Ingeniería inversa en cifrado de Skype


Criptoanalístas han publicado lo que afirman es la receta secreta tras el algoritmo de cifrado de Skype.





Un grupo de descifradores de código liderado por Sean O'Neil considera que han sido exitosos en hacer ingeniería reversa de la implementación de cifrado RC4 de Skype, una de las tecnologías de cifrado utilizada por el servicio de VoIP orientada a consumidores. La tecnología propietaria de cifrado es usada en el servicio de VoIP para proteger las comunicaciones entre sus clientes y los servidores. También restringe que clientes pueden acceder al servicio, una restricción que Skype tiene planes de facilitar con la inminente publicación de una API.

Aún si una investigación independiente prueba que el algoritmo RC4 propietario ha sido expuesto, eso no significa que Skype esté abierto a escuchas furtivas, ni aun así debido a que el servicio usa una variedad de técnicas de cifrado.

O'Neil justificó la publicación de un algoritmo de emulación open source argumentando que la tecnología de Skype ya está bajo explotación por los spammers de mensajes intantáneos, de modo que su trabajo solo nivela el campo de juego para los investigadores de seguridad. Criticó a Skype por practicar "seguridad por oscuridad" al mantener su algoritmo secreto por tanto tiempo. Se informa que O'Neil planea explicar sus investigación en gran profundidad en una presentación antes del Chaos Communication Congress (27C3) de Berlin en diciembre.

Skype le dijo a Techcrunch que lo que O'Neil filtró parcialmente hace unos meses fue lo que facilitó ataques de spam hacia los usuarios del servicio VoIP en primer lugar.

"Creemos que el trabajo realizado por Sean O'Neil, que entendemos era conocido antes como Yaroslav Charnovsky, es facilitar directamente los ataques de spam contra Skype y estamos considerando nuestra solución legal," dijo Skype.

"Si bien entendemos el deseo de la gente de hacer ingeniería inversa de nuestros protocolos con la intención de mejorar la seguridad, el trabajo hecho por este individuo demuestra claramente lo opuesto," agregaron.

La mejor práctica en criptografía asume generalmente que los adversarios potenciales conseguirán acceder a algoritmo tras el código de cifrado, de modo que los esfuerzos deben enfocarse en mantener secretas las claves privadas de cifrado. Algoritmos AES publicados abiertamente se benefician del hecho que los investigadores de seguridad puedan acceder independientemente a la robustez de los esquemas de cifrado y descubrir debilidades potenciales.

El post original del blog de O'Neil ha sido retirado pero se pueden encontrar aun copias del cache de Google (aquí). O'Neil ha publicado el algoritmo ofuscad de expansión de clave RC4 de Skype, sólo uno de la batería de tecnologías de cifrado usadas por Skype. "Hay siete tipos de comunicación cifrada en Skype: sus servidores usan AES-256, los supernodos y clientes usan tres tipos de cifrado RC4 - el viejo RC4 TCP, el viejo RC4 UDP y el nuevo RC4 TCP basado en DH-384, mientras que los clientes también usan AES-256 encima del RC4. Todo es completamente complicado, pero lo hemos llegado a dominar," explica O-Neil.

Fuente Original:
Autor: John Leyden
The Register UK

Fuente:
Traducción: Raúl Batista
http://www.segu-info.com.ar



Otras noticias de interés:

Software: Sobrevivir ó no sobrevivir
Primero que nada deseo dejar fijada mi postura de no concordar con la tendencia general de aceptar que haya decenas (o cientos, quien sabe...) de proyectos de Software Libre (de aquí en adelante SL) que intenten hacer, no importa su temática, mas ...
Protege tu dispositivo móvil
Aunque el 96% de los usuarios de Smartphones y Pocket se muestra preocupado por la seguridad de su información, el 74% declaró no utilizar ninguna solución antivirus o de seguridad, y 40% de ellos manifestó haber sufrido el robo o extravío de lo...
Document Freedom Day, ¿estás seguro de que tu .doc será legible en 10 años?
El Document Freedom Day (DFD), a celebrarse el próximo miércoles 31 de marzo, será el día dedicado a la liberación de documentos; es decir, será el día dedicado a dar a conocer la importancia de los formatos y estándares abiertos en la creaci...
Actualización de seguridad para Adobe Reader y Acrobat
Adobe ha publicado una actualización para corregir 15 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados. ...
Precaución!!! - Gusano simula ser un test de Hispasec
Un nuevo gusano se está distribuyendo por e-mail simulando ser un test enviado desde el famoso site Hispasec. El archivo que se adjunta es en realidad un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos a todos nuestros lectores q...
Las páginas reales también son inseguras
Para los que confían plenamente en que navegar en páginas Web verdaderas o legítimas es 100% seguro, presten atención a esta información porque los puede ayudar bastante. ...
Actualización de Check Point para denegación de servicio Sockstress
Check Point ha publicado actualizaciones necesarias para diversos productos para corregir los ataques de denegación de servicio descubiertos por la compañía Outpost24 en octubre de 2008....
Bug WMF en Windows: más preguntas sin respuesta
No aceptamos la teoría conspiranoica de Gibson y rechazamos la idea que el bug WMF era una puerta trasera colocada a propósito. ¡Buf! Qué alivio. ...
Google Chome y sus ordenes Comandos about:
En el sitio maty1206linuxeando.com publicaron una serie de comando About del novedoso Google Chromo...
PUENTELLAGUNO.COM HACKEADO
Una de las páginas que representan el pensamiento y otras cosas del Gobierno de Venezuela ha sido hackeada el día de ayer....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • inversa
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • skype
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra