El texto que enviamos tanto en el correo electrónico como en el Chat, no es encriptado, de modo que la más leve falla de seguridad en una computadora hogareña permitirá a un tercero leer lo que los interlocutores están hablando.
En una empresa, cuando las políticas de privacidad no son claras, monitorear lo que se dice en el chat , o las páginas Web que visitan los empleados, es lo más sencillo del mundo. Los sniffers, son programas que capturan los paquetes de datos que se envían y reciben por una red, muestran en segundos, que cada cosa que decimos en el chat sale al mundo sin la más mínima protección.
Hay algunas excepciones, Skype , por ejemplo, encripta el chat y la voz. El problema es que en general nuestros amigos usan MSN Messenger. Aparte de hacer una campaña sobre las ventajas de cambiarse a Skype , la realidad es que, lo que más se usa es el MSN Messenger. Además, el Skype tiene sus propias desventajas, también.
¡El chat es tan inseguro que hasta existen sniffers dedicados al MSN! La única buena noticia es que en general a nadie le importa lo que estamos hablando. Porque, admitámoslo, todos decimos más o menos las mismas cosas. Pero no siempre.
Pese a las advertencias que aparecen en el mensajero sobre no enviar datos sensibles, como números de tarjeta de crédito o direcciones postales, lo cierto es que tendemos a olvidar que el chat puede ser espiado con relativa facilidad.
¿Qué es encriptar? ¿De una manera muy simple?: Convertir el texto en un rejunte de caracteres sin sentido que sólo podrá verse en su forma original por medio de una contraseña. Cada mensaje o frase en el chat, deberían ser cifrados antes de entrar en el mecanismo de software y hardware que los envía al destinatario. Una vez recibidos, los paquetes deberán descifrarse para que la otra persona pueda leerlos, pero sólo después de pasar el nivel donde podría ocultarse un sniffer.
Esto pude hacerse sin complicaciones con sólo instalar uno o dos programas en la PC.
SimpLite ( www.secway.fr ), que funciona con MSN Messenger , Yahoo! Messenger , ICQ , AOL Instant Messenger , Jabber y Google Talk .
El programa debe estar instalado en nuestra computadora y en la de cada uno de nuestros interlocutores con quienes queramos mantener una conversación encriptada. Pero no es necesario que la otra persona lo tenga para chatear en forma común, resulta transparente en todo sentido, porque podemos tenerlo funcionando constantemente y sólo aquellas personas con quienes mantenemos conversaciones cifradas necesitarán tener el SimpLite.
El programa indica en verde los mensajes cifrados y en rojo los que no. Su mayor virtud es que seguimos usando el mensajero que ya conocemos, y es muy fácil de instalar y usar. La versión Lite es gratis y su única desventaja es que solamente puede ejecutarse una instancia por vez. Es decir, no podremos encriptar simultáneamente una conversación con alguien que usa MSN Messenger y con otra persona que usa Yahoo! Messenger.
Otra solución es de software libre. El Pidgin (antes conocido como Gaim ) es compatible con los principales mensajeros instantáneos y por sí mismo no encripta el chat, pero hay una extensión ( plugin) que realiza esta tarea, es el Pidgin-Encryption.
Como en el caso del SimpLite , ambas partes deben tener el Pidgin y el Pidgin-Encryption para cifrar la charla; no obstante, puede usarse el Pidgin a secas para solamente chatear. Anda muy bien, pero se debe usar un nuevo software de mensajería, y no todo el mundo está dispuesto a eso. No así para los usuarios de Linux, Pidgin es uno de los mensajeros más usados desde hace mucho tiempo.
Todo lo anterior es muchísimo más seguro y privado que chatear en la forma en que lo venimos haciendo, pero no es perfecto, sigue teniendo sus puntos debiles, pero convengamos que lo nuestro no es un chateo entre la CIA y la KGB.
Si la seguridad de una de las máquinas está seriamente comprometida, será relativamente fácil capturar la clave pública cuando un mensajero se la envíe al otro, en el proceso de entablar la conversación encriptada. Esta clase de ataque se llama Man In The Middle (Hombre en el medio, MITM).
Por otro lado, Pidgin en particular tiene una característica poco conocida, y es que guarda las contraseñas de nuestras cuentas sin encriptar. Es decir, en texto plano, en una carpeta, al alcance de cualquier usuario que tenga privilegios de administrador de sistema (es decir, la mayoría, en Windows).
Solución para esto, no pedirle a Pidgin que recuerde nuestras contraseñas, y en general, con todos los programas de Internet, desactive esa función y Pidgin no guardará nada en el archivo de configuración de cuentas. Otra solución conveniente, es establecer como privados nuestros archivos o cifrar (con el cifrado de Windows) el directorio de Pidgin. Este directorio aparece en diversos lugares, según la versión de Windows. En XP, C:\Documents and Settings\{nombre de cuenta o usuario}\Datos de programa\.purple ; En Vista, C:\Users\{nombre de cuenta}\AppData\Roaming\.purple . Dentro de esa carpeta hay un archivo llamado accounts.xml donde se guardan sin ninguna protección las contraseñas de nuestras cuentas de Hotmail, Yahoo! y demás. Un peligro, si no sabemos que el archivo está ahí, o si cometemos el error de usarlo en un locutorio, quizás justamente para cifrar nuestras charlas.
De nuevo, solo tenés que desactivar la memorización de las contraseñas por parte de Pidgin o encriptar su carpeta de configuración local ( .purple ; antes .gaim ) usando un sistema de cifrado en tiempo real (como el de Windows o el TrueCrypt , www.truecrypt.com ) para cubrir ese flanco débil.
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario