| Autore: Locutus | Data: 2005-08-14 |
| Modificato:
2005-10-29 |
Letture: 637 |
|
CRITTOGRAFIA APPLICATA SU CLIENTS IRCLa crittografia gioca un ruolo fondamentale nel mantenere segrete determinate informazioni, siano esse di carattere politico, privato o militare.
Ognuno di noi scambia giornalmente informazioni mediante computers, posta, fax, telefoni ecc... Tali informazioni ci possono sembrare inutili ma fidatevi, c'è sempre qualcuno intenzionato a farsi gli affari degli altri, sopratutto nell'era digitale dove ogni giorno vengono eseguite milioni di comunicazioni, transazioni, messaggi e quant'altro...
Immaginate se qualcuno potesse controllare tutte queste informazioni (vedi Echelon CIA/NSA) se sapesse ogni cosa di voi, il codice del vostro bancomat, il vostro numero di telefono i vostri gusti e preferenze. AL GIORNO D'OGGI CHI MANIPOLA LE INFORMAZIONI GOVERNA IL MONDO (e non è una fesseria...Pensateci).
A questo punto entra in gioko la crittologia, o meglio, la crittografia la quale si occupa di mantenere tali informazioni e transazioni al sicuro finchè non siano in mano del ricevente intenzionale.
Visto che lo scopo principale di questo articolo non è la crittografia di per sè (magari ne parlerò in un altro articolo) non vorrei deviare troppo dall'argomento principale, ossia, quello di applicare questa antica ma rinnovata tecnologia, alla nostra vita quotidiana precisamente in tutte le comunicazioni che effettuiamo mediante il nostro client mIRC Tante volte in passato mi sono chiesto se esistessero dei sistemi per chattare liberamente ed in sicurezza all'interno dei server irc, evitando che qualcuno spii le mie conversazioni direttamente dalla cht, dai logs dei servers, dalle statistiche web, oppure con qualche altro sistema + complesso quale il "tcp sniffing" :D. Lo so posso sembrare paranoico e/o esagerato ma credetemi utilizzando uno dei 2 script (di cui parlerò tra poco) potrete essere sicuri al 99% che le vostre conversazioni non vengano intercettate da malintenzionati.
Facendo delle ricerche accurate con Google non ho mai trovato nulla di interessante che soddisfasse quello che avevo immaginato. Colpito dalla paranoia dovevo creare qualcosa in grado di adempiere alle mie esigenze, ma non avendo nulla da cui partire (apparte la conoscenza dei principali sistemi di crittazione), provai a vedere se c'era la possibilità di lavorare su qualche progetto pre-esistente. Così ho trovato questi 2 scripts:
1) Rivest's Cipher 4 toolkit for mIRC32 2) mircCrypt Ver. 2.0 Il primo è un sistema molto valido consente la crittazione/decrittazione "on fly".
Utilizza una chiave privata (channel Key) personalizzabile per ogni finestra di chat, di query o privata. Critta con gli algoritmi CS1, CS2, RC4-256 bit (per maggiori info http://ciphersaber.gurus.com/cryptanalysis.html).
Se qualcuno volesse decrittare quello che scrivete dovrebbe prima capire che algoritmo state usando e poi cercare di trovare la Channel Key in uso magari con un brute-force (potrebbero volerci anni e computers potentissimi). Ora vediamo tutto in parole semplici: "Vi bastera caricare lo script, settare la chiave del canale (channel Key) e passarla a chi volete. Quest'ultimo sarà in grado di leggere e scrivere in maniera crittata; quello che scriverete in cht apparirà per gli altri utenti come un codice incomprensibile ma per i possessori della channel key sarà tutto comprensibile".
Una volta settata la channel key basterà solo attivare e disattivare la crittazione al momento opportuno. Sfortunatamente questo script presenta dei piccoli problemi/Bugs. Prima di tutto la libreria "rc4toolkit.dll" a volte viene letta come trojan dai sistemi antivirus, a causa del sistema che utilizza per interporsi nel sistema di comunicazione (scusate la ripetizione).
Seconda cosa molto importante: La Channel Key viene salvata visibile nelle variabili del vostro client, chi conosce mirc sa che questo può essere molto grave.
Questo sistema l'ho usato per molto tempo e essendomi accorto di queste 2 pekke ho cercato di rimediare. Il secondo script "mircCrypt Ver. 2.0" risulta avere tutti i bugs del primo script corretti: salva nelle variabili la channel key crittata con l'algoritmo Blowfish. La dll di crittazione non da problemi con gli antivirus. Ma sfortunatamente questo sembra avere dei punti deboli, il primo che mi è saltato all'okkio è come vengono crittate le parole nel chan. Es. DECRITTATO
prova algoritmo mircCrypt Ver. 2.0
CRITTATO
(C)*-y21oW.JyFDl1Zm10m.hISCG/JCwfy/tMPCX1CllWO.0e09i.T4tat0.fE.w1
DECRITTATO
seconda prova algoritmo mircCrypt Ver. 2.0
CRITTATO
(C)*-ptZZK/QSwoL.y21oW.JyFDl1Zm10m.hISCG/JCwfy/tMPCX1CllWO.0e09i.T4tat0.fE.w1 Ora chi è attento avrà notato che la crittazione inizia sempre con (C)*- questo è una pecca perchè da qui un malintenzionato potrebbe capire che sistema state usando e siccome questa applicazione è gratuita, potrebbe reperire i sorgenti e capire l'algoritmo in uso, ma gli resterebbe sempre da fare un brute-force per la channel key e come al solito richiederebbe troppe risorse. (w le para) Tirando le conclusioni se volete essere sicuri al 99% utilizzate mircCrypt Ver. 2.0 con una bella password composta da numeri e lettere, minimo 15 cifre. In fine la raccomandazione + importante è sempre:
<<ATTENTI A CHI DATE LE VOSTRE CHIAVI/INFORMAZIONI>>. Sperando che questo articolo sia utile a qualcuno vi rimando al mio indirizzo e-mail per qualsiasi chiarimento.
Grazie
Locutus [at] ilcovounderground [dot] net
| 
