[HACK] ¿Problema de seguridad en MSNMessenger?
Sergio Pozo Hidalgo
blitter_es at yahoo.es
Fri Sep 12 20:32:35 CEST 2003
FJ Merino Guardiola wrote:
>>
>> Lo curioso sería preguntarse cómo pueden saber ellos si usas o no un
>> cliente
>> de Micro$oft, si usa firma digital, si se da información de la
>> licencia del
>> equipo, si sus clientes permiten la ejecución de código por parte del
>> servicio técnico para estas y otras comprobaciones, etc. En cuanto
>> tenga un
>> ratillo estoy dándole al ethereal ;-)
A ver si compartes esas investigaciones de Ethereal, q a mí tb me
interesa el temita :)
> La cosa no esta en que detecte si es un cliente oficial o no, la cosa
> esta en que del protocolo "nuevo" poco se conoce. De todos modos los
> mensajes a traves del messenger son de tipo MIME (supongo que cada
> cliente pone su propio campo "agent"). En cualquier caso, el problema no
> creo que este en que el servidor detecte si es o no un cliente
> "oficial", el problema esta en que no hay clientes que soporten dicho
> protocolo (el nuevo MSNP8/MSNP9).
El problema yo lo veo en otro sitio. Creo que igual que se han realizado
clientes q usan el protocolo de MSN a base de análisis de tráfico, se
podría realizar con esta nueva versión. El problema de esta nueva
versión (y si yo fuera diseñador lo haría así, aunque acepto todo tipo
de críticas constructivas ;) ) probáblemente usará SSL para cubrir gran
parte de su protocolo, de modo que no se pueda averiguar realmente cómo
funciona, a menos que nos dediquemos a romper SSL o a aprovechar algún
early-release de la implementación de SSL que use el nuevo protocolo MSN
para poder averigüar qué hace realmente. Aún así, siempre se puede
volver a modificar el protocolo una vez que se parche la implementación
de SSL, pero a costa de hacer incompatible el protocolo MSN y tener q
volver que a todos los clientes con el típico mensaje de "actualícese".
> La cuestion es... estos protocolos ahora usan SSL... (corregidme si me
> equivoco) SSL esta patentado, y por tanto no se podria utilizar en algun
> proyecto como un messenger que soporte el nuevo protocolo a menos que se
> paguen derechos de la patente... si esto no es cierto (que no lo se...),
> no deberia haber grandes problemas en implementar un msn compatible...
Creo que SSL no es propietario, pq OpenSSL lo implementa. En cualquier
caso, actualmente se suele usar TLS, que es un diseño parecido a SSL
recogido en un RFC e imagino q con un montón de implementaciones libres
(leves modificaciones en la parte de handshake y la eliminación de la
autenticación de cliente mediante certificados según lei hace poco).
More information about the hacking
mailing list