wenn etwa Strohmänner Geld dafür zahlen, dass Raubkopien eingestellt werden, damit die normalen User sich teure Pro-Accounts kaufen müssen, um noch mehr downloaden zu können - dann ist es 'organisierte Kriminalität'.

Warum MEGA derzeit nichts taugt

  • Es gibt keine Privacy: Für jede Datei existiert ein Link, der den Download erzwingt - egal, ob Sie die Datei freigeben oder nicht.
  • Es ist schneckenlahm. Das mag dem Ansturm geschuldet sein, oder Hacker-Attacken oder NSA-Sperren oder was auch immer.
  • Es ist immer noch schneckenlahm. Um nicht zu sagen: konstant 0 Bit/Jahr.
  • Woher stammt eigentlich die Motivation des Mega-Dienstes, "sicher" zu sein? Man möchte sich vor allem dagegen absichern, von Behörden hochgenommen zu werden. Daher ist alles verschlüsselt, für Mega, aber für die Nutzer ist alles zugreifbar, per URL etwa. Dies ist die Sicherheit, die für Mega zählt: die eigene; von Nutzer-Sicherheit ist nicht die Rede.
  • Das zeigt sich zum Beispiel in der massiven Nutzung von Flash: Selbst für den einfachen Download-Link braucht man das. Sicherheitslücke.
  • Und um Mega mit TOR anonym zu verwenden, müsste man Handstände schlagen. Wer sich aber (und es wird jene geben, die es tun) Flash in den Tor-Browser installiert, schafft eine Sicherheitslücke und gewinnt weder Sicherheit noch Anonymität. Das ist einfach Quark.
  • Heiko Frenzel von sicherheit-online.org beschreibt eine Schwachstelle für Phishing und Spam.
  • fail0verflow.com spricht vom Megafail
  • Derzeit gibt es keine Apps für Smartphones, Tablets. Mega dokumentiert aber seine API, so dass diese bald folgen könnten; dann wäre es möglich, dass Apps den Dienst Mega ebenso anbieten wie Dropbox oder Box. Siehe: Speicherplatz im Web: Dropbox, SkyDrive, ADrive, iDrive und andere
  • Derzeit gibt es keine Clients, um Mega als lokales Drive zu mounten oder mit einem Verzeichnis zu syncen, anders als etwa bei Dropbox, Box, SugarSyncSkyDrive oder Google Drive. Aber auch die können noch kommen.
  • Dito gibts auch keine Backup-Funktionen.
  • Überhaupt ist Mega sehr rudimentär. Sie können nicht mal ihr Konto löschen. Keine Image/Video-Previews. Usw.
  • In seinen Terms of Use sagt Mega, dass es jede Datei nur einmal speichert. Dateien, die es schon kennt, weil sie mit vorhandenen Dateien identisch sind, werden kein zweites Mal gespeichert; statt dessen erhält man Zugriff auf diese Datei. Ganz ehrlich: Das mag via Hashes sicher sein, aber ich habe ein ungutes Gefühl dabei...

MEGA: Cloud-Storage mit 50 Gig free und zilliarden pending transfers

Was haben wir nun also? Nun, ganz ehrlich, und selbst auf die Gefahr, dass mich irgendwelche nasenbohrenden Kim-Dotcom-Fans ranten: Solange man nicht am Tausch von (raubkopierten) Dateien interessiert ist, ist Mega, sollte es je funktionieren, ein verschlüsselter 50-GB-Container, dessen Files alle einen Link besitzen, den man nur zu kennen braucht, um sie entschlüsselt downzuloaden.
Brauch ich das? Nö.

Wenn Sie nicht an Raubkopien, sondern an sicherem Cloud-Speicher für den privaten Einsatz interessiert sind: Nehmen Sie lieber Teamdrive mit 2 GByte und 256 AES for free; Dropbox und andere Systeme wie Google Drive, SkyDrive rüsten Sie mit BoxCryptor nach.

Und Videos kriegen Sie in der Videothek für 1,50 pro Tag.

Das Sicherheitsproblem von Mega ist in meinen Augen nicht Mega selbst, ebensowenig wie es die Sharehoster im Allgemeinen es sind; es sind die Inhalts- und Nutzer-Zuführungs-Infrastrukturen drumherum - also die kommenden MEGAkino.to-Websites, die MEGAporno-Websites, das MEGA-SoftwareDirectory, MegaAstalavista ... denn diese werden nach wie vor von Malware geprägt sein. Und natürlich die Dateien selbst, die getauscht werden: im Fall von Software oft verseucht. Vorsicht also: Nicht unbedingt vor Mega, denn das ist eine moralische Entscheidung, sondern vor von den Rotlicht- und Grauwaren-Bereichen des Internet, denn dort lauern nach wie vor Malware-Gefahren. (Und wer mir das nicht glauben will, soll sich halt infizieren. ;-)

Ein weiteres Sicherheitsproblem und auch ein Argument gegen Mega als Cloud-Speicher sehe ich darin, dass man nur meine E-Mail-Adresse kennen muß, um mich auf eine Freigabe einzuladen. Die sehe ich dann in meinen Kontakten, auch wenn ich das nicht will.

Mehr zu Mega kann ich derzeit leider nicht sagen, das System hängt dauernd...

MEGAlahme Transfers (aber sicher nur wegen des ersten Runs... ;-)

Mehr Infos:

Wie steht es mit Ihnen?

Nutzen sie Cloudspeicher wie Dropbox? Nutzen Sie aktiv oder pasiv Sharehoster? Haben Sie es schon mit MEGA probiert?



    flattr this!

Teilen ohne Lauschangriff: zwei Klicks zum Sharen!



 

3 Kommentare zu “MEGA, der fragwürdige 50-GB-Cloudspeicher”

  1. Jörg
    3. February 2013 um 14:54

    Well, yes. Ich als einer der Verfechter von "never-ever-cloud" habe inzwischen dann doch einen kleinen SkyDrive Account. Erstens, weil man nie "nie" sagen sollte und sich "aus Prinzip" irgendetwas so verschließt dass man sich noch nicht einmal (kritisch?) damit auseinander setzt, zum Zweiten: das Dingen ist echt praktisch!

    So wie "die Dosis macht das Gift" kann man ja auch durchaus Cloud nutzen ohne gleich blank ziehen zu müssen. So haben z. B. Rezepte den Weg in die Cloud gefunden. Erreicht mich im Büro die Nachricht "du, ich kann heute nicht kochen" werfe ich einen schnellen Blick in meine Cloud-Lieblingsrezeptsammlung, mache pünktlich Feierabend, gehe einkaufen und bereite Gemüse und Fleisch selber ein delikates Ende.
    Außerdem sind meine Motorradtouren und sonstige ausgewählte Ausflugsziele in der Cloud. So kann ich im Urlaub, im Hotel, am Wochenende selbst von Gott-weiß-woher mal einen Blick reinwerfen, wo ich in der jeweils aktuellen Gegend denn was für Ziele habe.

    Beides enthält keine wirklich persönlichen Informationen und ist daher ideal geeignet um ein wenig mit dem Cloud-Gedöns zu testen, nebenbei hat es auch noch einen nützlichen Nebeneffekt.

    Egal wie positiv der Test jedoch auch Ausfallen wird, ein Backup meiner Steuer, meiner Versicherungsdaten oder meiner Passwörter wird sicherlich nie nicht in der Cloud landen, auch nicht verschlüsselt.

  2. Andreas
    3. February 2013 um 20:19

    Kann ich nachvollziehen, tue ich auch nicht. Für mich ist es eine Freeware- und PDF-Ablage, die ich immer parat habe. Und MEGA taugt einfach für gar nichts. Außer Raubkopien halt.

  3. NoName
    23. April 2013 um 19:53

    Teilweise falsch. Der Teil hinter der Raute (#) wird nicht über die TCP-Verbindung (in dem Fall HTTP) mitgesendet, so kann der ISP von diesem Teil auch nichts mitbekommen. Dieser ist ein sog. Fragmentbezeichner (http://en.wikipedia.org/wiki/Fragment_identifier).


Weitere Informationen zum Thema: