Falla in Skype, indirizzi IP degli utenti in pericolo

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/falla-in-...olo_39760.html

Una semplice videochiamata permette di mettere a nudo il proprio indirizzo IP, rivelando così informazioni private. Una importante falla di sicurezza

Click sul link per visualizzare la notizia.

[NikyRipy]

Speriamo bene Anche se comunque se risiedo sempre a casa chi mi aggiunge su skype già sa dove abito XD

[maumau138]

Il problema grosso è sui telefoni e con gli IP statici, a me ad esempio l'indirizzo IP del PC di casa porta a 500 km di distanza.

[vynnstorm]

Certe volte mi chiedo se sia effettivamente cosi' difficile fixare tutti questi bug...

[Gringo90]

che poi mi domando... una volta scoperto dove abito e ce faccio.... che hanno risolto?
aspettiamo gli aggiornamenti va XD

[!fazz]

Quote:

Originariamente inviato da vynnstorm

Certe volte mi chiedo se sia effettivamente cosi' difficile fixare tutti questi bug...

forse perchè non è un bug? basta un minimo di conoscenza del tcp ip e aver usato skype per capire che non è un bug

[virus_101]

Quote:

Originariamente inviato da vynnstorm

Certe volte mi chiedo se sia effettivamente cosi' difficile fixare tutti questi bug...

Una risposta diretta : SI!

Tutto dipende da come viene eseguita la connessione tra gli utenti.
E ci sono problemi che richiedono la "soluzione geniale" .. e altri che con l'attuale struttura della rete sono "irrisolvibili" a meno di cambiare i protocolli.
Il problema fondamentalde dipend da come skype collega gli utenti, se fai la chiata online skype collega direttamente i due utenti e te per comunicare con il tuo amico hai bisogno del suo ip quindi tale indirizzo viene comunicato e pertanto diventa potenzialmente intercettabile. La cosa e' risolvibile, certo ma vai te a cambiare un software come skype nella sua struttura interna (dai server ai clients) per 170 milioni di persone/aziende... per non aprlare dei servers. Non dimentichiamoci dei vari update fallimentari fatti da skype negli ultimi anni.

Non e' semplice anzi e' sempre peggio e oggi come oggi la struttura del protocollo di comunicazione std usato in internet sta dimostrando tutto il suo vecchiume, considera che il protocollo e' stato inventato ed inserito prima degli anni 80 ... sono 30 anni che gira... e in 30 anni se ne scoprono di cose.
Tra l'altro il modello di base(il famigerato iso-osi a 7 livelli) e' stato inserito in parte nell'attuale protocollo di comunicazione tralasciando completamente tutta la parte di sicurezza che e' stata delegata allo strato applicazione ..
Insomma oggi si da tanto per scontata la connettività, e l'utilizzo della rete, ma se guardate bene come funziona tutto il sistema vi renderete conto di quanto complesso sia far comunicare 2 pc. 30 anni di sviluppo hanno il loro peso e oggi sembra tutto facile.(ti invito a dare un occhio al livello frame e poi dimmi se e' facile ..... )

[R0570]

Questa cosa fa quasi sorridere... che se ne fa uno dell'ip? Se è un privato cittadino con IP dinamico? praticamente meno di zero.
E se è statico?? Altrettanto!

Società e enti vari hanno firewall e IPS (meglio dire IDS ma non ditelo ai commerciali di tipping-point e co. che s'incazzano!) che, se ben configurati, innalzano non di poco il livello di protezione.

Se poi Skype avesse falle tali da permettere di usare le porte che apre per fini "osceni" allora il discorso cambierebbe.

[virus_101]

certo ma sistemi automatici di iniezione trojan / malware ?
fanno gia data mining di ip a random + porte figuarti avere la possibilità di brincare proprio l'ip che cerchi ... insomma e' come dire al bullo di turno "ti aspetto sotto casa mia" .... partendo dal presupposto che non sapiia l'indirizzo ... ma se non consideri che quando ti giri hai la medaglietta con scritto "questo zaindo e' di xxxx che abita in via le mani dal cu-lo 17 .-...

[R0570]

Quote:

Originariamente inviato da virus_101

certo ma sistemi automatici di iniezione trojan / malware ?
fanno gia data mining di ip a random + porte figuarti avere la possibilità di brincare proprio l'ip che cerchi ... insomma e' come dire al bullo di turno "ti aspetto sotto casa mia" .... partendo dal presupposto che non sapiia l'indirizzo ... ma se non consideri che quando ti giri hai la medaglietta con scritto "questo zaindo e' di xxxx che abita in via le mani dal cu-lo 17 .-...

Ok, sono d'accordo... ma i sistemi di iniezione si basano su vulnerabilità di altri software non di skype.

Intendevo solo dire che non la vedo come una "vulnerabilità" è solo un modo in più per conoscere l'IP di qualcuno... pensa te quanti webserver vedono il tuo IP ogni giorno senza che ciò che invii e ricevi sia in alcun modo crittografato, anche lì non hai garanzia di sicurezza e anche lì hai probabilità non nulla di poter collegare nome_vittima - ip.

Penserò troppo positivo ma non la vedo così clamorosa: più facile cadere vittima di un webserver "farlocco" che non di skype, imho.

[Encounter]

Quote:

Originariamente inviato da R0570

Ok, sono d'accordo... ma i sistemi di iniezione si basano su vulnerabilità di altri software non di skype.

Intendevo solo dire che non la vedo come una "vulnerabilità" è solo un modo in più per conoscere l'IP di qualcuno... pensa te quanti webserver vedono il tuo IP ogni giorno senza che ciò che invii e ricevi sia in alcun modo crittografato, anche lì non hai garanzia di sicurezza e anche lì hai probabilità non nulla di poter collegare nome_vittima - ip.

Penserò troppo positivo ma non la vedo così clamorosa: più facile cadere vittima di un webserver "farlocco" che non di skype, imho.

Già, molto rumore per nulla.

[Family Guy]

Quote:

Originariamente inviato da R0570

Questa cosa fa quasi sorridere... che se ne fa uno dell'ip? Se è un privato cittadino con IP dinamico? praticamente meno di zero.
E se è statico?? Altrettanto!

Società e enti vari hanno firewall e IPS (meglio dire IDS ma non ditelo ai commerciali di tipping-point e co. che s'incazzano!) che, se ben configurati, innalzano non di poco il livello di protezione.

Se poi Skype avesse falle tali da permettere di usare le porte che apre per fini "osceni" allora il discorso cambierebbe.

Nell'articolo mi pare sia spiegato bene:

"Secondo quanto riportato da questa analisi, infatti, il problema sarebbe relativo alla videochiamata: i ricercatori avrebbero infatti iniziato oltre 10 mila chiamate casuali attraverso Skype e, anche qualora l'utente non rispondesse, l'IP sarebbe stato facilmente recuperato. Non sarebbe, pertanto, nemmeno necessaria una risposta per rendere potenzialmente disponibile, ad un utente esterno, il proprio indirizzo IP.

Avere a disposizione un indirizzo IP, per utenti malintenzionati, può significare avere maggiori informazioni circa il proprio ed eventuale bersaglio, andando così a recuperare maggiori informazioni. I ricercatori, durante la loro analisi, sono stati così in grado di seguire gli spostamenti di un utente Skype, che ha viaggiato in tre differenti città. Le implicazioni di una simile falla di sicurezza sono, ovviamente, importanti."

Visto che skype viene ormai utilizzato frequentemente anche da smartphone, sfruttando questo sistema un "malintenzionato" potrebbe controllare la tua posizione senza che tu possa far nulla (a parte smettere di usare skype...).

Quote:

Originariamente inviato da R0570

Intendevo solo dire che non la vedo come una "vulnerabilità" è solo un modo in più per conoscere l'IP di qualcuno... pensa te quanti webserver vedono il tuo IP ogni giorno senza che ciò che invii e ricevi sia in alcun modo crittografato, anche lì non hai garanzia di sicurezza e anche lì hai probabilità non nulla di poter collegare nome_vittima - ip.

Per sapere il tuo IP sei TU che ti devi connettere al server, al contrario di quello che avviene con skype

[virus_101]

Quote:

Originariamente inviato da R0570

Ok, sono d'accordo... ma i sistemi di iniezione si basano su vulnerabilità di altri software non di skype.

Intendevo solo dire che non la vedo come una "vulnerabilità" è solo un modo in più per conoscere l'IP di qualcuno... pensa te quanti webserver vedono il tuo IP ogni giorno senza che ciò che invii e ricevi sia in alcun modo crittografato, anche lì non hai garanzia di sicurezza e anche lì hai probabilità non nulla di poter collegare nome_vittima - ip.

Penserò troppo positivo ma non la vedo così clamorosa: più facile cadere vittima di un webserver "farlocco" che non di skype, imho.

Guarda che iul discorso web server e' diverso, sei tu personalmente che invi una request al server, quinid avvi la connessione e gli dici chi sei, che os hai e che browser usi oltre ad altri dati come ad esempio l'ip di provenienza. Ti ricordo che lato server e' illegale tracciare gli ip a meno di esplicita dichiarazione / accettazione. Il fatto che tu possa acuisire ip da skype e' il problema, se io spaccio un serivzio di teleassistenza su skype a basso costo e mi becco tutti gli ip di chi si collega ? Ma peggio usi skype dal cell e io sto sniffando .... oppure sono sul server dell'internet point ?

Insomma vero che non e' una falla e che il tuo ip lo spammi cmq in giro, ma il discorso verte sul fatto che sia possibile fralo tramite skype, e' come se msn desse l' ip del tuo pc da cui ti colleghi ... sai spam che ti pigli ? O quanti tentati attacchi subisci dopo 2 nanosecondi essendo riconosciuto come nodo attivo ? .... Il fatto e' che non bisogno estendere il discorso qui si parla solo di skype, e le rassicurazioni ci sono gia' che stanno alorandoci sopra, il mio commento era orientato a rispondere un bel "SI e' difficile" . Non tirando in ballo altre cose .

[R0570]

ragazzi, avete ragione... l'esempio del webserver non calza manco per niente, ammetto di aver detto una castroneria colossale e di aver letto male e di fretta l'articolo (mordi e fuggi tra un lavoro e l'altro non è mai bene)... mi sa che son fuso x oggi.

Chiedo venia e vado a svaccarmi sul divano va!

[virus_101]

Lol tranquo succede a tutti non ti preoccupare, e' che come al solito il titolo degli articoli e' fuorviante, alla fine quanto riportato non e' una vera e propria falle di skype, e' solo un'analisi fatta sul funzionamento di un programma e l'individuazione di un poteziale problema. Ad ora non ho sentito di pc violati perche' sia stato reuperato lip tramite skype(correggetemi se sbaglio che la cosa e' interessante) .

Ciauuuu