Saludos, hermanos del Foro.
Soy lector veterano de Kriptópolis y participé en la época del (ya fracasado) movimiento de cifrado en correos electrónicos.
El caso es que hoy Radio Nacional de España ha hablado, con el descaro habitual con que nos informan de las violaciones a nuestra privacidad, de la captura del "grupo de hackers Anonymus", diciendo que la investigación comenzó con "el análisis de dos millones de líneas de registros de chats". O sea: "Os espiamos todo el chateo, ¿pasa algo?".
Y, bueno, qué queréis que os diga, me han entrado ganas de dar otro empujoncillo para lograr que la gente con la que chateo cifre sus comunicaciones, así que me he puesto a informarme del Estado del Arte en este tema...
Yo en su día usé los plugins "Off the Record" para diversos clientes de MI, como Trillian o Pidgin, pero no existían versiones para MSN Messenger (el más extendido por ahora, si no me equivoco), y si las había, eran a través de proxys que dificultaban su configuración al usuario promedio, con lo cual se nos quedaba todo en agua de borrajas a la hora de intentar que la gente se instalara las extensiones de cifrado. Lo menos malo que llegué a encontrar fue IMSecure Pro, que creo recordar que cifraba MSN,Yahoo, y ICQ. Era fácil de instalar, aún para un no entendido.
Por eso quisiera conocer vuestra opinión: de cara a cifrar mensajería instantánea, ¿qué hay a día de hoy que abarque el mayor número de protocolos, clientes de mensajería distintos y no sea muy complicado de instalar, para así recomendárselo al usuario promedio de Windows? A ver si lográramos popularizar un poco el tema.
No quiero ponerme pesimista, pero diría que el tema del cifrado, también en su vertiente de mensajería instantánea, está muy de capa caída.
Me parece interesante este
Ahriman29 Junio 2011 - 6:39pm
Me parece interesante este tema y no entiendo como no van cifrados los mensajes de MSN y demás. Aunque he leido hoy que a Microsoft le han aprobado una patente para espiar conversaciones de Skype. No puede ser que estés chateando con tu pareja y que alguien pueda leer la conversación del tipo que sea y menos si es una videoconferencia.
La tecnología me encanta pero también me da asco xD
Saludos!
SIMPLite-MSN funcionando.
Sopalajo de Arr...28 Junio 2011 - 4:04pm
Correcto. SIMPLite-MSN funciona; y lo he probado entre un MSN Messenger de Micro$oft y un trillian Astra, ambas versiones actualizadas a Junio 2011.
Tan sólo me ha dado algún fallo que creo que se debe a los intentos de comunicar cuentas en modo invisible (que aparecen como fuera de línea).
Por eso quisiera conocer
naw11 Junio 2011 - 12:38am
Creo que cualquier sistema que requiera que el usuario haga algo que se salga de lo común o sea incómodo(como verificar las claves OpenPGP de otro usuario) tiene la batalla perdida. Te puedo mencionar que yo tengo quitadas mis claves OpenPGP de Psi (un cliente Jabber/XMPP) simplemente por que paso de que me pregunte por la contraseña cada vez que conecto.
Creo que el modo más práctico de asegurar una conversación es que el tráfico es el de cifrar la comunicación entre cliente y servidor. Eso protegería el tráfico de ojos indiscretos (exceptuando al administrador del servidor, que tendría acceso) sin requerir que el usuario haga nada. El problema es que no parece haber mucho interés por parte de los desarrolladores, Whatsapp envía en texto plano, y MSN no sé como lo hará ahora, pero hace algún tiempo solo cifraba el login.
Yendo a la pregunta en si, yo diría que el cifrado end-to-end (de usuario a usuario) más extendido y compatible que te vayas a encontrar son plugins de OTR en distintos clientes y protocolos.
Aparte de esto, el cifrado en mensajería instantánea es una solución a un problema que no es preocupante para los usuarios, el espionaje por parte de Sysadmins, ISPs y gobiernos. Y me refiero solo a estas organizaciones porque me parece que un ataque man-in-the-middle a una conexión normal (excluyendo redes wifi abiertas) no seria muy factible para un atacante individual, aunque quizás me equivoque. Una muestra de que es no es preocupante, es que casi todas las páginas web funcionan sobre HTTP... y me atrevería a decir que el único beneficio de HTTPS que aprecian los usuarios es la parte de autenticación (para evitar phishing) mientras que el cifrado es mucho menos relevante.
Por último, también tendrás clientes enfocados exclusivamente en la seguridad, pero usaran protocolos propietarios/privativos, con lo que quedarás aislado del resto del mundo.
Dijiste que no querías ponerte pesimista... pues yo creo que soy demasiado :P
PD: vaya tocho he soltado
psi sin contraseña en el login
leandro71311 Junio 2011 - 6:10pm
ahora mismo no encuentro la opción, pero yo uso Psi con gpg y no me pide la clave cada vez que hago login. por otro lado, creo que el uso de gpg es bastante fiable. obviamente, si se trata de un caso de seguridad nacional y van a poner todos sus recursos, lo romperán, pero por lo menos se lo vas a poner bastante difícil.
otro tema es que si casi nadie cifra sus comunicaciones los 4 paranoicos que lo hacemos, demos el cante. si.
Sinceramente...
AdRoJo10 Junio 2011 - 11:36pm
Sinceramente... Cifrar las conversaciones tampoco sirve, como siempre pasa en la informatica, si quieren hacerlo lo haran y acabaran por descifrarlo.
Aunque yo utilizo CyberGhost VPN
Hombre, la noticia esa de los
Sopalajo de Arr...10 Junio 2011 - 11:08pm
Hombre, la noticia esa de los "hackers", yo creo que la mayoría sabemos que lo mismo es un montaje. Mejor no hacerle mucho caso.
Pero lo que me inquieta es la naturalidad con que se habla de "revisar dos millones de líneas de registros de chat". Y es frente a tales abusos que deberíamos difundir el uso de la criptografía.
Pero Mik-kado ha dado en el clavo: claro, la inmensa mayoría de usuarios tiene su Windows, su MSN Messenger bajado de Micro$oft, y no le puedes hablar ni de criptografía ni de claves públicas ni privadas. Necesitarían un programa de "instalar y listo". Y eso es lo que parece ser que no hay.
Simplifiquemos la cosa: aún buscando tan sólo un programa que cifre las conversaciones con MSN Messenger, ya resulta la búsqueda complicada. Para mí ha sido infructuosa.
Y ya fuera de simplificaciones, si estamos dispuestos a configurar un proxy de cifrado de protocolos de mensajería instantánea, tampoco he logrado encontrar nada al respecto. Tan sólo herramientas que también van cayendo en la obsolescencia o que son específicas de cierto cliente de chat.
Algo es algo
inar11 Junio 2011 - 3:17pm
SIMPLite-MSN
Agradecido
Sopalajo de Arr...12 Junio 2011 - 12:37am
Gracias por lo del SIMPLite-MSN, hermano Inar.
Lo probaré en cuanto pueda. Parece servir para lo que estamos hablando.
Anonymous???
Mik-kado10 Junio 2011 - 9:45pm
A mí me parece lo más normal que la gente no use nada, hay que darlo todo muy masticado para llegara una mayoría. Lo que me parece extraño es que unos "hackers" tampoco lo usaran.
Estoy muy a favor de la seguridad en las comunicaciones pero o estos hackers no lo son tanto, o bien tan sólo se está jugando al "despiste", para no decir que ciertos proveedores de internet entregan datos de forma corriente para su "revisión" por parte de ciertas autoridades...
Sin lugar a duda el Pidgin
hStorm10 Junio 2011 - 8:28pm
Sin lugar a duda el Pidgin con Encryption es la forma mas simple de mas simple.
Yo usaba FISH para IRC, hace por lo menos dos años que ya no lo hago, pero recuerdo que tambien era facil. Creo que tal vez el principal problema de las personas "comunes" con la criptografia asimetrica es que no conocen como funciona.
jabber + gpg
leandro71310 Junio 2011 - 8:23pm
pues hay una alternativa (relativamente) usada.
Jabber(gtalk, también) en cualquier cliente desarrolladito (Psi, por ejemplo) te permite encriptación por gpg.Está tirao de instalar y creo que te protege bastante.
El que no lo usa es porque no quiere.
Ah, se me olvidaba. Debido a
naw11 Junio 2011 - 12:05am
Ah, se me olvidaba. Debido a uno de los métodos de autenticación más usados en Jabber (DIGEST-MD5) los servidores suelen guardar las contraseñas de los usuarios en texto plano
Es un detalle a tener en cuenta, porque pese a que deberíamos tener passwords distintas para cada servicio, la realidad es que la mayoría de los usuarios no lo hacen y un administrador malicioso o un servidor comprometido representarían un problema.
En cuanto a Jabber
naw10 Junio 2011 - 11:55pm
En cuanto a Jabber:
Las comunicaciones cliente-servidor y servidor-servidor suelen ir cifradas mediante TLS. Pero esto no protege a los usuarios de administradores indiscretos. Para esto está una extensión del protocolo que usa OpenPGP, el problema es que esta obsoleta y tiene problemas de seguridad. También existen espuecificaciones para usar S/MIME en Jabber/XMPP, pero nadie ha mostrado interés por implementarlas.
Por ahora, creo que la mejor opción son los plugins para clientes que implementan OTR. Además, creo que muchas de las características de OTR son más adecuadas que el cifrado que puede proporcionar OpenPGP, puesto que por ejemplo queras poder repudiar un mensaje.
Los desarrolladores del protocolo están trabajando en meter algo como OTR como una extensión estandarizada, pero llevará tiempo en desarrollare y en implementarse por parte de los clientes. Otro problema es que parece que las salas de chat se quedan fuera del ámbito de esta especificación.
Por último mencionar que para videoconferencia (cuando los clientes lo implementen en condiciones) hay previsto soporte de SRTP y ZRTP para el cifrado de las comunicaciones.
Fish, addon para IRC
vitoces10 Junio 2011 - 5:42pm
En IRC yo actualmente estoy usando el addon FISH, aunque ya lleva másde 1 año sin actualizaciones.
Es compatible con xchat, irssi, mirc.
Es una pena que este tipo de proyectos no sigan adelante y se mejoren.
http://download.ircii.org/fish/
http://fish.secure.la/