Ερώτηση για Ασφαλή Συνομιλία με Άμεσα Μηνύματα

[PASCAL]

Καλημέρα, γνωρίζει κάποιος ποιά είναι η πολιτική της υπηρεσίας Windows Live Messenger σχετικά με τη διαδρομή, την παρακολούθηση, το φιλτράρισμα και την αποθήκευση των άμεσων μηνυμάτων; Επίσης γνωρίζει κάποιος αν υπάρχει κάποιο πρόγραμμα που να εξασφαλίζει ότι τα άμεσα μηνύματα μέσω του Windows Live Messenger θα παραμένουν γνωστά μόνο στον αποστολέα και το λήπτη χωρίς την εποπτεία ή την παρεμβολή κάποιου τρίτου;

Ευχαριστώ

[proskopos]

Μπορείς να ανοίξεις καινούργιο acc, και πριν το ενεργοποιήσεις να διαβάζεις τους όρους του msn, εκεί γράφει αυτά που ζητάς....!

[emperormario]

Μπορείς να χρησιμοποιήσεις κάπoio πρόγραμμα που χρησιμοποιεί encryption keys. Μετά απο σύντομη αναζήτηση στο Γούγλη βρήκα αυτά
x-im
bitwiseim

[ablaz3r]

Δες αυτό:
http://www.cypherpunks.ca/otr/

Μπορείς να το χρησιμοποιήσεις με οποιοδήποτε ΙM πρόγραμμα.

[PASCAL]

Μπορείς να ανοίξεις καινούργιο acc, και πριν το ενεργοποιήσεις να διαβάζεις τους όρους του msn, εκεί γράφει αυτά που ζητάς....!

Αυτοί οι όροι είναι για το κοινό. Φαντάζομαι πως εσωτερικά, στους servers του W.L.M. γίνονται κι άλλες διαδικασίες. Αν κάποιος έχει εσωτερική πληροφόρησει μπορεί να μας ενημερώσει.

ablaz3r και emperormario έχετε χρησιμοποιήσει κάποιο από αυτά; Είναι αποτελεσματικά;

[ablaz3r]

Χρησιμοποιώ το otr εδώ και πολύ καιρό, είναι built in σε έναν msn client για mac os x (Adium).
Σαν IM proxy στα windows δεν το έχω δοκιμάσει αλλά υποθέτω θα παίζει μια χαρά.

Όσο αφορά την ασφάλεια του πρωτοκόλλου, μπορείς να βρεις περισσότερες πληροφορίες στο παραπάνω link, προσωπικά θεωρώ ότι είναι ότι καλύτερο υπάρχει για IM.

[AmmarkoV]

SILC Project develops the Secure Internet Live Conferencing protocol (SILC), which is designed to provide the most rich featured conferencing services and high security. The SILC Project has been coordinating the protocol development for the past few years and the protocol specifications have been made available through the Internet Engineering Task Force (IETF). The SILC Project's goal is to fully standardize the SILC protocol in the IETF.

http://silcnet.org/index.php

[netharis]

Στην πραγματικότητα δεν μπορείς να είσαι ποτέ ασφαλής με τα ΙΜ's.
Με το encryption που θα χρησιμοποιήσεις, το κάνεις πολύ δύσκολο για κάποιον να κάνει intercept στη σύνδεση σου και να φιλτράρει/πάρει/αλλάξει πακέτα απο το τάδε εκτελέσιμο.
Το πιο σοβαρό και επικίνδυνο κατα τη γνώμη μου είναι οι διάφοροι keyloggers που κυκλοφορούν. Κάθε script kiddie, μπορεί πλέον να καμουφλάρει ένα install και χωρίς να καταλάβεις τίποτα να καταγράφει τα πάντα(keyboard, clipboard, ακόμα και τα logs απο τους browser σου) και να τα ανεβάζει αυτόματα σε κάποιο remote ftp server.
Λογικά θα υπάρχει κάποιος τρόπος να προφυλαχτείς και απο αυτό (να κάνεις κάπως trap κάθε keyboard event).

[ablaz3r]

Αν δεν μπορείς να εμπιστευτείς το λειτουργικό σύστημα τότε το έχεις χαμένο το παιχνίδι από την αρχή και πάντα μιλώντας για remote επιθέσεις. Ούτε λόγος αν ο επιτιθέμενος έχει physical access στο σύστημα σου.

Από την άλλη ένας keylogger θα καταγράψει μόνο ότι πληκτρολογείς εσύ και συνήθως οι πιο πολλοί εντοπίζονται από AVs αν και είναι αρκετά εύκολο να γράψεις έναν δικό σου. Φυσικά όπως ανέφερες υπάρχουν και malware που μπορούν να καταγράψουν πολύ περισσότερη πληροφορία από έναν keylogger αλλά από την στιγμή που κάποιος καταφέρει να εκτελέσει κώδικα της αρεσκείας του στον υπολογιστή σου, δεν είναι πλέον υπολογιστής σου...

[PASCAL]

Άρα το πιο ασφαλές είναι να στέλνουμε e-mail?

[ultimate_aektzis]

face to face ειναι το πιο ασφαλες.
Τεχνικα ολα τα μεσα επικοινωνιας μπορουν να παρακολουθηθουν

[rose]

...δεματάκι. Αργό αλλα αποτελεσματικό.

[~~Wind~~]

..το δεμα μπορει να χαθει, οπως κ το περιστερι...
βεβαια κινδυνοι υπαρχουν παντου. ακομα και face to face μπορει να ξεχασεις αυτο που ηθελες να πεις, ή καποιος να διαβασει τα χείλη σου ή ακομα κ ενα μικροφωνο εκει γυρω να σε καταγραψει.
δυσκολα τα πραγματα.. γι αυτο η ασφαλεια για μενα εχει μελλον ακομα.

Με τρομαξε λιγο το ποστ με την κβαντικη κρυπτογραφιση, αλλα χα.. ας δοκιμασουν..

[sandra]

βεβαια κινδυνοι υπαρχουν παντου. ακομα και face to face μπορει να ξεχασεις αυτο που ηθελες να πεις, ή καποιος να διαβασει τα χείλη σου ή ακομα κ ενα μικροφωνο εκει γυρω να σε καταγραψει.

Aν η αντιτρομοκρατική σε έχει βάλει στο μάτι ίσως. Τα υπόλοιπα μου φαίνονται απλά φοβίες. Σιγά μην κάθεται κάποιος και κοιτάει τα logs σου. Τι θα δει, πώς κάνεις μια εργασία? Εκτός κι αν μιλάς πια για καμιά γιάφκα. Τότε έχεις λόγο να φοβάσαι

[redlabel]

Με τρομαξε λιγο το ποστ με την κβαντικη κρυπτογραφιση, αλλα χα.. ας δοκιμασουν..

Εγώ θάλεγα ότι προς το παρόν δεν υπάρχει λόγος ανησυχίας, ~~Wind~~ Κατά τη γνώμη μου, ...έζησαν αυτοί καλά κι εμείς καλύτερα!

Δ. Γκρ.

[*estrngd]

Ύστερα από τους παραπάνω προβληματισμούς, ίσως το "Άμεσα" στο Μηνύματα είναι ευφυμισμός. Στην καλύτερη έμμεσα (γιατί ούτως ή άλλως περνάει και από ένα σωρό κόμβους). Ευτυχώς που υπάρχει και η ελληνική μετάφραση γιατί δεν θα το παρατηρούσα ως instant messenger (άμεσος μυνητής, δηλαδή εκεί που λες στον συνομιλητή σου ότι κατέβασα την νέα ταινία του Μπραντ Πιτ, σε μηνύουν αμμέσως).

[AmmarkoV]

Γενικά , προφανώς , οσο προσεκτικός και αν είναι κανείς κατα πάσα πιθανότητα κάποιος πολύ αποφασισμένος θα καταφέρει να ξεπεράσει την όποια προστασία απλά και μόνο γιατί ότι κλειδώνει ξεκλειδώνει , αρα υπάρχει τρόπος το θέμα είναι τη πολυπλοκότητα έχει..

Αλλά υπάρχει ένα sweet spot στην καμπύλη της προστασίας / προσπάθειας για προστασία..

Γενικά συνήθως οι ασφαλέστερες λύσεις είναι οι custom ( με κάποια θεωρία βέβαια από πίσω ) πχ δεν είναι πολύ δύσκολο να φτιάξει κανείς ένα προγραμματάκι να ανοίγει μια socket στο ένα end και μια στο άλλο και να ανταλάσσετε μια IP μέσω MSN ξέρω γώ και από εκεί και εμπρός στην μεταξύ επικοινωνία σας να κωδικοποιείς με RSA πάνω σε Blowfish πάνω σε κλειδιά 16000 bits τα οποία θα έχετε δώσει ό ένας στον άλλον από κοντά .. ( Βάση νομοθεσίας νομίζω στις ΗΠΑ τα κλειδιά είναι μέχρι 128Bit οπότε φαντάσου πόσο πιο δύσκολο είναι [ αν έχεις πχ ένα κλειδί 8 χαρακτήρων ή 8 * 8 bit = 64bit υπάρχουν 2 ^ 64 συνδυασμοί , 2 * 2 * ... * 2 * 2 οπού κάθε ένα από τα 2 είναι αν υπάρχει 0 ή 1 στο ψηφίαο ] , φαντάσου το 2^16000 , εντελώς αστρονομικό νούμερο! )
Και στο πρωτοκολλό σου θα μπορείς πχ να στέλνεις και σκουπίδια , αυτό εγκυημένα δεν πρόκειται ποτέ να το σπάσει κανείς εκτός αν φτιάξουν κάποτε μια κβαντική AI κρυπτανάλυσης ( έχουμε καμμιά 50αρα χρόνια μέχρι τότε ) !!!!

Για τους σκοπούς της δικής μου ασφάλειας έχω φτιάξει ένα προγραμματάκι "Puma Crypter" για να μου κρυπτογραφεί αρχεία , είναι freeware και λογικά αν έχεις κάτι super εμπιστευτικό ( είτε είναι κώδικας , είτε είναι ένα doc με 10000 σελίδες , είτε είναι γυμνές φωτογραφίες σου ) μπορείς να κάνεις encrypt απευθείας το αρχειάκι του και να το προωθήσεις μέσω MSN , IRC , E-Mail , FTP Κτλ

Δεν είναι ασφάλεια για Instant Messaging αλλά γενικά πιστεύω οτι με κάτι τέτοιο για οταν θές να στείλεις κάτι πραγματικά σημαντικό και την σκέψη στο μυαλό σου οτι δεν θα λέω πράγματα που δεν θέλω να ακούσει άλλος σε ηλεκτρονικά μέσα χωρίς προστασία ( τηλέφωνο , κινητό , MSN , Venus ( ) κτλ ) είσαι αρκετά καλά!

[ablaz3r]

Blowfish με κλειδί 16000 bits?? Ο αλγόριθμος υποστηρίζει κλειδιά μέχρι 448 bits...

Αν υποθέσουμε ότι αλγόριθμοι όπως ο Blowfish ή o AES δεν έχουν κρυπταναλυθεί με τρόπο που να επιτρέπει την αποκρυπτογράφηση του κρυπτοκειμένου σε χρόνο μικρότερο από τον χρόνο που θα απαιτούνταν για να δοκιμαστούν όλοι οι πιθανοί συνδυασμοί στο πεδίο ορισμού του κλειδιού(bruteforce attack), κλειδιά ακόμα και 128bit είναι πρακτικά αδύνατο να "σπάσουν" με την σημερινή επεξεργαστική ισχύ σε λογικό χρόνο (λιγότερο από μερικές χιλιάδες χρόνια.)

Παραμετροποιήσεις στο πρωτόκολλο μπορείς να κάνεις πολλές αλλά η ιστορία έχει δείξει ότι custom λύσεις-πρωτόκολλα τείνουν να είναι περισσότερο ευάλωτα σε επιθέσεις.

[AmmarkoV]

Blowfish με κλειδί 16000 bits??

Σκέψου να κλειδώσεις πχ τον Blowfish με RSA
Σκέψου να περάσεις Blowfish σε 4-15 στρώσεις με διαφορετικά κλειδιά σε κάθε μια ..

Όσο για το οτι custom λύσεις είναι χειρότερες , επέτρεψε μου να διαφωνήσω ( πολύ ) τα custom πρωτόκολλα είναι το πιο ασφαλές πράμα , σκέψου απλά τα ασύρματα δίκτυα WEP , WPA κτλ.. Τα δημοφιλή πρωτοκολλά έχουν τόσο μεγάλο community που προσπαθεί να τα σπάσει που σχεδόν ακυρώνει την ύπαρξη τους , αντίστοιχα αν εγώ κατέβαινα και στην def-con με ένα δικό μου Wireless πρωτόκολλο για να παίζω Counterstrike τοπικά με άλλα παιδιά με laptop δεν υπάρχει περίπτωση να το σπάσει κανείς..

Είναι απλά πάαααααρα πολυ δύσκολο να φανταστείς τι σκ@τ@ μπορεί να έχει σκεφτεί ο άλλος σαν encryption scheme..
Σκέψου οτι θα μπορούσα πχ να στέλνω σκουπίδια και εσυ να προσπαθείς να βρείς κλειδιά.. Αν δεν έχεις κάπου τον κώδικα δημοσιευμένο αποκλείεται εγγυημένα να βγάλει κάποιος άκρη!

Από άποψη πολυπλοκότητας διαισθητικά είναι σαν όχι απλά να ψάχνεις για κλειδιά (άρα 2^X οπού X τα Bits του κλειδιού ) αλλά να ψάχνεις για αλγόριθμο ΚΑΙ για κλειδιά μαζί και αν τα πάρεις όλα στην τύχη και ο αλγόριθμος είναι 100 γραμμές με 20 πιθανές εντολές ανά γραμμή άρα 2^X * 20 ^ 100 ( you get the picture )

Είναι άπειρα πιο πρακτικό να προσπαθήσεις τότε να υποκλέψεις τα keystrokes κτλ..

[redlabel]

Παίδες, σε λίγο θα μας πουν ..."κατεστραμμένους" με την ασφάλεια, με αυτά που γράφουμε...

Δ. Γκρ.

[Proxenos]

Αν δεν έχεις κάπου τον κώδικα δημοσιευμένο αποκλείεται εγγυημένα να βγάλει κάποιος άκρη!

Από πότε δουλεύει το security through obscurity;

[redlabel]

Αν δεν έχεις κάπου τον κώδικα δημοσιευμένο αποκλείεται εγγυημένα να βγάλει κάποιος άκρη!

Από πότε δουλεύει το security through obscurity;

Η εμπειρία μου δείχνει ότι πολλοί συνάδελφοι ακολουθούν ακόμη αυτή την (συχνά αποτελεσματική, αλλά για συγκεκριμένους λόγους) τακτική, αν και η διάδοχη τακτική (security in the openess) διδάσκεται και υποστηρίζεται διεθνώς και σε ευρέα ακροατήρια.

Δ. Γκρ.