La informe indicando que el servicio compartido de intercambio de archivos peer-to-peer BitTorrent tiene varios defectos en su encriptación de seguridad se publicó el pasado domingo (16de noviembre de) por un grupo de investigadores de seguridad en el foro Hackito sitio web. El informe señala que el torrente probablemente podría conceder a la compañía acceso a la información de archivos compartidos de los usuarios.
En una puesto de sus propios dos días después de, BitTorrent contradijo estas acusaciones.
Las acusaciones
El problema más grave, los investigadores dicen que aunque, es la fuga de hashes criptográficos entre las carpetas de los usuarios colocado en el servidor remoto GetSync.com de BitTorrent. Habiendo ingeniería inversa del código del programa, sus análisis revelaron "fuga probable de todos los hashes de getsync.com y el acceso de BitTorrent Inc a todos los datos compartidos". El informe completo se puede encontrar en el Sitio web Hackito Ergo Sum.
Un investigador de Hackito dijo que llegó el fallo de seguridad, como resultado, en un cambio en el procedimiento de uso compartido de carpetas, después de la primera versión de sincronización. "El cambio de paradigma que introdujo el intercambio de esta vulnerabilidad sucedió después de los primeros lanzamientos. Esto puede ser el resultado de NSL (Cartas de Seguridad Nacional, del Gobierno de los Estados Unidos a las empresas para presionar a ellos al dar un vistazo a las teclas o introducir vulnerabilidades para comprometer los sistemas previamente seguras) que podrían haber sido recibida por BitTorrent Inc y / o desarrolladores,"Se afirma en el informe.
La Contradicción
En su lucha contra el poste de martes, BitTorrent, dijo que el servidor remoto central es no sólo para ayudar a los usuarios se conectan entre sí. No toma parte en el proceso de sincronización de cifrado dijeron aunque.
'Hashes de carpeta no son la clave de la carpeta (secreto). Se utilizan para descubrir otros compañeros con la misma carpeta. Los hashes no se pueden utilizar para obtener acceso a la carpeta; es sólo una manera de descubrir las direcciones IP de los dispositivos con la misma carpeta. Hashes también no puede ser adivinado; se trata de un 160 número de bit, lo que significa que es criptográficamente imposible adivinar el hash de una carpeta específica '., establece el cargo.
El mecanismo de intercambio de información entre las carpetas de los usuarios de BitTorrent se basa en los vínculos de conexión cifradas en GetSync.com, pero incluyen los hashes y la clave criptográfica a las carpetas de acuerdo a los investigadores aunque Hackito.
Los enlaces contienen sólo las claves públicas que se necesitan para las máquinas para conectar el uno al otro y no las claves secretas a las carpetas, Estado de BitTorrent por el contrario.
'Vínculos hacen uso de la criptografía de clave pública estándar para permitir directa y segura el intercambio de claves entre pares. El enlace en sí no se puede utilizar para descifrar la comunicación, ya que sólo contiene las claves públicas de las máquinas implicadas en el intercambio. Después se establece una conexión directa, (el usuario puede verificar que mediante la comparación de la huella digital del certificado para ambos interlocutores) Sincronizar pasará la tecla carpeta sobre un canal cifrado para el otro por pares. Adicionalmente, la clave pública y el hash carpeta aparecen después de la # firmar en la URL, lo que significa que todos los navegadores modernos ni siquiera enviar esta con el servidor. Las características adicionales se han implementado para asegurar aún más el intercambio de claves mediante enlaces, Incluido (1) los enlaces expiran automáticamente dentro 3 días (establecer como defecto) y (2) aprobación explícita es requerido por la invitación de pares antes de cualquier intercambio de claves se lleva a cabo (también establecer como predeterminada).', que se dice en su puesto.
Las pruebas de BtiTorrent
Además de estas declaraciones BitTorrent publicó una carta de una compañía de seguridad de la información - ISEC Partners, contratado por ellos para auditar su aplicación de seguridad a principios de este año. De acuerdo con la carta de la auditoría abarca la implementación y el uso de hashes criptográficos, cifrado y la aleatorización del programa, el reconocimiento de la carpeta y el intercambio entre pares, mecanismo de intercambio de claves y posibles ataques de hackers criptográficos.
‘BitTorrent Sync aplicada generalmente aceptado prácticas criptográficas en el diseño e implementación de sincronización 1.4 a partir de julio de 2014,’ la letra dice.
Considerándolo todo, podemos concluir que la información que proviene de ambos lados - Hackito y BitTorrent está siendo muy polémico. La mejor protección posible es que tengan cuidado con el intercambio de información sensible a través del torrente por el momento.