BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Inseguridad en la red Eduroam

Dou1985

El otro día cansado de las restricciones impuestas en la red wireless de mi universidad (wifi-uc3m), procedí a instalarme la eduroam (educational roaming) una red, que tiene como objetivo facilitar la movilidad de estudiantes en cuanto a aplicaciones informáticas se refiere.

Bien, pude comprobar con gran satisfacción que la instalación del programa que proporciona un certificado para acceder a dicha red, fue extremadamente sencillo, en 5 minutos tenía eduroam funcionando en mi portátil.

Puntos fuertes de eduroam:

- Permite programas p2p (con puertos abiertos), pero debe tener alguna restricción en cuanto al tráfico, porque rara vez sube de 12 o 15 ks. De igual manera es muy útil para bajarse libros.

- Permite programas de mensajería instantanea, tipo Google Talk y MSN Messenger. il por ejemplo para comunicarte con compañeros que realizan prácticas en tu mismo grupo, pero en ese momento están en su casa.

Puntos débiles:

Aquí viene lo gracioso, eduroam genera una red "local" con todos los dominios de los ordenadores que están conectados a ella. ¿Que quiere decir esto? Pues que si te conectas a eduroam y tienes una carpeta con la opción de compartir en red, todos los usuarios de eduroam podrán conectarse a ella.

Aquí muchos no podriamos ver más que una ventaja, pues puedes transferir archivos de un pc a otro con gran velocidad. Bien, pues craso error. Casos con los que me he encontrado:

- Gente que comparte el directorio raíz de su PC con permisos de lectura y escritura. (Dejarle sin nada en el PC puede ser cuestión de minutos).

- Gente que desconoce que tiene compartidas las carpetas con las fotos de su novia y sus amigas de borrachera, donde para decirlo suavemente "se aprecia bastante chicha".

- Gente que es organizada, y guarda sus contraseñas en un archivo .doc para que no se les olvide. Aquí podemos mencionar con honor a un profesor que tiene un archivo .doc con su usuario y password de acceso a la web y correo de la universidad, la contraseña de su router de casa, la contraseña de su adsl de casa (JAZZTEL parece ser), la contraseña de apertura de pcs en aulas de lo que parece un instituto, y hasta el código PUK de sus dos móviles.

- Gente que guarda los trabajos que ha ido realizando a lo largo de la universidad, con lo que es fácil aprobar asignaturas que no cambien mucho la estructura de un año para otro.

- Acceso a un servidor del campus de Getafe con permiso de lectura/escritura incluso a sus carpetas de Copias de seguridad. Una pregunta, ¿Para que hace copias de seguridad, con esa politica de seguridad en la red?

Un consejo: Se debería advertir al usuario de esta "funcionalidad" de la red, más que nada por los evidentes problemas de seguridad que ocasiona. El usuario en cualquier caso es el único responsable de la pérdida de datos, por compartir sus carpetas sin poner "ojo".

Otro consejo: Mucho ojo con las carpetas que compartes, no vayan a jugarte una mala pasada con tus fotos o documentos "confidenciales".

Nota: Actualmente estudio 2º de Ingeniería informática en la Universidad Carlos III de Madrid. Todas las referencias a inseguridad son a la red de dicha universidad y recientemente he encontrado los mismos "agujeros sociales" en la Universidad Alfonso X el Sabio.

💬 Comentarios

1
askatuak

Osea que estando en la universida de Leon, que pertenece a dicha comunidad. E instalando dicho progrma, puedo ver la gente que esta en la red??? Y claro ver si tienen o no problemas de seguridad?

s2

blablabla665464

Es lo lógico cuando te conectas a una red que las "carpetas compartidas en red" estén disponibles para el resto de miembros. No es un fallo de seguridad ni nada por el estilo, el fallo de seguridad lo tiene la gente que comparte todo su hd, o comparte las fotos de su novia.

Una red no solo sirve para acceder a internet. Puedes sumar a tu lista de "afectadas" la práctica totalidad de universidades españolas que tienen wifi activado.

🗨️ 3
heffeque

Es básicamente que hay gente iliterata en el tema tecnológico y que comparte irresponsáblemente. Esto pasará en esa web, pero también, quien haya hecho wardriving habrá visto wifis abiertas con impresioras compartidas (con qué ganas se queda uno de imprimir alguna imágen pr0n para hacer la gracia xD) y lo que es peor: en el eMule se pueden encontrar ficheros de personas que han compartido su PC entero... de PCs de hospitales españoles, por lo que puedes encontrar de todo. Vamos, los registros médicos de tropecientos pacientes, sus historiales, etc. ESO sí que es grave.

BocaDePez
BocaDePez

El fallo está cuando se tiene compartido el directorio raíz de un servidor con permisos de lectura escritura.

ActiveMan

Pero no quedamos en que compartir era bueno. No seréis de la SGAE o algo así, que yo con esa gente no me hablo. ;-)

Albaceteman2

Hola, yo también soy estudiante de la UC3M, en concreto de Teleco. La funcionalidad de compartir carpetas y que todos los miembros de la subred lo vean ¿no es acaso una funcionalidad del sistema operativo? Corrígeme si me equivoco pero un ordenador con Windows que se conecta a una red manda paquetes de broadcast para descubrir los ordenadores que hay en su subred para compartir carpetas. El fallo de seguridad no es de la red en sí sino una vez más de Windows.

Sería oportuno aclarar que dicho problema no aparece con otros sistemas operativos que no se dediquen a soltar a los cuatro vientos su presencia en la red, por ejemplo Linux.

Que (casi) todo el mundo usemos Windows es otra cosa.

🗨️ 9
fargom

ya puedes tener windows, linux o mac, que si compartes una carpeta, estas expuesto a que la vean los demas
no creo que el fallo sea del s.o., sino del usuario

🗨️ 2
Albaceteman2

Yo he usado ambos sistemas operativos y que yo sepa en Linux no es una opción por defecto.

🗨️ 1
TitoBill

Ni en Windows tampoco.

Salu2.El decepcionado.

BocaDePez
BocaDePez

Ejemplo de teleco que se las da de listo y no sabe ni por donde sopla el viento.

Luego se dice de los topicos...

BocaDePez
BocaDePez

Se nota que hablas de oidas, como ben dicen mas arriba eso lo hace Windows, linux y todos!!. Es por eso (por si no lo habias pensado y/o sabias) que puedes compartir archivos entre todos los sistemas operativos por red.

🗨️ 2
Albaceteman2

Sí, pero Linux no lo hace por defecto, Windows sí.

🗨️ 1
TitoBill

Windows no lo hace por defecto listillo. No se comparte nada a no ser que se lo indiques. Informate mejor antes de poner incongruencias.

Salu2.El decepcionado.

PTC

Lo que hace windows es buscar ordenadores conectados a su dominio de nombres por netbios, amén de que la seguridad viene desactivada por defecto y es el usuario el que se tiene que preocupar.

🗨️ 1
BocaDePez
BocaDePez

El problema puede estar en el uso de un protocolo obsoleto como NETBIOS, esto es cosa de win no?

makarzur

jeje, pues has cotilleado bien, eh?

Alex

A mi me pasa lo mismo. En mi facultad hay limitado todo salvo el pptp, así que me he instalado un servidor en el router de mi casa y lo uso de gateway. Va lento, pero es como estár en casa. Además tengo mayor seguridad (no demasiada, a ver si paso a OpenVPN un día de estos) y acceso a recursos compartidos/impresoras de mi casa.

🗨️ 1
Luke

yo hago lo mismo.. que si no, no se puede hacer nada

en la uam también hay eduroam.

BocaDePez
BocaDePez

Buenas, yo tambien estudio en la carlos III, efectivamente eso pasa con lo red Eduroam, y con Wifi-UC3M, y con las redes departamentales, y con cualquier red de cualquier tipo. Si "TU" pc comparte archivos, el agujero de seguridad esta en "TU" pc. desde el servicio de informática de la universidad advierten que debes tener instalado antivirus y firewall y que debes responsabilizarte de los contenidos de tu pc...Considero que nadie tiene que decirte que compartir carpetas en windows no debes hacerlo, ya que todos deberiamos saber las consecuencias de eso, es más, en muchos de los casos windows directamente comparte el directorio raiz de los ordenadores por defecto y aunque intentes evitarlo no puedes. Una alternativa es instalarte un buen firewall que te pregunte cada vez que alguien intenta realizar una conexión a tu pc, es coñazo, pero es efectivo. Y otra cosilla, crees que es muy licito lo que hiciste consultando informacion confidencial de otro usuario? Yo creo que para descubrir lo que tu llamas un agujero de seguridad no hace falta visitar todos y cada uno de los ficheros que tiene un usuario. Si realmente tu intencion fue con buena fe deberias informar a dicho usuario de que tienes sus datos para que sea consciente que debe cambiarlos.

🗨️ 35
Dou1985

Bueno, la realidad es que se comparten carpetas de usuarios de Leganés, Getafe y Colmenarejo. Es díficil saber a que campus pertenece el portátil.

Realmente no hice una busqueda exhaustiva de cada carpeta de cada usuario, eso lo pudimos ver unos cuantos estudiantes a simple vista, no nos metimos en profundidad.

Como explican varios usuarios más arriba, efectivamente el agujero no está en la red, sino cada uno en su PC. Esto lo sabe bien gente que estudia una ingeniería donde minimamente se da algo de informática, pero la red eduroam se ofrece también a estudiantes de Derecho, Economía, Empresariales, que quizás desconocen que las carpetas que tienen compartidas para en casa poder mover archivos de un pc a otro, también se comparten en la universidad.

Respecto a las fotos de las chicas, decidimos no guardar ninguna copia. Borramos el .doc con contraseñas en cuanto lo leimos, no creimos tampoco de buen gusto acceder a sus recursos docentes (tales como correo de la universidad del citado profesor, etc...). De hecho hemos informado a profesores del departamento Dei (por ser el que teniamos más a mano) que según nos dijeron han pasado una nota al responsable de dicha red, para que se informe al menos de manera mas clara en la red de los peligros que puede conllevar tener carpetas compartidas.

La intención en este caso no fue mala.

Un saludo.

🗨️ 31
joseancr

Estimado DOU1985 de 2º de Ing. Informática de la UC3M, como ya te han dicho por este foro, deberías tener cuidado con lo que publicas y no ir dandotelas de guru en una materia en la cual a lo mejor aún te falta algo por aprender. Lo cierto es que para "no meteros en profundidad" tu y tus compañeros habeis sacado bastante información de una propiedad privada, lo cual es presumible delito. Y yo me pregunto ¿qué habríais hecho si hubieseis entrado en profundidad?. En cuanto a que informaras a los profesorores del DEI me parece correcto aunque me resulta algo extrañó que no te informasen ellos a ti, de las acciones que se te pueden aplicar por esa acción, lo cual me hace intuir que no les contaste toda la historia.

Solo te voy a dar un consejo, BANDAANCHA no es solo visitado por iniciados en infomática como tu y con bastante curiosidad por la propiedad ajena sino también por webmasters, netmasters, etc de empresas e inlcuso de universidades como pudiese ser la tuya. Por tanto te animo a que la proxima vez que observes algún tipo de agujero de seguridad en alguna aplicación, red, etc, lo primero que hagas sea informar de ello y no ponerte a ver que es lo que tiene cada uno en su equipo.

Un saludo.

🗨️ 30
tulkaslinux

yo no le veo ningún delito a lo que hizo...ni ingeniería inversa, ni utilizar código maligno, ni nada de nada. se limitó a navegar por una red que estaba abierta, la culpa es del administrador de red.

🗨️ 17
BocaDePez
BocaDePez

Deberias tener claro lo que es el concepto de administrador de red y el concepto de administrador de sistemas. El administrador de red da un soporte para el encaminamiento es interconexión de equipos. Nunca se encarga de la administración de los terminales a ella conectados. Por lo cual si una red es segura (vease el caso de eduroam) ya que pareceis tener un master en administracion de redes y servicios corporativos, WP+TKIP os tiene que sonar a algo "seguro", y se puede compartir ficheros en ella, ya que es una red desmilitarizada (concepto que seguro que conoces, o no?) el problema nunca es de la red, sino del uso que se hace de ella. Lo de ingeniria inversa te ha quedado muy bien, y lo de software malicioso también, pero que yo sepa en la LOPD (y te aseguro que ma la conozco muy bien) en ningún momento se habla del método de acceso a ficheros con información de caracter personal, solo se habla de dichos ficheros y de su tratamiento y almacenamiento por cualquier medio o soporte informático. No hace falta usar un troyano para acceder a esos ficheros. Quien crea que puede actuar impunemente, primero deberia cerciorarse que lo que hace es legal y moral. La tecnologia da muchas posiblidades, pero no por ello debemos usar todas.

Te pongo el ejemplo de un administrador de red o de sistemas, tienen acceso a toda la información confidencial de usuarios sin necesidad de utlizar ningun tipo de codigo malicioso. El uso o consulta de esa información es licito? Ya te respondo yo. No lo es en ningún caso, aunque se haya obtenido con toda la transparencia del mundo.

Un saludo.

joseancr

Simplemente leete esto:

Artículo 197.

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Como ves está contemplado en el código penal. Un salud.

🗨️ 11
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 3
joseancr
🗨️ 2
KuRR0
🗨️ 1
FoSFi
Dou1985
🗨️ 3
BocaDePez
BocaDePez
KirO
FoSFi
Lucinder
BocaDePez
BocaDePez

Emmm, entiendo entonces, que según tú, si vas a un pueblo de estos en los que todavía se dejan las puertas abiertas, entras, y te llevas la tele, la radio y los objetos de valor... ¿no sería delito por el simple hecho de estar la puerta abierta?
De acuerdo que nadie en su sano juicio debería dejar el acceso abierto a sus pertenencias, pero de ahí a basarse en eso para justificar al que las coge, y decir que no es delito... creo que hay una "cierta" distancia.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
FoSFi
Dou1985

Me falta mucho por aprender, es evidente, pero no creo que en ningún momento me las haya dado de gurú en nada. Sólo expongo un hecho, y es la existencia de carpetas compartidas que no deberían estar ahí. Todo lo demás no es de mi cosecha.

Creo que no he cometido ningún delito, he informado de cierta inseguridad por parte de los usuarios en una red, no he obtenido ficheros ni beneficio alguno, asi que creo que todas las demás aclaraciones sobran. De hecho, creo que aunque cogiera archivos (cosa que no he hecho) estaría cometiendo delito alguno, pues esas carpetas están compartidas, y es algo que en el 90% de los casos de estas carpetas, el usuario ha tenido que hacer activamente.

Imagino que el principio es más o menos el de una red p2p, si compartes, deja de existir la propiedad privada como tal, pero que alguien me corrija si me equivoco.

Un saludo

🗨️ 11
BocaDePez
BocaDePez

Deja de existir la propiedad privada si compartes? Pues permiteme que me corrija, en una red p2p un contenido protegido por derechos de autor, sigue estando protegido por esos mismos derechos. en una carpeta compartidad, un fichero protegido por la LOPD sigue estando protegido por la misma. Tu has dicho en este mismo foro, que una vez leido el contenido del fichero, lo borraste....Lo cual indica claramente una copia del mismo....

Que tu no veas las consecuencias de tus acciones, no quiere decir que no las tengan.

🗨️ 10
Dou1985
🗨️ 9
BocaDePez
BocaDePez
🗨️ 8
Dou1985
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
Dou1985
Dou1985
FoSFi
Dou1985
🗨️ 1
BocaDePez
BocaDePez
Dou1985

Por cierto, veo que te has conectado desde el campus :p

🗨️ 2
BocaDePez
BocaDePez

Si, me conecto desde el campus de la universidad. En cuanto a tu comentario, la respuesta:

No tienes por que identificar el portatil, pero si puedes identificar clarmente al usuario, ya que como dices, pudisteis tener acceso a sus recursos docentes, con su loggin de correo podeis localizarle. Aunque no hayais guardado copia de nada, habeis estado mirando datos informáticos de caracter personal mediante los cuales se pueden identificar a usuarios, y como estudiante de una ingenieria deberias conocer la LOPD (ley organiza de proteccion de datos). Y las consecuencias que conlleva el guardar, copiar, manipular, etc datos de caracter personal.

Una vez más te animo a que avises al dueño de dichos datos que han sido consultados por gente a la que no iban destiandos.

En cuanto a lo de que no hicisteis una busqueda en profundidad, cabe la duda de que no sea así, ya que sabeis que en Getafe hay un servidor que tiene permisos de lectura y escritura, lo cual indica que por lo menos consultasteis los permisos. Es más al comentar estos datos en un foro público podría considerarse que estas animando a otros usuarios a hacer lo mismo.

Alardear de una intusión en un sistema informático, es cuando menos arriesgado y sobre todo bastante irresponsable por tu parte.

Un saludo.

🗨️ 1
Dou1985

"Y las consecuencias que conlleva el guardar, copiar, manipular, etc datos de caracter personal.". No he hecho nada de eso, por tanto creo que las consecuencias son nulas.

BocaDePez
BocaDePez

Publica las fotos, aunque sea tapando la cara a las chicas :PPPPP

🗨️ 2
Dou1985

Yo creo que eso fue lo que les pasó a las chicas de la Universidad Alfonso X el Sabio, aunque no estoy seguro. A mi personalmente no me parece lícito publicar el contenido del disco duro de nadie, además no tenemos copia, lo siento.

🗨️ 1
BocaDePez
BocaDePez

No hombre, era broma :D

Menuda putada lo de esas chicas...

BocaDePez
BocaDePez

¿Para eso quieres esas opciones ampliadas?, ¿para bajarte discos de bisbal por p2p y otras cosas de por si ilegales?.

Y acerca de las carpetas compartidas pues bueno... hay mucho inutil suelto por ahi que no sabe o se le olvida eso de los permisos. Eso que dices que hace el profesor no deja de por si en buen lugar al alumnado...

Estupidos, incompetentes e inutiles hay en todas partes, hasta en las universidades y profesores incluidos...

Moco

El chico ha hecho lo correcto, así que menos críticas.

arcepi66

Sinceramente, no veo donde está la inseguridad. Si te conectas en red tienes que activar el firewall de tu sistema operativo. Yo diría que esa red funciona perfectamente, si no bloquean el "compartir ficheros" de Windows quiere decir que sobre ella debería funcionar casi cualquier cosa.... ¡mucho mejor que tenerla capada hasta las trancas!

Yo pediría que cambiaráis el título de la noticia, más que nada porque es falso. Es que no debería ser ni noticia. O tal vez cambiarla por un "la gente es muy generosa y comparte información privada sin saberlo" o "la gente no sabe usar su sistema operativo".

Lo que pide el autor de la noticia es que le capen la red para que así la pueda usar cualquiera sin preocupaciones. Eso tiene el inconveniente de que la red se convierte en una castaña que sólo sirve para ver páginas web.

🗨️ 2
Moco

Exactamente, ahí le has dao

BocaDePez
BocaDePez

En zaragoza la peña también tiene de todo compartido...

No pasa solo con el wifi, tanto las redes de cable como las wifi de la universidad están "interconectadas", de forma que si tu entras por wifi siendo alumno, si el PC del despacho de tu profesor tiene algo compartido... se lo podrías sacar...

KirO

Eso no es culpa de la red, que está bien tal y como está, es culpa del SO que no tiene un perfil de conexión a redes públicas. De hecho puedes encontrarte lo mismo pero en Internet, que es más grave, tu haces un portscan sobre cualquier rango y encontrarás carpetas compartidas por doquier.

Salu2!!

P.D. Estudio en la misma universidad que tu ... a que limitaciones te refieres en la red pública? yo nunca he tenido ningún problema... (eso si, con todo lo que conlleva no tener IP Pública, pero siempre se puede hacer un tunel VPN con los servidores de la universidad los cuales te asignan una y adiós restricciones).

🗨️ 3
TitoBill

Otro con la misma cantinela. No es culpa del SO, sino del ignorante de turno que se pone delante del ordenador a compartir carpetas. Lo mismo que hacen algunos con ciertas carpetas para el eMule.

Salu2.El decepcionado.

🗨️ 2
KirO

Yo considero que es culpa del SO porque no han tenido en cuenta que los equipos portátiles igual pueden estar en una red pública que privada y no existe una forma <b>sencilla</b> de desactivar/reactivar esa funcionalidad del SO ni bloquearla solo a ciertos equipos y redes.

Salu2!!

🗨️ 1
TitoBill

No es culpa del SO porque no hay que tener en cuenta nada. La seguridad que le des a un sistema operativo depende del manazas de turno que le pongas delante, si ese manazas comparte carpetas ya sea en Windows on en GNU/Linux la culpa no es del SO y vuelvo a repetirte que por defecto Windows no comparte ninguna carpeta en red.

Salu2.El decepcionado.

BocaDePez
BocaDePez

Ja ja, ellos son pardillos por compartir hasta los sobacos, pero tú tambien por postearlo. ¿No sabías que la gente puesta en ridículo tiende a matar al mensajero?
Mira lo que te de la gana, haz lo que quieras, pero no lo digas. Entre otras cosas porque hay gente que no merece (ni quiere) aprender.

Ya sabes, la próxima vez que descubras que hay humanos ignorantes, sonríete por lo bajini y no lo postees, inocentón-vanidosillo :)

🗨️ 3
BocaDePez
BocaDePez

La única persona que ha quedado en ridículo en este día ha sido el propio creador de la "noticia" exponiendo su falta de conocimiento de la materia que habla, ya que atribuye el fallo de seguridad al elemento equivocado.

🗨️ 2
Dou1985

Tienes razón en parte. Cuando puse el título "Inseguridad en la red Eduroam" no me refería a inseguridad en la red en sí, sino en la de los pcs que están conectados y siempre a causa de la propia dejadez de sus usuarios.

Ciertamente no puedo decir que sea un experto en redes porque no lo soy, pero si se a que me refería, y reconozco que por un fallo de redacción no me he expresado correctamente.

De todas maneras no creo haber hecho el ridículo, pues al leer el artículo queda claro que la inseguridad no la proporciona la red, sino sus usuarios. Si que sería interesante que en el manual de instalación de la red se hiciera más incapié en este punto, pero esta claro que no es culpa de la red.

Un saludo.

🗨️ 1
WiLZy

Al fin y al cabo la red la forman los usuarios :)

Por parte de la red "Eduroam" vería lógico algún tipo de advertencia acerca de los recursos compartidos.

GERKO

Que inseguridad por dios!
verdad Daniel?, no seas tan Ufano porfavor!

x cierto,,, seguro q entiendes este número: 9977
Hasta pronto

🗨️ 3
Dou1985

100055977 efectivamente. Y tu, eres?

🗨️ 2
BocaDePez
BocaDePez

mandamé lo que cogiste y te diré mi identidad ^_^

🗨️ 1
Dou1985

no cogí nada... xD pero creo que ya se quien eres (je).

Un saludo. :D

cientifico

Todo esto está muy bien.

Pero si yo tengo un mac... ¿Que cojones tengo que hacer?

El mac soporta de serie el EAP+TLS creo recordar y no hay que añadir ni parches ni programas de 3ºs para una cosa tan importate como la conexión de red (Fin de spam mac).

¿Tanto le cuesta a todos los proveedores de servicio, dar una página principal con los datos de conexión y el protocolo usado, y si se tercia y de manera opcional una guía para su intalació#324; en el sistema más común, que admitamoslo, es windows?

Un Saludo.

BocaDePez
BocaDePez

Hola, veran se que no es charla pero es que tengo un gran problema. Me conecto a internet por eduroam, y una vez lo use para jugar a un mini juego online que usa el puerto 7666(argentum, lo conocen?). Y al dia siguiente dejaron de funcionarme todos los servidores del juego. Es posible que me hallan cerrado el puerto???

Es un problema porque soy programador del juego, y no poder conectarme me limita muuuucho a la hora de desarrollarlo.

Saludos

1