Descubren vulnerabilidades importantes en BitTorrent Sync tras una auditoría

Escrito por Adrián Crespo
Seguridad
3

El almacenamiento en la nube es a día de hoy algo básico para los usuarios, y debido a la competencia entre que existe entre otros los responsables del popular programa de descargas decidieron dar un paso más allá y crear su propio servicio, llamado BitTorrent Sync. Después de un tiempo bastante significativo estando disponible, expertos en seguridad se han lanzado a realizar una auditoría del servicio, encontrando hasta un total de 7 vulnerabilidades.

Para todos aquellos que no conozcan en qué consiste el servicio, la esencia es la misma que la de un servicio de almacenamiento en la nube, con la única excepción de que los archivos no se deben subir a ningún servidor de Internet, sino que los dispositivos se sincronizan entre ellos, haciendo uso de los protocolos UDP, NAT y UPnP. Es decir, se elimina el tercer dispositivo en discordia que haría de intermediario y que serían en este caso los servidores de Dropbox, Google Drive o One Drive.

Teniendo en cuenta los datos que se almacenan utilizando estos servicios, es muy importante que se garantice la seguridad de las comunicaciones entre los dispositivos y el almacenamiento delos datos, así como la transmisión de estos, algo que como han podido comprobar en la auditoría no oficial no sucede, existiendo hasta 7 vulnerabilidades con una importancia considerable.

Errores en el envío y generación de claves y a la hora de almacenar información en algunos sistemas operativos

Para ser precisos, el segundo error se encuentra presente en la aplicación disponible para distribuciones y sistemas operativos Linux, permitiendo que la clave de cifrado y las cookies de una sesión sean accesibles y se encuentren sin ningún tipo de cifrado adicional, permitiendo que una tercera persona pueda realizar una ataque XSS utilizando la página de inicio de sesión del servicio o incluso incrustar marcos en la interfaz para conseguir el robo de información.

La primera debilidad hace referencia a los algoritmos que se encargan de generar las claves de cifrado de 128 bits AES. Los expertos en seguridad han descubierto que utilizando los diccionarios adecuados se puede llegar a descifrar esto sin ningún tipo de problema. Todo sería posible generando códigos hash de forma aleatoria hasta llegar a obtener el original.

Se sospecha de una acción directa del Gobierno de Estados Unidos en BitTorrent Sync

Los responsables de la auditoría realizada a este servicio han llegado a la conclusión de que este tipo de fallos que se han detectado corresponden con puertas traseras básicas que son utilizadas cuando se quiere monitorizar los datos almacenados y de los envíos de los mismos, señalando que el Gobierno de Estados Unidos podría estar detrás de todo esto.

Hace tiempo aparecieron ciertos rumores que no fueron más allá y que hablaban de presiones por parte de este gobierno a los responsables del servicio para que facilitasen las claves de cifrado de las comunicaciones o que al menos estas fuesen fácilmente accesibles.

Por lo tanto, hasta que estas queden resueltas (si existe interés en solucionarlas), la conclusión es que de momento no es una herramienta segura para compartir y sincronizar datos entre dispositivos.

Fuente | Softpedia


Continúa leyendo
  • pazuzu
    • Se trata de una palabra contra la otra, la auditoría contra los responsables del servicio. Se habla de auditoría modificada para desprestigiar el servicio, sin embargo, también se mencionó hace tiempo lo de que Estados Unidos podría haber presionado a los responsables del servicio, algo que no fue ni desmentido ni confirmado.

  • Toni Gelabert

    Esto sucede porque es una gran herramienta usada a nivel mundial. Nosotros en Probackup usamos el mismo sistema de clave pública y privada de manera segura y eficiente, además de personalizada para cada cliente…
    Nada que ver con esto.