Ingeniería inversa extrae receta de cifrado de Skype
Criptoanalístas han publicado lo que afirman es la receta secreta tras el algoritmo de cifrado de Skype.
Un grupo de descifradores de código liderado por Sean O'Neil considera que han sido exitosos en hacer ingeniería reversa de la implementación de cifrado RC4 de Skype, una de las tecnologías de cifrado utilizada por el servicio de VoIP orientada a consumidores. La tecnología propietaria de cifrado es usada en el servicio de VoIP para proteger las comunicaciones entre sus clientes y los servidores. También restringe que clientes pueden acceder al servicio, una restricción que Skype tiene planes de facilitar con la inminente publicación de una API.
Aún si una investigación independiente prueba que el algoritmo RC4 propietario ha sido expuesto, eso no significa que Skype esté abierto a escuchas furtivas, ni aun así debido a que el servicio usa una variedad de técnicas de cifrado.
O'Neil justificó la publicación de un algoritmo de emulación open source argumentando que la tecnología de Skype ya está bajo explotación por los spammers de mensajes intantáneos, de modo que su trabajo solo nivela el campo de juego para los investigadores de seguridad. Criticó a Skype por practicar "seguridad por oscuridad" al mantener su algoritmo secreto por tanto tiempo. Se informa que O'Neil planea explicar sus investigación en gran profundidad en una presentación antes del Chaos Communication Congress (27C3) de Berlin en diciembre.
Skype le dijo a Techcrunch que lo que O'Neil filtró parcialmente hace unos meses fue lo que facilitó ataques de spam hacia los usuarios del servicio VoIP en primer lugar.
"Creemos que el trabajo realizado por Sean O'Neil, que entendemos era conocido antes como Yaroslav Charnovsky, es facilitar directamente los ataques de spam contra Skype y estamos considerando nuestra solución legal," dijo Skype.
"Si bien entendemos el deseo de la gente de hacer ingeniería inversa de nuestros protocolos con la intención de mejorar la seguridad, el trabajo hecho por este individuo demuestra claramente lo opuesto," agregaron.
La mejor práctica en criptografía asume generalmente que los adversarios potenciales conseguirán acceder a algoritmo tras el código de cifrado, de modo que los esfuerzos deben enfocarse en mantener secretas las claves privadas de cifrado. Algoritmos AES publicados abiertamente se benefician del hecho que los investigadores de seguridad puedan acceder independientemente a la robustez de los esquemas de cifrado y descubrir debilidades potenciales.
El post original del blog de O'Neil ha sido retirado pero se pueden encontrar aun copias del cache de Google (aquí). O'Neil ha publicado el algoritmo ofuscad de expansión de clave RC4 de Skype, sólo uno de la batería de tecnologías de cifrado usadas por Skype. "Hay siete tipos de comunicación cifrada en Skype: sus servidores usan AES-256, los supernodos y clientes usan tres tipos de cifrado RC4 - el viejo RC4 TCP, el viejo RC4 UDP y el nuevo RC4 TCP basado en DH-384, mientras que los clientes también usan AES-256 encima del RC4. Todo es completamente complicado, pero lo hemos llegado a dominar," explica O-Neil.
Traducción: Raúl Batista - Segu-Info
Autor: John Leyden
Fuente: The Register UK
Un grupo de descifradores de código liderado por Sean O'Neil considera que han sido exitosos en hacer ingeniería reversa de la implementación de cifrado RC4 de Skype, una de las tecnologías de cifrado utilizada por el servicio de VoIP orientada a consumidores. La tecnología propietaria de cifrado es usada en el servicio de VoIP para proteger las comunicaciones entre sus clientes y los servidores. También restringe que clientes pueden acceder al servicio, una restricción que Skype tiene planes de facilitar con la inminente publicación de una API.
Aún si una investigación independiente prueba que el algoritmo RC4 propietario ha sido expuesto, eso no significa que Skype esté abierto a escuchas furtivas, ni aun así debido a que el servicio usa una variedad de técnicas de cifrado.
O'Neil justificó la publicación de un algoritmo de emulación open source argumentando que la tecnología de Skype ya está bajo explotación por los spammers de mensajes intantáneos, de modo que su trabajo solo nivela el campo de juego para los investigadores de seguridad. Criticó a Skype por practicar "seguridad por oscuridad" al mantener su algoritmo secreto por tanto tiempo. Se informa que O'Neil planea explicar sus investigación en gran profundidad en una presentación antes del Chaos Communication Congress (27C3) de Berlin en diciembre.
Skype le dijo a Techcrunch que lo que O'Neil filtró parcialmente hace unos meses fue lo que facilitó ataques de spam hacia los usuarios del servicio VoIP en primer lugar.
"Creemos que el trabajo realizado por Sean O'Neil, que entendemos era conocido antes como Yaroslav Charnovsky, es facilitar directamente los ataques de spam contra Skype y estamos considerando nuestra solución legal," dijo Skype.
"Si bien entendemos el deseo de la gente de hacer ingeniería inversa de nuestros protocolos con la intención de mejorar la seguridad, el trabajo hecho por este individuo demuestra claramente lo opuesto," agregaron.
La mejor práctica en criptografía asume generalmente que los adversarios potenciales conseguirán acceder a algoritmo tras el código de cifrado, de modo que los esfuerzos deben enfocarse en mantener secretas las claves privadas de cifrado. Algoritmos AES publicados abiertamente se benefician del hecho que los investigadores de seguridad puedan acceder independientemente a la robustez de los esquemas de cifrado y descubrir debilidades potenciales.
El post original del blog de O'Neil ha sido retirado pero se pueden encontrar aun copias del cache de Google (aquí). O'Neil ha publicado el algoritmo ofuscad de expansión de clave RC4 de Skype, sólo uno de la batería de tecnologías de cifrado usadas por Skype. "Hay siete tipos de comunicación cifrada en Skype: sus servidores usan AES-256, los supernodos y clientes usan tres tipos de cifrado RC4 - el viejo RC4 TCP, el viejo RC4 UDP y el nuevo RC4 TCP basado en DH-384, mientras que los clientes también usan AES-256 encima del RC4. Todo es completamente complicado, pero lo hemos llegado a dominar," explica O-Neil.
Traducción: Raúl Batista - Segu-Info
Autor: John Leyden
Fuente: The Register UK
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!