303 meneos
2092 clics

Fallo en Skype permite el seguimiento de descargas en BitTorrent desde hace un año

alt1040.com/2011/10/fallo-en-skype-permite-el-seguimiento... 
por Neo2021 el 21-10-2011 14:07 UTC publicado: 21-10-2011 16:35 UTC
La investigación, llevada a cabo por investigadores de Estados Unidos y Europa, muestra con todo lujo de detalles como es posible averiguar los archivos que están descargando los usuarios de Skype en BitTorrent. Bajo el título de Sé donde estás y lo que estás compartiendo, el informe muestra como el exploit permite el seguimiento de la ubicación de los usuarios.
etiquetas: fallo, skype, permite, seguimiento, descargas, bittorrent
negativos: 0   usuarios: 136   anónimos: 167  
compartir:  twitter  facebook  tuenti  
37comentarios tecnología, investigación karma: 505
  1. #1   Más información aunque en inglés: torrentfreak.com/security-flaw-links-bittorrent-users-to-skype-account
    La investigación: es.scribd.com/doc/69593950/Skype
    41  votos: 4   link
    el 21-10-2011 14:09 UTC por Neo2021 Neo2021
  2. #2   Pues yo ya no sé porque los gobernantes ponen excusas con la pedofilia para controlar internet si ya tienen estos métodos.
    6  votos: 0   link
    el 21-10-2011 14:09 UTC por Resa Resa
  3. #3   #2 Bueno.. siempre tienen que poner excusas para hacer lo que les de la gana.. muchos se las creen y lo "permiten". En cualquier caso esto solo afectaría a los usuarios de Skype
    14  votos: 1   link
    el 21-10-2011 14:13 UTC por Neo2021 Neo2021
  4. #4   Ah, las maravillas de protocolos y clientes cerrados nunca dejarán de sorprenderme, un año sin resolver y encima sin avisar a sus usuarios. Y también fatal por los investigadores por no publicarlo antes, mucho antes, una cosa es dar un tiempo lógico a la compañía para arreglarlo y otra un año entero.
    95  votos: 11   link
    el 21-10-2011 14:13 UTC por Devlin Devlin
  5. #5   ¿Fallo? No creo que sea la palabra adecuada...

    Salu2
    227  votos: 27   link
    el 21-10-2011 14:13 UTC por Nova6K0 Nova6K0
  6. #6   ¿Fallo? Si, como la muerte de Gadafi...XD
    69  votos: 7   link
    el 21-10-2011 14:13 UTC por sacreew sacreew
  7. #7   #4 Efectivamente creo que un año es demasiado...

    Aunque como hacen ver #5 y #6 puede que se trate de motivaciones "patrióticas"
    21  votos: 2   link
    el 21-10-2011 14:20 UTC por Neo2021 Neo2021
  8. #8   Duda de ignorante: ¿es sólo en Windows?
    10  votos: 0   link
    el 21-10-2011 14:28 UTC por perrida2011 perrida2011
  9. #9   #8 Si es un fallo del protocolo, supongo que será en todas las plataformas.
    43  votos: 4   link
    el 21-10-2011 14:49 UTC por IPanonima IPanonima
  10. #10   ... MS todo lo que toca ...
    (vale, si excepto el Office que le tengo aun un poco de respeto)
    -18  votos: 5   link
    el 21-10-2011 15:12 UTC por SkaWorld SkaWorld
  11. #11   Es de microsoft, lo raro es que no sea una "feature"
    -9  votos: 6   link
    el 21-10-2011 15:13 UTC por ralph ralph
  12. #12   ¿¿¿???

    Ballmer a los fanáticos de Skype: "Pueden confiar en nosotros” [ENG]

    www.meneame.net/backend/go.php?id=1255008
    4  votos: 4   link
    el 21-10-2011 15:27 UTC por --163363-- --163363--
  13. #13   #12 #11 Si claro, porque todo el mundo sabe que Skype fue adquirida por Microsoft e inmediatamente generó un error que se envió hacia el pasado ¬¬
    46  votos: 6   link
    el 21-10-2011 15:35 UTC por --282500-- --282500--
  14. #14   Se podría cambiar 'Fallo' por 'Presunto fallo' o por "Fallo" (entre comillas). Porque vamos...
    9  votos: 0   link
    el 21-10-2011 15:44 UTC por FrIkI FrIkI
  15. #15   ¿¿?? No entiendo absolutamente nada de nada de la noticia.

    ¿Me puede alguien explicar cómo un exploit en un programa (Skype) puede mostrar el tráfico de un protocolo (BitTorrent) que ni siquiera es usado por el propio programa?

    No tiene pies ni cabeza, la noticia no da absolutamente ninguna explicación y el paper que citan en el original son 14 páginas y no tengo tiempo de leérmelo ahora mismo.
    49  votos: 4   link
    el 21-10-2011 16:00 UTC por joseluis joseluis
  16. #16   Ekiga es una alternativa a Skype de código abierto.
    21  votos: 2   link
    el 21-10-2011 16:37 UTC por nacho_lobez nacho_lobez
  17. #17   Desinstalando.
    22  votos: 2   link
    el 21-10-2011 16:39 UTC por frankiejcr frankiejcr
  18. #18   Creo que me lo voy a desinstalar, que no lo uso.
    23  votos: 2   link
    el 21-10-2011 16:45 UTC por Hadalwolf Hadalwolf
  19. #19   #15 Skype tiene una caja de búsqueda para encontrar a usuarios de Skype, para ver si está tu amigo, etc. y si quieres, poder agregarlo.

    Vale, con lo anterior ya obtienes una lista de usuarios. Lo que dicen que se puede hacer es llamar a esos usuarios sin necesidad de que ellos te hayan admitido y sin que ellos se enteren. Al poder llamarlos, tan pronto te conectas ya descubres sus ips porque Skype no camufla las ips. Tienes las ips, tienes sus ubicaciones.

    A partir de aquí ya no lo entiendo, si alguien puede que arroje más luz.
    10  votos: 0   link
    el 21-10-2011 16:51 UTC por kadmon kadmon
  20. #20   Sí, claro, es un fallo  media
    53  votos: 5   link
    el 21-10-2011 16:52 UTC por si_claro si_claro
  21. #21   Lo mismo Sinde tiene Skype, sería curioso descubrirla descargando algo. xD
    15  votos: 1   link
    el 21-10-2011 16:53 UTC por Sir_Rai Sir_Rai
  22. #22   #15 La idea es que pueden llamarte por Skype y descubrir tu ip. Una vez saben tu IP, te buscan en las redes p2p y ven qué estás descargando y compartiendo.

    Hace años (¡hablo del siglo pasado!) eso se hacía en IRC. En las redes IRC que enmascaraban el host real del usuario (irc-hispano adoptó ese sistema) sólo tenías que mandar una petición DCC (chat o enviar archivo) y sacabas la IP de la otra persona (si aceptaba la conexión). Siempre podías confiar en que su cliente aceptaría automáticamente las peticiones DCC (¡mal!) o usar la ingeniería social ("tío, tío, ¡te paso una foto de Angelina Jolie desnuda!"). Una vez tenías la IP pues... Un ping flood o alguno de los exploits de entonces (mandar un paquete qué contenía ATH0 para colgar el modem).

    Con messenger pasa algo similar, no puedes saber la IP de un usuario, a menos que le envíes un archivo y lances un sniffer para ver los datos que transmites y la IP de destino. De nuevo, o confías en que aceptará el archivo automáticamente, o usas la ingeniería social.

    En ambos casos, sea el IRC o el Messenger, si sabes la IP, puedes saber qué descarga y qué comparte. Sólo tienes que buscar dicha IP en las redes p2p.

    Quizás en el caso de Skype lo grave es que con sólo llamar a un usuario ya puedes obtener la IP, pero cualquier programa o protocolo que te permita averiguar la IP de sus usuarios tendrá el mismo problema.

    El los propios clientes p2p puedes ver con quién estás intercambiando información (sus IPs), pero no sabes quién está detrás. Si puedes relacionar la IP con su dueño (ya sea por el bug de Skype, o triquiñuelas del IRC, Messenger, Facebook, o qué sé yo) es cuando surge el problema de privacidad.
    309  votos: 36   link
    el 21-10-2011 16:58 UTC por devotee devotee
  23. #23   #22 Muchas gracias. Eso es lo que me había parecido entender leyendo el abstract, pero no quería meter la pata. Tal y como está redactada la noticia por los profesionales de ALT1040 parece dar a entender que hay alguna relación entre Skype y BitTorrent cuando no es así, de hecho estaba por votar la noticia 'sensacionalista'. No lo voy a hacer a estas alturas porque ya está en portada, pero poner "Fallo en Skype permite el seguimiento de descargas en BitTorrent desde hace un año" me parece tremendamente sensacionalista, aunque técnicamente sea cierto.

    Aquí el problema es que Skype deja averiguar tu dirección IP con facilidad, y que esa IP está asociada (en ese momento) con tu nombre y apellidos, que son fácilmente obtenibles en Skype. El riesgo, por tanto, es el mismo sea cual sea la forma en que se averigüe tu IP (y nombre). Lo del BitTorrent es un ejemplo que han utilizado los del paper para mostrar qué se puede hacer sabiendo la IP de una persona, pero no tiene ninguna relación con Skype en sí.
    20  votos: 1   link
    el 21-10-2011 17:08 UTC por joseluis joseluis
  24. #24   Para que critican a RS y su defensa del software libre, aquí tienen un ejemplo de los peligros del software propietario.
    3  votos: 1   link
    el 21-10-2011 17:32 UTC por asdfg asdfg
  25. #25   es que skype es chungo, se conecta por donde le da la gana, no usa los puertos standars.
    15  votos: 1   link
    el 21-10-2011 17:42 UTC por del_dan del_dan
  27. #27   skype nunca me ha gustado.. tanto secretismo con su código....
    open source forever !
    10  votos: 0   link
    el 21-10-2011 19:06 UTC por dac dac
  28. #28   #25 Hace tiempo Skype usaba los PC de la gente conectada como proxy, no se si sigue.

    www.mmadrigal.com/algunas-notas-sobre-skype/
    7  votos: 0   link
    el 21-10-2011 19:12 UTC por ann_pe ann_pe
  29. #29   #22 Exacto, por lo que he visto es que el fallo permite a un usuario averiguar la IP de otro usuario de skype sin que este se entere. Todo lo demás que viene de p2p viene derivado de tener una IP, sea por skype, irc, al azar o por ingenieria social.
    7  votos: 0   link
    el 21-10-2011 20:11 UTC por Razhan Razhan
  30. #30   Probablemente la solución pase por no tener el cliente de torrents y el Skype corriendo a la vez.

    Instalando un Gnu/Linux, Ubuntu es una gran opción, como segundo sistema operativo, cualquier cliente de torrents para Gnu/Linux evita este problema.
    10  votos: 0   link
    el 21-10-2011 20:12 UTC por frankiejcr frankiejcr
  32. #32   #30 Leete la noticia.. habla de que consiguen las direcciones IP a traves de Skype y luego buscan en trackers y herramientas asi. Pero bueno es meneame, no vamos a pedir a la gente que lea las noticias...
    9  votos: 0   link
    el 21-10-2011 20:31 UTC por Toran Toran
  33. #33   he is whaching you  media
    16  votos: 1   link
    el 22-10-2011 02:03 UTC por J.Javen J.Javen
  34. #34   Para #32. Es cierto que no he leido el informe de la noticia por falta de tiempo. En cualquier caso lo que digo en #30 no deja de ser válido, al menos en la parte en la que apunto la posibilidad de utilizar programas clientes para bajar torrents desde una distribución Gnu/Linux, ya que en Gnu/Linux no se utiliza el Skype original, con lo que no se corre el riesgo de su vulnerabilidad al anónimato de sus usuarios.

    Tambíen el reducir el uso de Skype a activarlo solo cuando vayamos a usarlo creo que puede ayudar de momento, porque sospecho que el problema se acentua cuando se tiene Skype arrancando con Windows por defecto y ejecutándose continuamente en nuestros PCs.
    10  votos: 0   link
    el 22-10-2011 12:46 UTC por frankiejcr frankiejcr
  35. #35   #34 Como que en linux no se usa el Skype original?, Si que es una versión diferente, mas antigua, por lo que puede haber ciertos cambios, pero sigue siendo el Skype cerrado y original de siempre

    Totalmente de acuerdo con tu 2º parrafo
    29  votos: 2   link
    el 22-10-2011 13:13 UTC por ann_pe ann_pe
  36. #36   Para #35. Por el momento no he usado la version de Skype para Gnu/Linux, tampoco creo haberla visto en los repositorios de Ubuntu.
    10  votos: 0   link
    el 22-10-2011 13:46 UTC por frankiejcr frankiejcr
  37. #37   #36 No sé si está en los repositorios de Ubuntu pero donde seguro que está es en la página de Skype.

    www.skype.com/intl/es/get-skype/on-your-computer/linux/
    22  votos: 1   link
    el 23-10-2011 07:38 UTC por ffuentes ffuentes
comentarios cerrados

menéame