Como el correo electrónico, el chat equivale a una carta abierta. El texto que enviamos no es encriptado en ningún momento, de modo que la más leve falla de seguridad en una computadora hogareña permitirá a un tercero leer lo que los interlocutores están hablando. En una empresa cuyas políticas de privacidad no fueran claras, monitorear lo que se dice en el chat (o para el caso, las páginas Web que visitan sus empleados) es lo más sencillo del mundo.
No es difícil verificar esto. Los sniffers , programas que capturan los paquetes de datos que se envían y reciben por una red (por ejemplo, Internet), muestran en segundos que cada cosa que decimos en el chat sale al mundo sin la más mínima protección.
Hay excepciones, sin embargo. Skype , por ejemplo, encripta el chat y la voz. El problema es que en general nuestros amigos usan MSN Messenger . Aparte de poner un banquito en la calle Florida y empezar a pontificar sobre las ventajas de cambiarse a Skype , la realidad es que en la Argentina se usa sobre todo el MSN Messenger . Además, el Skype tiene sus propias desventajas. Y no, nada es perfecto.
¡El chat es tan inseguro que hasta existen sniffers dedicados al MSN! La única buena noticia respecto de la inseguridad de los mensajeros es que en general a nadie le importa lo que estamos hablando. Eso es porque, admitámoslo, todos decimos más o menos las mismas cosas.
Pero no siempre.
Pese a las advertencias que aparecen en el mensajero sobre no enviar datos sensibles, como números de tarjeta de crédito o direcciones postales, lo cierto es que tendemos a olvidar que el chat puede ser espiado con relativa facilidad.
OK, gran problema, los mensajeros convencionales no encriptan… pero, ¿qué significa encriptar? Dicho de una manera muy simple, convertir el texto (o lo que fuere) en un amasijo de caracteres sin sentido que sólo podrá restituirse a su forma original por medio de una contraseña. En el caso del chat, cada frase debería ser cifrada antes de entrar en el mecanismo de software y hardware que la envía a nuestro interlocutor. Una vez en destino, los paquetes deberán descifrarse para que la otra persona pueda leerlos, pero sólo después de salir del circuito donde podría ocultarse un sniffer . Parece demasiado complicado para funcionar de forma sencilla y transparente, ¿no?
Lo es, pero con el poder de cómputo de las computadoras actuales la conversación por mensajero instantáneo puede encriptarse sin complicaciones con sólo instalar uno o dos programas en la PC.
Ahora, ¿esto convierte el chat en algo completamente seguro? Oh, no, nada es completamente seguro en esta vida. En un minuto pasaré a los riesgos que pueden presentarse, pero, con todo, esto es como un trillón de veces más prudente que hablar de cuestiones sensibles por el chat sin encriptación de ninguna naturaleza.
SimpLite
Primero, las opciones, que oportunamente probé con la ayuda de un amigo experto en administración de sistemas y fanático de la criptografía, para determinar si los paquetes que iban y venían entre nuestros mensajeros contenían datos relevantes sobre la conversación, una vez encriptados.
La solución más sencilla es SimpLite (www.secway.fr), que funciona con MSN Messenger , Yahoo! Messenger , ICQ , AOL Instant Messenger , Jabber y Google Talk . El programa debe estar instalado en nuestra computadora y en la de cada uno de nuestros interlocutores con quienes queramos mantener una conversación encriptada. Pero no es menester que la otra persona lo tenga para poder simplemente chatear. Así, resulta transparente en todo sentido, porque podemos tenerlo funcionando constantemente y sólo aquellas personas con quienes mantenemos conversaciones cifradas necesitarán tener el SimpLite. El programa indica en verde los mensajes cifrados y en rojo los que no. Su mayor virtud es que seguimos usando el mensajero que ya conocemos, y que es muy fácil de instalar y usar.
La versión Lite es gratis y su única desventaja es que solamente puede ejecutarse una instancia por vez. Es decir, no podremos encriptar simultáneamente una conversación con alguien que usa MSN Messenger y con otra persona que usa Yahoo! Messenger .
Pidgin
En ese caso, la solución viene por el lado del software libre. El Pidgin (antes conocido como Gaim ) es compatible con los principales mensajeros instantáneos y por sí mismo no encripta el chat, pero hay una extensión ( plugin , en la jerga) que realiza esta tarea, llamado Pidgin-Encryption . Como en el caso del SimpLite , ambas partes deben tener el Pidgin y el Pidgin-Encryption para cifrar la charla; no obstante, puede usarse el Pidgin a secas para solamente chatear.
Anda y muy bien, pero obliga a usar un nuevo software de mensajería, y no todo el mundo está dispuesto a eso. Para los usuarios de Linux, sin embargo, Pidgin ha sido uno de los mensajeros más usados desde hace mucho tiempo.
Flancos débiles
Respecto de los riesgos, hay uno que es obvio. Si la seguridad de una de las máquinas está seriamente comprometida, será relativamente fácil capturar la clave pública cuando un mensajero se la envíe al otro, en el proceso de entablar la conversación encriptada. Esta clase de ataque se llama Man In The Middle (Hombre en el medio, MITM) y, sinceramente, creo que difícilmente nuestras conversaciones privadas atraigan una maniobra de esta clase. No es imposible, es verdad, pero no estoy aconsejando aquí usar SimpLite o Pidgin para proteger secretos de Estado. Para el resto de nosotros, estos programas ofrecen una protección de la privacidad razonablemente buena.
Pero nada es perfecto. Pidgin en particular tiene una característica poco conocida, que algunos consignan como horrible problema , y es que guarda las contraseñas de nuestras cuentas sin encriptar. Es decir, en texto plano, en una carpeta, al alcance de cualquier usuario que tenga privilegios de administrador de sistema (es decir, la mayoría, en Windows).
Soluciones para esto, que obviamente le pondrá los pelos de punta a más de uno, y no sin razón. Primera, no pedirle a Pidgin que recuerde nuestras contraseñas. Es cómodo, pero muy riesgoso, y lo es en general, es decir, con todos los programas de Internet. Desactive esa función y Pidgin no guardará nada en el archivo de configuración de cuentas.
La otra solución es establecer como privados nuestros archivos o cifrar (con el cifrado de Windows) el directorio de Pidgin. Este directorio aparece en diversos lugares, según la versión de Windows. En XP, C:\Documents and Settings\{nombre de cuenta}\Datos de programa\.purple ; En Vista, C:\Users\{nombre de cuenta}\AppData\Roaming\.purple .
Dentro de esa carpeta hay un archivo llamado accounts.xml donde se guardan sin ninguna protección las contraseñas de nuestras cuentas de Hotmail, Yahoo! y demás. Un peligro, si no sabemos que el archivo está ahí, o si cometemos el error de usarlo en un locutorio, quizás justamente para cifrar nuestras charlas. Vaya paradoja.
Reitero, basta desactivar la memorización de las contraseñas por parte de Pidgin o encriptar su carpeta de configuración local ( .purple ; antes .gaim ) usando un sistema de cifrado en tiempo real (como el de Windows o el TrueCrypt ,www.truecrypt.com)
para cubrir ese flanco débil.
Por Ariel Torres
Fuente: http://www.lanacion.com.ar/tecnologia/nota.asp?nota_id=958794
lunes, 5 de noviembre de 2007
Suscribirse a:
Enviar comentarios (Atom)
1 comentario:
Hola, mira, hace ya bastante que Pidgin encripta el pass en el HD (era un bug como una casa, he he)..
Saludo y muy buen post para no iniciados, espero sea util a muchos
Publicar un comentario