Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
¿Los mensajes encriptados son seguros?. No lo crea.
|
|
VSantivirus No. 765 - Año 6 - Lunes 12 de agosto de 2002
¿Los mensajes encriptados son seguros?. No lo crea.
http://www.vsantivirus.com/12-08-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Hay muchos usuarios y empresas, que encriptan sus mensajes para una mayor seguridad y para mantener su correspondencia lo más privada posible, sobre todo después de hechos recientes que han comprometido a importantes personajes en juicios de pública notoriedad (por ejemplo, hace unos pocos años, unos mensajes enviados por Bill Gates a algunos de sus colaboradores, comprometieron seriamente a su compañía).
Para esto, suelen utilizarse programas como PGP.
PGP (Pretty Good Privacy), es una de las herramientas más utilizadas para encriptación de correo electrónico. Aunque su uso más común es firmar digitalmente los mensajes para asegurar la verdadera identidad del remitente y que no ha sido modificado por terceros, también puede usarse para encriptar dicho mensaje (y cualquier otro dato o archivo adjunto), de modo que solo pueda ser leído por quien posea la clave apropiada para hacerlo.
Sin embargo, un truco tan sencillo como el obligar al receptor a pinchar en el botón de responder, puede revelar el contenido original de estos mensajes, según hicieron notar esta semana un grupo de investigadores de la universidad de Columbia y de una compañía de seguridad, Counterpane Internet Security Inc.
Básicamente consiste en interceptar un mensaje crítico con cualquiera de los programas disponibles en la red (sniffers), que bien puede plantarse en una máquina con la ayuda de un troyano (por ejemplo), reempaquetarlo y pasarlo al verdadero receptor, solicitando una respuesta (obviamente a la dirección del atacante, que puede ser fácilmente camuflada).
La mayoría de las personas responde los mensajes sin tomarse el trabajo de borrar el texto original, que suele quedar debajo de lo escrito. Esto hará que la respuesta llegue al atacante, pero con un pequeño detalle que la mayoría pasa por alto. El texto original en la respuesta ahora aparece desencriptado, y es perfectamente legible.
Se ha comprobado que la mayoría de las personas, aún siendo conscientes de ello, ignoran o minimizan el riesgo de reenviar un texto en estas condiciones. Lo peor es que generalmente lo hacen por simple haraganería, para no tomarse el trabajo de borrar ese texto.
Para minimizar estos riesgos al enviar mensajes críticos, los investigadores sugieren que luego de encriptados sean comprimidos con una utilidad como WinZip y enviados como adjuntos. Esto hace que el truco aquí descripto falle, aún cuando el destinatario pinche en el botón Responder sin tomarse el trabajo de borrar nada.
Esta técnica afecta prácticamente todas las fórmulas usadas actualmente para la encriptación de mensajes. El truco funciona no solo con PGP, sino también con GnuPG, y posiblemente otras aplicaciones similares.
Referencias:
Implementation of Chosen-Ciphertext Attacks...
http://www.counterpane.com/pgp-attack.html
Sitio PGP
http://www.pgpi.org
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|