Kein Vertrauen

FacepalmDie Idee hinter MEGA ist klar: Man will Geld mit Urheberrechtsverletzungen verdienen ohne selber in Probleme zu geraten. Das ganze funktioniert fast genauso wie Megaupload jedoch außerhalb der Zugriffsmöglichkeiten der US Behörden und mit einem kleinen Trick. Bei Megaupload wurden beliebige Dateien einfach hochgeladen und konnten von jedem mit dem richtigen Link wieder heruntergeladen werden. Allerdings hatten die Macher von Megaupload Zugriff auf alle Dateien und waren daher auch in der Lage die Dateien dahingehend zu untersuchen, ob sie urheberrechtlich geschütztes Material enthielten. Die Rechteinhaber konnten Megaupload einfach Hash-Werte bekannter Dateien, die nur von Ihnen veröffentlicht werden durften, übergeben und Megaupload war anschließend verpflichtet alle entsprechenden Dateien von seinen Servern zu löschen und auch zukünftig nicht mehr anzunehmen. Wenn aber gerade diese umsatzstarken Dateien verschwinden, bricht das Geschäftskonzept zusammen. Wenn man hingegen nicht gewissenhaft Verstöße gegen das Urheberrecht zu vermeiden versucht, kann man schnell Probleme mit Strafverfolgungsbehörden bekommen (Hausdurchsuchungen, Beschlagnahme von Domains, Auslieferungsverfahren, etc.).

MEGA soll das jetzt alles etwas chicer machen. Alle Dateien werden vom Benutzer individuell verschlüsselt; die Betreiber von MEGA bekommen die eigentlichen Dateien niemals zu Gesicht und sind demnach überhaupt nicht in der Lage, etwas gegen zukünftige Uploads geschützter Werke zu unternehmen. Nur wenn die Rechteinhaber sowohl Datei als auch Schlüssel benennen können, muss MEGA die Daten ggf. löschen. Da die Sicherheit durch die Ende-zu-Ende-Verschlüsselung als zentrales Merkmal des Dienstes vermarktet wird, kann man MEGA auch kaum verbieten, diesen Service so anzubieten. Einen Zwang die Dateien auch unverschlüsselt zu sichten, würde das Geschäftskonzept vernichten. Die Betreiber von MEGA sind aus der Schussbahn, solange man Ihnen keine Prämienzahlung für illegale Veröffentlichungen nachweisen kann.

Mich als Informatiker hat das System von MEGA besonders interessiert, weil es derzeit keinen kostenlosen Cloud-Dienst mit Ende-zu-Ende-Verschlüsselung gibt. Ich hätte MEGA gerne privat als Dropbox-Ersatz genutzt. MEGA ist aber gerade darauf nicht ausgelegt, da sich damit nicht so viel Geld verdienen lässt. Es gibt keine Software für MEGA die lokale Verzeichnisse automatisch mit der Cloud synchronisiert. Es gibt nur eine Webseite, welche den Zugriff auf den Dienst per Javascript realisiert. Das ist jedoch keine Lösung, da man bei jedem aufrufen der Webseite kontrollieren müsste, ob der Javascript-Code nicht serverseitig manipuliert wurde. Zwar kann man auch Clientsoftware manipulieren, aber das schlägt erst mit dem nächsten Update durch und ist schwierig individuell zu realisieren. Außerdem ist der Funktionsumfang Webseite alles andere als eine Dropbox-Alternative. Als Informatiker ist da die Lösung einfach: selber schreiben.

Leider war die erste Version der Dokumentation der offensiv angekündigten MEGA API ein schlechter Witz. Ein sehr schlechter Witz. Im Grunde war es ein Dokument, dass einem sagte: „Guck Dir unseren Javascript-Code an und fand mit dem Reverse-Engineering an.“ Daher habe ich erst mal die Finger davon gelassen, bis andere zumindest die Grundlagen erledigt hatten. Ein paar Monate später fing ich mit der Implementierung einer Android-App für MEGA an und konnte recht schnell Dateien hoch- und runterladen und MEGA-kompatibel ver- und entschlüsseln. Ich war gerade dabei weitere Dateioperationen und automatische Synchronisierung zu implementieren, als die MEGA-Macher alles über den Haufen warfen. Nach Monaten des Reverse-Engineerings sollte man nun eine C++ Bibliothek benutzen und bloß nichts anderes. Die Sicherheit nur Dateien hochzuladen, deren Attribute und Inhalt von der eigenen Software verschlüsselt worden waren, war dahin. Außerdem ist der Einsatz von C++ Bibliotheken unter Android jetzt auch nicht gerade eine Freude.

Ich stampfe daher das Projekt kurz vor der ersten Beta-Version ein. Ich habe keinerlei Vertrauen in die Betreiber von MEGA. Weder in die Qualität der Bibliothek (der Javascript-Code der Webseite ist brechreizfördernd) noch in die Zuverlässigkeit als API-Anbieter. Stattdessen gucke ich mir jetzt die neue Dropbox-API an, die vieles richtig macht.

Foto: laut Wikipedia gemeinfrei.

Weiterlesen