La investigación, llevada a cabo por investigadores de Estados Unidos y Europa, muestra con todo lujo de detalles como es posible averiguar los archivos que están descargando los usuarios de Skype en BitTorrent. Bajo el título de Sé donde estás y lo que estás compartiendo, el informe muestra como el exploit permite el seguimiento de la ubicación de los usuarios.
#22:
#15 La idea es que pueden llamarte por Skype y descubrir tu ip. Una vez saben tu IP, te buscan en las redes p2p y ven qué estás descargando y compartiendo.
Hace años (¡hablo del siglo pasado!) eso se hacía en IRC. En las redes IRC que enmascaraban el host real del usuario (irc-hispano adoptó ese sistema) sólo tenías que mandar una petición DCC (chat o enviar archivo) y sacabas la IP de la otra persona (si aceptaba la conexión). Siempre podías confiar en que su cliente aceptaría automáticamente las peticiones DCC (¡mal!) o usar la ingeniería social ("tío, tío, ¡te paso una foto de Angelina Jolie desnuda!"). Una vez tenías la IP pues... Un ping flood o alguno de los exploits de entonces (mandar un paquete qué contenía ATH0 para colgar el modem).
Con messenger pasa algo similar, no puedes saber la IP de un usuario, a menos que le envíes un archivo y lances un sniffer para ver los datos que transmites y la IP de destino. De nuevo, o confías en que aceptará el archivo automáticamente, o usas la ingeniería social.
En ambos casos, sea el IRC o el Messenger, si sabes la IP, puedes saber qué descarga y qué comparte. Sólo tienes que buscar dicha IP en las redes p2p.
Quizás en el caso de Skype lo grave es que con sólo llamar a un usuario ya puedes obtener la IP, pero cualquier programa o protocolo que te permita averiguar la IP de sus usuarios tendrá el mismo problema.
El los propios clientes p2p puedes ver con quién estás intercambiando información (sus IPs), pero no sabes quién está detrás. Si puedes relacionar la IP con su dueño (ya sea por el bug de Skype, o triquiñuelas del IRC, Messenger, Facebook, o qué sé yo) es cuando surge el problema de privacidad.
#5:
¿Fallo? No creo que sea la palabra adecuada...
Salu2
#4:
Ah, las maravillas de protocolos y clientes cerrados nunca dejarán de sorprenderme, un año sin resolver y encima sin avisar a sus usuarios. Y también fatal por los investigadores por no publicarlo antes, mucho antes, una cosa es dar un tiempo lógico a la compañía para arreglarlo y otra un año entero.
#15:
¿¿?? No entiendo absolutamente nada de nada de la noticia.
¿Me puede alguien explicar cómo un exploit en un programa (Skype) puede mostrar el tráfico de un protocolo (BitTorrent) que ni siquiera es usado por el propio programa?
No tiene pies ni cabeza, la noticia no da absolutamente ninguna explicación y el paper que citan en el original son 14 páginas y no tengo tiempo de leérmelo ahora mismo.
Ah, las maravillas de protocolos y clientes cerrados nunca dejarán de sorprenderme, un año sin resolver y encima sin avisar a sus usuarios. Y también fatal por los investigadores por no publicarlo antes, mucho antes, una cosa es dar un tiempo lógico a la compañía para arreglarlo y otra un año entero.
¿¿?? No entiendo absolutamente nada de nada de la noticia.
¿Me puede alguien explicar cómo un exploit en un programa (Skype) puede mostrar el tráfico de un protocolo (BitTorrent) que ni siquiera es usado por el propio programa?
No tiene pies ni cabeza, la noticia no da absolutamente ninguna explicación y el paper que citan en el original son 14 páginas y no tengo tiempo de leérmelo ahora mismo.
#15 Skype tiene una caja de búsqueda para encontrar a usuarios de Skype, para ver si está tu amigo, etc. y si quieres, poder agregarlo.
Vale, con lo anterior ya obtienes una lista de usuarios. Lo que dicen que se puede hacer es llamar a esos usuarios sin necesidad de que ellos te hayan admitido y sin que ellos se enteren. Al poder llamarlos, tan pronto te conectas ya descubres sus ips porque Skype no camufla las ips. Tienes las ips, tienes sus ubicaciones.
A partir de aquí ya no lo entiendo, si alguien puede que arroje más luz.
#15 La idea es que pueden llamarte por Skype y descubrir tu ip. Una vez saben tu IP, te buscan en las redes p2p y ven qué estás descargando y compartiendo.
Hace años (¡hablo del siglo pasado!) eso se hacía en IRC. En las redes IRC que enmascaraban el host real del usuario (irc-hispano adoptó ese sistema) sólo tenías que mandar una petición DCC (chat o enviar archivo) y sacabas la IP de la otra persona (si aceptaba la conexión). Siempre podías confiar en que su cliente aceptaría automáticamente las peticiones DCC (¡mal!) o usar la ingeniería social ("tío, tío, ¡te paso una foto de Angelina Jolie desnuda!"). Una vez tenías la IP pues... Un ping flood o alguno de los exploits de entonces (mandar un paquete qué contenía ATH0 para colgar el modem).
Con messenger pasa algo similar, no puedes saber la IP de un usuario, a menos que le envíes un archivo y lances un sniffer para ver los datos que transmites y la IP de destino. De nuevo, o confías en que aceptará el archivo automáticamente, o usas la ingeniería social.
En ambos casos, sea el IRC o el Messenger, si sabes la IP, puedes saber qué descarga y qué comparte. Sólo tienes que buscar dicha IP en las redes p2p.
Quizás en el caso de Skype lo grave es que con sólo llamar a un usuario ya puedes obtener la IP, pero cualquier programa o protocolo que te permita averiguar la IP de sus usuarios tendrá el mismo problema.
El los propios clientes p2p puedes ver con quién estás intercambiando información (sus IPs), pero no sabes quién está detrás. Si puedes relacionar la IP con su dueño (ya sea por el bug de Skype, o triquiñuelas del IRC, Messenger, Facebook, o qué sé yo) es cuando surge el problema de privacidad.
#22 Muchas gracias. Eso es lo que me había parecido entender leyendo el abstract, pero no quería meter la pata. Tal y como está redactada la noticia por los profesionales de ALT1040 parece dar a entender que hay alguna relación entre Skype y BitTorrent cuando no es así, de hecho estaba por votar la noticia 'sensacionalista'. No lo voy a hacer a estas alturas porque ya está en portada, pero poner "Fallo en Skype permite el seguimiento de descargas en BitTorrent desde hace un año" me parece tremendamente sensacionalista, aunque técnicamente sea cierto.
Aquí el problema es que Skype deja averiguar tu dirección IP con facilidad, y que esa IP está asociada (en ese momento) con tu nombre y apellidos, que son fácilmente obtenibles en Skype. El riesgo, por tanto, es el mismo sea cual sea la forma en que se averigüe tu IP (y nombre). Lo del BitTorrent es un ejemplo que han utilizado los del paper para mostrar qué se puede hacer sabiendo la IP de una persona, pero no tiene ninguna relación con Skype en sí.
#22 Exacto, por lo que he visto es que el fallo permite a un usuario averiguar la IP de otro usuario de skype sin que este se entere. Todo lo demás que viene de p2p viene derivado de tener una IP, sea por skype, irc, al azar o por ingenieria social.
#34 Como que en linux no se usa el Skype original?, Si que es una versión diferente, mas antigua, por lo que puede haber ciertos cambios, pero sigue siendo el Skype cerrado y original de siempre
#30 Leete la noticia.. habla de que consiguen las direcciones IP a traves de Skype y luego buscan en trackers y herramientas asi. Pero bueno es meneame, no vamos a pedir a la gente que lea las noticias...
Para #32. Es cierto que no he leido el informe de la noticia por falta de tiempo. En cualquier caso lo que digo en #30 no deja de ser válido, al menos en la parte en la que apunto la posibilidad de utilizar programas clientes para bajar torrents desde una distribución Gnu/Linux, ya que en Gnu/Linux no se utiliza el Skype original, con lo que no se corre el riesgo de su vulnerabilidad al anónimato de sus usuarios.
Tambíen el reducir el uso de Skype a activarlo solo cuando vayamos a usarlo creo que puede ayudar de momento, porque sospecho que el problema se acentua cuando se tiene Skype arrancando con Windows por defecto y ejecutándose continuamente en nuestros PCs.
#2 Bueno.. siempre tienen que poner excusas para hacer lo que les de la gana.. muchos se las creen y lo "permiten". En cualquier caso esto solo afectaría a los usuarios de Skype
Comentarios
¿Fallo? No creo que sea la palabra adecuada...
Salu2
#4 Efectivamente creo que un año es demasiado...
Aunque como hacen ver #5 y #6 puede que se trate de motivaciones "patrióticas"
Ah, las maravillas de protocolos y clientes cerrados nunca dejarán de sorprenderme, un año sin resolver y encima sin avisar a sus usuarios. Y también fatal por los investigadores por no publicarlo antes, mucho antes, una cosa es dar un tiempo lógico a la compañía para arreglarlo y otra un año entero.
¿Fallo? Si, como la muerte de Gadafi...XD
Sí, claro, es un fallo
¿¿?? No entiendo absolutamente nada de nada de la noticia.
¿Me puede alguien explicar cómo un exploit en un programa (Skype) puede mostrar el tráfico de un protocolo (BitTorrent) que ni siquiera es usado por el propio programa?
No tiene pies ni cabeza, la noticia no da absolutamente ninguna explicación y el paper que citan en el original son 14 páginas y no tengo tiempo de leérmelo ahora mismo.
#15 Skype tiene una caja de búsqueda para encontrar a usuarios de Skype, para ver si está tu amigo, etc. y si quieres, poder agregarlo.
Vale, con lo anterior ya obtienes una lista de usuarios. Lo que dicen que se puede hacer es llamar a esos usuarios sin necesidad de que ellos te hayan admitido y sin que ellos se enteren. Al poder llamarlos, tan pronto te conectas ya descubres sus ips porque Skype no camufla las ips. Tienes las ips, tienes sus ubicaciones.
A partir de aquí ya no lo entiendo, si alguien puede que arroje más luz.
#15 La idea es que pueden llamarte por Skype y descubrir tu ip. Una vez saben tu IP, te buscan en las redes p2p y ven qué estás descargando y compartiendo.
Hace años (¡hablo del siglo pasado!) eso se hacía en IRC. En las redes IRC que enmascaraban el host real del usuario (irc-hispano adoptó ese sistema) sólo tenías que mandar una petición DCC (chat o enviar archivo) y sacabas la IP de la otra persona (si aceptaba la conexión). Siempre podías confiar en que su cliente aceptaría automáticamente las peticiones DCC (¡mal!) o usar la ingeniería social ("tío, tío, ¡te paso una foto de Angelina Jolie desnuda!"). Una vez tenías la IP pues... Un ping flood o alguno de los exploits de entonces (mandar un paquete qué contenía ATH0 para colgar el modem).
Con messenger pasa algo similar, no puedes saber la IP de un usuario, a menos que le envíes un archivo y lances un sniffer para ver los datos que transmites y la IP de destino. De nuevo, o confías en que aceptará el archivo automáticamente, o usas la ingeniería social.
En ambos casos, sea el IRC o el Messenger, si sabes la IP, puedes saber qué descarga y qué comparte. Sólo tienes que buscar dicha IP en las redes p2p.
Quizás en el caso de Skype lo grave es que con sólo llamar a un usuario ya puedes obtener la IP, pero cualquier programa o protocolo que te permita averiguar la IP de sus usuarios tendrá el mismo problema.
El los propios clientes p2p puedes ver con quién estás intercambiando información (sus IPs), pero no sabes quién está detrás. Si puedes relacionar la IP con su dueño (ya sea por el bug de Skype, o triquiñuelas del IRC, Messenger, Facebook, o qué sé yo) es cuando surge el problema de privacidad.
#22 Muchas gracias. Eso es lo que me había parecido entender leyendo el abstract, pero no quería meter la pata. Tal y como está redactada la noticia por los profesionales de ALT1040 parece dar a entender que hay alguna relación entre Skype y BitTorrent cuando no es así, de hecho estaba por votar la noticia 'sensacionalista'. No lo voy a hacer a estas alturas porque ya está en portada, pero poner "Fallo en Skype permite el seguimiento de descargas en BitTorrent desde hace un año" me parece tremendamente sensacionalista, aunque técnicamente sea cierto.
Aquí el problema es que Skype deja averiguar tu dirección IP con facilidad, y que esa IP está asociada (en ese momento) con tu nombre y apellidos, que son fácilmente obtenibles en Skype. El riesgo, por tanto, es el mismo sea cual sea la forma en que se averigüe tu IP (y nombre). Lo del BitTorrent es un ejemplo que han utilizado los del paper para mostrar qué se puede hacer sabiendo la IP de una persona, pero no tiene ninguna relación con Skype en sí.
#22 Exacto, por lo que he visto es que el fallo permite a un usuario averiguar la IP de otro usuario de skype sin que este se entere. Todo lo demás que viene de p2p viene derivado de tener una IP, sea por skype, irc, al azar o por ingenieria social.
Más información aunque en inglés: http://torrentfreak.com/security-flaw-links-bittorrent-users-to-skype-accounts-111020/
La investigación: http://es.scribd.com/doc/69593950/Skype
#34 Como que en linux no se usa el Skype original?, Si que es una versión diferente, mas antigua, por lo que puede haber ciertos cambios, pero sigue siendo el Skype cerrado y original de siempre
Totalmente de acuerdo con tu 2º parrafo
Para #35. Por el momento no he usado la version de Skype para Gnu/Linux, tampoco creo haberla visto en los repositorios de Ubuntu.
#36 No sé si está en los repositorios de Ubuntu pero donde seguro que está es en la página de Skype.
http://www.skype.com/intl/es/get-skype/on-your-computer/linux/
Creo que me lo voy a desinstalar, que no lo uso.
Desinstalando.
Ekiga es una alternativa a Skype de código abierto.
he is whaching you
Lo mismo Sinde tiene Skype, sería curioso descubrirla descargando algo.
es que skype es chungo, se conecta por donde le da la gana, no usa los puertos standars.
#25 Hace tiempo Skype usaba los PC de la gente conectada como proxy, no se si sigue.
http://www.mmadrigal.com/algunas-notas-sobre-skype/
skype nunca me ha gustado.. tanto secretismo con su código....
open source forever !
Duda de ignorante: ¿es sólo en Windows?
#8 Si es un fallo del protocolo, supongo que será en todas las plataformas.
Probablemente la solución pase por no tener el cliente de torrents y el Skype corriendo a la vez.
Instalando un Gnu/Linux, Ubuntu es una gran opción, como segundo sistema operativo, cualquier cliente de torrents para Gnu/Linux evita este problema.
#30 Leete la noticia.. habla de que consiguen las direcciones IP a traves de Skype y luego buscan en trackers y herramientas asi. Pero bueno es meneame, no vamos a pedir a la gente que lea las noticias...
Para #32. Es cierto que no he leido el informe de la noticia por falta de tiempo. En cualquier caso lo que digo en #30 no deja de ser válido, al menos en la parte en la que apunto la posibilidad de utilizar programas clientes para bajar torrents desde una distribución Gnu/Linux, ya que en Gnu/Linux no se utiliza el Skype original, con lo que no se corre el riesgo de su vulnerabilidad al anónimato de sus usuarios.
Tambíen el reducir el uso de Skype a activarlo solo cuando vayamos a usarlo creo que puede ayudar de momento, porque sospecho que el problema se acentua cuando se tiene Skype arrancando con Windows por defecto y ejecutándose continuamente en nuestros PCs.
Se podría cambiar 'Fallo' por 'Presunto fallo' o por "Fallo" (entre comillas). Porque vamos...
Oh mierda, saben que soy adicto al porno.
Pues yo ya no sé porque los gobernantes ponen excusas con la pedofilia para controlar internet si ya tienen estos métodos.
#2 Bueno.. siempre tienen que poner excusas para hacer lo que les de la gana.. muchos se las creen y lo "permiten". En cualquier caso esto solo afectaría a los usuarios de Skype
¿¿¿???
Ballmer a los fanáticos de Skype: "Pueden confiar en nosotros” [ENG]
go.php?id=1255008
#12 #11 Si claro, porque todo el mundo sabe que Skype fue adquirida por Microsoft e inmediatamente generó un error que se envió hacia el pasado
#13 En apple lo llaman Time Machine
Para que critican a RS y su defensa del software libre, aquí tienen un ejemplo de los peligros del software propietario.
Es de microsoft, lo raro es que no sea una "feature"
... MS todo lo que toca ...
(vale, si excepto el Office que le tengo aun un poco de respeto)