Entradas
Detectando MITM en Skype
En una entrada del mes pasado, hablaba yo acerca de la posibilidad de un ataque MITM a una sesión de Skype por parte del servidor central. Educated Guesswork ha descrito dos posibles soluciones con las que detectar (que no evitar) tal clase de ataques:
- Controlar cambios sospechosos en la clave pública de tu interlocutor, si ya has hablado previamente con él.
- Leer mutuamente en voz alta, p. ej. al principio de cada sesión, un hash de la clave AES concertada, para que los interlocutores se aseguren de que se trata de la misma.
El problema es que esas dos soluciones requieren que el cliente de Skype se modifique para mostrar esas informaciones adicionales. Si yo fuera Skype lo haría para la tranquilidad de mis clientes, pero como bien dice EG, los federales podrían obligarles (o ya les han obligado) a no hacerlo.
EG describe también una contramedida para evitar la detección: el MITM intercepta la lectura del hash de la clave e imita la voz de los participantes, substituyendo la lectura original, de manera que crean que tienen la misma clave AES, aunque no sea así. Este escenario me resulta sin embargo muy difícil de realizar: si bien es cierto que un hash en general son siempre cifras hexadecimales y que se podría grabar la voz de los participantes en sesiones pasadas para tomar muestras de voz que reproducir luego a placer, el atacante no sabría ni cuándo ni en qué orden leerlas a qué participante.
2 comentarios:
¡Ahora entiendo por qué tengo latencias de 4 o 5 segundos cuando hablo por Skype con alguien en España!
La NSA me está haciendo ataques MITM de esos... Primero escuchan lo que yo digo, luego censuran lo que no consideran apropiado, y luego se lo repiten a los del otro lado.
Por cierto, ¿habeis escuchado ya
el rap de "Bob & Alice"?
De hecho, hace años que tu familia no habla contigo y tiene una imagen completamente falsa de lo que haces para ganarte la vida. Y el problema no es Skype: si hablas por teléfono con AT&T, otro tanto.
El rap es hilarante, gracias. Lo mejor, por cierto, uno de los comentarios en el blog de Schneier:
I don't know what is worse: A rap song about crypto or the fact that he seems to know more about cryptosystems than most IT managers......
Publicar un comentario