Ingeniería inversa en cifrado de Skype


Criptoanalístas han publicado lo que afirman es la receta secreta tras el algoritmo de cifrado de Skype.





Un grupo de descifradores de código liderado por Sean O'Neil considera que han sido exitosos en hacer ingeniería reversa de la implementación de cifrado RC4 de Skype, una de las tecnologías de cifrado utilizada por el servicio de VoIP orientada a consumidores. La tecnología propietaria de cifrado es usada en el servicio de VoIP para proteger las comunicaciones entre sus clientes y los servidores. También restringe que clientes pueden acceder al servicio, una restricción que Skype tiene planes de facilitar con la inminente publicación de una API.

Aún si una investigación independiente prueba que el algoritmo RC4 propietario ha sido expuesto, eso no significa que Skype esté abierto a escuchas furtivas, ni aun así debido a que el servicio usa una variedad de técnicas de cifrado.

O'Neil justificó la publicación de un algoritmo de emulación open source argumentando que la tecnología de Skype ya está bajo explotación por los spammers de mensajes intantáneos, de modo que su trabajo solo nivela el campo de juego para los investigadores de seguridad. Criticó a Skype por practicar "seguridad por oscuridad" al mantener su algoritmo secreto por tanto tiempo. Se informa que O'Neil planea explicar sus investigación en gran profundidad en una presentación antes del Chaos Communication Congress (27C3) de Berlin en diciembre.

Skype le dijo a Techcrunch que lo que O'Neil filtró parcialmente hace unos meses fue lo que facilitó ataques de spam hacia los usuarios del servicio VoIP en primer lugar.

"Creemos que el trabajo realizado por Sean O'Neil, que entendemos era conocido antes como Yaroslav Charnovsky, es facilitar directamente los ataques de spam contra Skype y estamos considerando nuestra solución legal," dijo Skype.

"Si bien entendemos el deseo de la gente de hacer ingeniería inversa de nuestros protocolos con la intención de mejorar la seguridad, el trabajo hecho por este individuo demuestra claramente lo opuesto," agregaron.

La mejor práctica en criptografía asume generalmente que los adversarios potenciales conseguirán acceder a algoritmo tras el código de cifrado, de modo que los esfuerzos deben enfocarse en mantener secretas las claves privadas de cifrado. Algoritmos AES publicados abiertamente se benefician del hecho que los investigadores de seguridad puedan acceder independientemente a la robustez de los esquemas de cifrado y descubrir debilidades potenciales.

El post original del blog de O'Neil ha sido retirado pero se pueden encontrar aun copias del cache de Google (aquí). O'Neil ha publicado el algoritmo ofuscad de expansión de clave RC4 de Skype, sólo uno de la batería de tecnologías de cifrado usadas por Skype. "Hay siete tipos de comunicación cifrada en Skype: sus servidores usan AES-256, los supernodos y clientes usan tres tipos de cifrado RC4 - el viejo RC4 TCP, el viejo RC4 UDP y el nuevo RC4 TCP basado en DH-384, mientras que los clientes también usan AES-256 encima del RC4. Todo es completamente complicado, pero lo hemos llegado a dominar," explica O-Neil.

Fuente Original:
Autor: John Leyden
The Register UK

Fuente:
Traducción: Raúl Batista
http://www.segu-info.com.ar



Otras noticias de interés:

Microsoft publica un parche para grave vulnerabilidad
Una vulnerabilidad en la forma de mostrar los íconos de accesos directos en Windows, que permite la ejecución de código malicioso con sólo abrir una carpeta o un sitio web preparado para ello, e incluso ustedes nos informaron sobre la aparición ...
LapLink sufre intrusiones informáticas
Según ha informado Seattle Times(*), LapLink ha sufrido ataques informáticos que le han supuesto graves perjuicios económicos....
La FIFA no quiere incorporar la tecnología en el arbitraje
Después del polémico desempeño de los árbitros en el Mundial de Fútbol, se reabrió el debate sobre el uso del vídeo en los estadios para ver jugadas repetidas, o introducir otras ayudas tecnológicas para determinar las respectivas sanciones. ...
HoneyPot: MalwareBlacklist.com
MalwareBlacklist.com, tal como su nombre lo indica, es una lista negra de malwares y URLs maliciosas. El servicio es ofrecido por la empresa de seguridad ParetoLogic y constantemente se está actualizando gracias a su honeypot y las muestras que env...
Ubuntu no firmará acuerdos con Microsoft
Tras las recientes noticias de los acuerdos a los que Xandros y Linspire han llegado con Microsoft al igual que hizo Novell, comenzó a circular el rumor de que Ubuntu sería la siguiente. Su principal responsable lo niega. ...
Un modelo computacional imita la visión cerebral en contextos complejos
Permitirá construir robots capaces de ver tal como lo hace el cerebro. ngenieros del Instituto Tecnológico de Massachusetts (MIT) han desarrollado un modelo computacional que imita la manera en que el cerebro humano procesa la información visual y...
Fujitsu desarrolla virus contra ciberataques
Japón está trabajando en un proyecto para neutralizar los ataques de piratas informáticos. El proyecto consiste en un virus que es capaz de rastrear la fuente de un ataque cibernético y neutralizar su programa....
Vulnerabilidad 0-day siendo utilizada para propagar malware
Hace pocas horas se comenzó a detectar el inicio de un nuevo ejemplo de malware que aprovecha lo que parecería ser una vulnerabilidad 0-day hasta ahora desconocida públicamente. ...
Los blogs corporativos, una nueva oportunidad para las compañías
Hasta hoy, el fenómeno creciente de los blogs se había topado con el reconocimiento de numerosos sectores tradicionales, que parecen darse cuenta de las oportunidades que se avecinan. Muchas compañías de medios han sorprendido al adoptar los modo...
Python en Google
Un usuario comenta en su blog la presentación de Greg Stein, ingeniero administrador del grupo Open Source de Google, en la reciente SDForum Python Meeting: En Google, Python es uno de 3 "lenguajes oficiales", junto con C++ ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • inversa
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • skype
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra