[uylug-varios] Se va el MSN, bloquear skype
Kenneth Irving
ken at fq.edu.uy
Wed Dec 12 07:39:23 PST 2012
Una de las cosas interesantes que señala ese trabajo es que usan el
keyboard timing para recabar información, en particular el largo de las
passwords, cosa que se puede evitar si uno usa intercambio de llaves en
lugar de abrir una sesión interactiva de ssh y mandar la password.
Eso refuerza la idea que ya tenía de que es mucho más seguro utilizar
llaves privada/publica para abrir sesiones remotas de ssh.
No sé si con ese esquema lo que plantea el trabajo todavía es posible.
saludos
Kenneth
On Wed, 12 Dec 2012, Eduardo Trápani wrote:
>> Si quiero algo seguro lo encripto.
>
> Siempre en el hilo, con el tema de Skype. Hay algo interesante, no
> necesariamente alcanza con cifrar, depende de qué, *cómo* y con qué lo
> hagas.
>
> La combinación voz/codec/cifrado de Skype (pero no solo de Skype) hace
> que puedas detectar frases arbitrarias sin tener que romper el cifrado.
>
> Tiene su lógica, imaginemos que vamos mandando en el flujo la diferencia
> con el nivel anterior de audio con un par de bits. Si ese patrón de
> alguna manera se vuelve transparente a pesar del cifrado, nos alcanzaría
> con reconstruir poniendo un "piso" de señal y caminar por los diffs
> cifrados para compararlo con frases ya analizadas.
>
> Claro que no es tan fácil como eso pero se puede (acá están los detalles
> "Spot me if you can:
> Uncovering spoken phrases in encrypted VoIP conversations" [1]).
>
> Y, ahora sí yéndome un poquito de tema, lo mismo pasa con ssh, ver:
> "Timing Analysis of Keystrokes and Timing Attacks on SSH"[2]. Uno
> piensa que está segurazo ;) con ssh pero el largo de la contraseña y
> otras cosas se filtran dependiendo del "cómo" del cifrado.
>
>> Si quiero algo seguro lo encripto.
>
> Parafraseando la cultura popular y viendo [1] y [2] sólo puedo decirte
> que "a seguro lo llevaron preso". ;)
>
> Eduardo.
>
> [1] http://www.cs.unc.edu/~fabian/papers/oakland08.pdf
> [2] http://www.cs.jhu.edu/~rubin/courses/fall03/papers/timing.ssh.pdf
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
More information about the Uylug-varios
mailing list