Resurgen las especulaciones sobre posibles puertas traseras en Skype

Enviado por admin el 24. Julio 2008 - 19:10.

El origen de este resurgimiento está en las recientes declaraciones de responsables austríacos del Ministerio del Interior en el sentido de que para ellos no representa ningún problema acceder a conversaciones cifradas bajo Skype.

La respuesta de Skype ha sido muy escueta: no tienen nada que comentar sobre especulaciones.

No es la primera vez que se habla de esto, y una vez más queda al criterio de cada cual pensar si los cuerpos policiales van de farol (evitando así que se utilice Skype, que quizás podría suponerles un inconveniente en su trabajo) o si Skype en efecto dispone de un agujero a la medida de los cuerpos de seguridad...

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Skype? no, gracias...

Enviado por anónimo el 24. Julio 2008 - 20:31.

Skype nunca ha ocultado que utiliza tu PC y tu conexión de banda ancha para enrutar tráfico que no es tuyo. De hecho, está en el EULA.

Después de leer un análisis del protocolo Skype hace varios años, no lo he vuelto a utilizar.

Para mis comunicaciones VoIP utilizo Asterisk corriendo bajo Linux, junto con un teléfono DECT multi terminal Siemens Gigaset C450IP, que es dual: línea telefónica normal y SIP por ethernet. Es algo antiguo y ya hay modelos más modernos. Por cierto, toda esa línea de teléfonos tienen firmware basado en Linux y el código fuente está disponible.

Pago a un par de provedores de llamadas salientes (tipo pre-pago con PayPal) para mis llamadas internacionales (alrededor de 1 céntimo de dólar estadounidense por minuto) y varios provedores gratuitos me dan números locales en varias ciudades para que me llamen desde las mismas al coste de una llamada local. Todo ésto parece bastante complicado, pero con Asterisk escondes toda esa complejidad y utilizo mi teléfono como cualquier otro.

Un cordial saludo,
Andy

Entrada interesante... Jautu?

Enviado por moko el 25. Julio 2008 - 7:14.

Tu entrada es muy interesante.¿No tendrías ganas y tiempo de escribir un "how-to"?

Un cordial saludo,

Moko.

Pues no se yo...

Enviado por anónimo el 25. Julio 2008 - 13:00.

Ganas no me faltan. Tiempo si.

Escribir un how-to de como tengo mi instalación resultaría una tarea extenuante.

Para comenzar, yo siempre bajo los fuentes de Asterisk, los compilo y los instalo yo mismo. Para configurar Asterisk a pelo, pues decirte que hay más de 60 ficheros de texto (.conf). Esto no sería tan grave, sino que para realmente entender lo que estas haciendo (y por lo tanto saber qué cambiar y cómo) es necesario tener al menos algunos conocimientos o experiencia en telefonía.

Cada instalación es distinta y hay muchas decisiones que tomar como los planes de numeración, la cantidad de extensiones a instalar, si tienes o no hardware especializado, los provedores de llamadas entrantes y salientes que eliges, la configuración de mensajes de voz (contestadora) y un largo etcétera, por lo que sería prácticamente imposible hacer un documento que cubra todas las necesidades.

Aún asi, no todo está perdido.

Si lo que quieres es reemplazar Skype, simplemente puedes bajar un softphone que gestione protocolo SIP e instalarlo en tu PC (este es sólo un ejemplo, hay decenas). Luego es cosa de buscar y seleccionar el mejor provedor de VoIP para el país de destino al que quieras llamar, lo que te va a permitir hacer y/o recibir llamadas telefónicas entre tu PC y cualquier teléfono "normal", ya sea fijo o móvil. Aquí tienes una lista de provedores de servicio que de ningún modo es exhaustiva (por ejemplo, uno de los provedores que más utilizo no aparece allí). Ten mucho cuidado con las ofertas "gratis", ya que las mismas cambian sin previo aviso y lo que hasta ayer era gratis a menudo hoy ya no lo es.

Adicionalmente, puedes darte de alta en uno o más provedores de servicio SIP gratuitos, y podrás hacer y recibir llamadas a otros usuarios del mismo servicio y muy a menudo, a usuarios de otros servicios gratuitos. Algunos de estos servicios permiten llamar en forma gratuita a números "gratis" como los 1-800 de USA o los "800" de UK.

También, en vez de (o además de) instalar un softphone en tu PC puedes revisar algunos de los teléfonos "duales" que he pasado en el otro post (mira por ejemplo los que ponen "Gigaset" en este link) y comprar alguno de los que venden actualmente. Estos teléfonos tienen una toma RJ-11 y otra RJ-45, para conectar a la vez a la línea fija y a la red ethernet interna de tu casa. No hace falta instalar Asterisk para sacarles provecho y utilizarlos al 100%, con la ventaja que tienes un teléfono inalámbrico "normal" lo que te da más libertad para hablar sin estar atado al PC. También puedes agregar varios teléfonos supletorios utilizando la misma base y como son "duales" puedes hacer una llamada por la línea telefónica normal desde una extensión, mientras desde otra extensión puedes estar hablando por VoIP utilizando los mismos provedores que utilizarías con un softphone (y hay teléfonos que soportan varias conversaciones VoIP simultáneas desde varias extensiones). Por último, es MUCHO más fácil hacer que personas sin experiencia utilicen un teléfono "normal" para hablar por VoIP (si te lo curras un poco con la agenda, ni se dan cuenta que es VoIP) que esperar que éstas utilicen un softphone en un PC, especialmente para recibir llamados.

Si aún así te empeñas en instalar Asterisk, te recomiendo que mires Tribox que es al Asterisk algo así como Ubuntu es al Linux. Viene con una interfaz gráfica que te permite administrar el sistema sin necesidad de bajar al nivel de modificar los ficheros .conf.

Para estar en línea con la temática de este site, aquí puedes encontrar información sobre seguridad en VoIP.

Hay decenas de otras maneras de hacer las cosas. He puesto sólo un par de ellas, más o menos lo que considero más práctico dentro de lo que conozco. Pero no tiene que ser así para tí. Puedes investigar el tema con más profundidad y hacer algo totalmente diferente, pero aún así totalmente válido e interoperable con otras soluciones.

Para terminar, a mi juicio el mejor site de información sobre estos temas es:
http://www.voip-info.org/
Aquí encontrarás información sobre lo que he estado hablando y muchísimo más.

Un cordial saludo,
Andy

PD: Pido disculpas al admin por el tamaño del post, que además es un poco off-topic y está lleno de links, y al resto de los lectores por el estilo algo caótico del mismo. También dejar claro que el hecho de incluír un link en este post no expresa mi recomendación ni preferencia por el producto o servicio enlazado y obviamente no me hago responsable por cualquier resultado obtenido siguiendo los mismos.

Algunas cosas no han cambiado...

Enviado por anónimo el 25. Julio 2008 - 15:45.

¿Se pueden espiar tus comunicaciones si no utilizas Skype? Sí porque todos hemos visto "pelis" en las que se pinchan teléfonos. En ese sentido, puede que Skype no nos guste pero no es peor que lo que ya teníamos. Lo que creo que tenemos que ver es:

a) Si Skype, manteniendo ese punto débil, nos soluciona otros aspectos y yo creo que eso depende de cada uno y de sus necesidades.

b) Si nos preocupa tanto ser espiados, buscar herramientas que nos ayuden a evitarlo. Pero me parece excesivo volver periódicamente sobre el tema de si Skype tiene o no puertas traseras. Para mi, la noticia sería que se demostrara que Skype no tiene puerta trasera ya que lo anterior no me extraña lo más mínimo.

Es posible que si hayan cambiado

Enviado por anónimo el 25. Julio 2008 - 17:58.

En ese sentido, puede que Skype no nos guste pero no es peor que lo que ya teníamos.

Puede ser que lo que dices sea cierto para móviles, pero si con lo que "ya teníamos" te refieres a la línea telefónica de toda la vida, entonces te equivocas.

Con una línea "normal" hay unos pocos puntos que puedes interceptar para "pinchar" una comunicación telefónica, la mayoría de los cuales requiere proximidad física o ser tu provedor de telefonía (el teléfono, el cableado de la casa, el concentrador del edificio, el cableado de la calle o la oficina telefónica).

Con VoIP o Skype hay infinidad de puntos de intercepción, muchos de ellos explotables en remoto:

- El programa. Skype puede tener puertas traseras explotables en remoto. Desde enviar el audio a un tercero a grabar la comunicación en un archivo oculto para su envío posterior.

- El PC. Se puede hackear el PC y hacer todo tipo de actividades espía sin conocimiento del usuario. Aunque el programa VoIP sea seguro y encripte las comunicaciones, se puede tomar la entrada de micrófono y la salida de altavoz y espiar eso.

- El router ADSL/cable. Muchos routers son WiFi y algunos de ellos hasta envían el tráfico que reciben desde la interfaz ethernet por WiFi, permitiendo escuchas remotas.

- El ISP. Aquí si que estamos igual que antes. Tanto el ISP como tu operador telefónico "ve" todo el tráfico que sale de tu casa, por lo que puede escucharte en cualquier momento.

- El provedor VoIP. Este es nuevo. Aquí tienes una empresa privada, muchas veces fuera de tu propio país, que tiene acceso al tráfico sin necesidad de acercarse a tu casa y, contrariamente a lo que pasa con tu ISP, este tiene la capacidad de escuchar tus llamadas aunque esten encriptadas. La regulación legal de estas empresas deja mucho que desear.

. Operadores intermnedios. Si bien esta figura existe en el mundo de la telefonia "normal", en VoIP puede haber más jugadores ya que se pueden usar proxies de terceras partes o enrutar las comunicaciones por redes especiales como TOR. Cualquiera de estos nodos tiene acceso a tu tráfico. En el caso particular de Skype, se sabe que enruta comunicaciones utilizando PCs de otros usuarios, por lo que cuando hablas con alguien por Skype es posible que tu comunicación pase por los PCs de varios usuarios desconocidos.

- Otros. En vista de las últimas vulnerabilidades DNS se podría, por ejemplo, redirigir a tu cliente VoIP para que se comunique con un servidor que no es el de tu provedor VoIP. Más o menos lo mismo que se puede hacer con los websites, pero para llamadas telefónicas.

- Aún más. Hay terminales VoIP de hardware con vulnerabilidades conocidas. Por ejemplo, se sabe de teléfonos SIP a los que se puede activar el micrófono y hacer que envíen el audio en forma remota, sin que el usuario vea ninguna indicación luminosa o por pantalla. Fantástico para salas de reuniones en empresas...

Ya ves que las comunicaciones VoIP son mucho más vulnerables que las comunicaciones con teléfonos fijos tradicionales, por lo que hay que tener mucho más cuidado en éstos casos.

Con respecto a la telefonía móvil, hay cientos de teorías conspiranoicas sobre que se puede utilizar un terminal GSM para espiar a su propietario sin ninguna indicación externa, aún sin el SIM y aún sin batería (cosa que dudo).

Saludos,
Andy

Efectivamente

Enviado por admin el 25. Julio 2008 - 18:01.

Me permito traer de nuevo a colación este post:

http://www.kriptopolis.org/seguridad-en-voip

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...