web de ghose (xmgz)Verificar dispositivos Jabber/XMPP
Por ghose , 11 Nov 2023, na categoría internet, seguridade
Por ghose , 11 Nov 2023, na categoría internet, seguridade
falouse estes días de atrás acerca dun ataque MITM ("alguén polo medio") ás usuarias dun servidor concreto de Jabber/XMPP. Un ataque MITM é cando unha terceira persoa accede por algún medio á conversa e se fai pasar por algunha das participantes, trátase dunha suplantación de identidade.
Normalmente é importante saber que estás a falar con quen cres que estás a falar 😄
Podes usar dispositivos sen verificar igual que fas no wastapp e non pasa nada (normalmente), pero para maior seguridade as aplicacións (prácticamente todas) teñen algún tipo de sistema para realizar esta verificación.
Jabber/XMPP ten un sistema integrado para verificar os clientes das usuarias e así evitar (ou complicar moito moito) que alguén poida suplantar a identidade da persoa coa que estamos a conversar.
Opino que non é claro e evidente, cando menos no clientes que uso no móbil, o xeito en que se verifican os dispositivos e se asegura a identidade da persoa coa que estás a conversar.
O que estamos a facer é asegurarnos de que o cliente (o dispositivo, o software) que está a usar a nosa interlocutora está realmente a ser usado por ela. Se alguén ten acceso físico a ese dispositivo é obvio que pode usalo e non saberíamos quen, que persoa, está a escribir. Se alguén che colle o móbil, abre a aplicación e escribe entón non podes saber quen a está a usar. Ese é outro escenario que non contempla este artigo e que se mitiga establecendo bloqueos de acceso ao móbil e/ou ás aplicacións.
A premisa da que partimos é a certeza, polo medio que fose, de que estás a falar neste intre coa persoa que pensas que é a correcta. É dicir, se estás físicamente ao seu carón sería o momento ideal para:
Se non estás fisicamente ao seu carón, entón deberás dispoñer de outro medio para que che faga chegar o código QR ou Impresión Dixital (código) que deberás verificar que concorda co mostrado no teu dispositivo. Uso a palabra dispositivo de xeito xenérico, refírome ao cliente que estás a usar.
"Outro medio" significa unha conversa que estades seguras as dúas partes non foi intervida como podería ser noutra aplicación (Signal, por exemplo) ou algo tan básico como podería ser unha páxina web que tes a certeza está controlada por esa persoa e que só esa persoa podería ter publicado aí a Impresión Dixital do seu dispositivo. A Impresión Dixital non identifica á persoa, só ao dispositivo, e fai que teñades a certeza de que as mensaxes que intercambiades pertencen aos dispositivos verificados.
Se existen sesións/dispositivos sen verificar que están a participar na conversa probablemente son dispositivos que vos pertencen, pero non tedes a certeza de que non sexan dispositivos controlados por terceiras persoas alleas.
Se pola razón que fose "desconfías dun dispositivo da outra persoa" entón podes retirarlle a confianza e non poderá ser usado para manter unha conversa (se así o estimas).
O máis seguro é facelo en presenza doutra persoa, por tanto, o dispositivo móbil é o método ideal.
No exemplo uso Conversations e monocles chat para mostrar o proceso de verificación.
O que acaba de pasar é que a túa interlocutora verificou o teu dispositivo. Intercambiando os roles estarás verificando o seu dispositivo. A partir de aquí podes eliminar da conversa os outros dispositivos que aparecen (na mesma pantalla) e a partir de entón todas as mensaxes intercambiadas chegarán desde dispositivos que sabedes con certeza que vos pertencen. Ou ben: podes realizar o mesmo proceso nos outros clientes.
