ESET advierte: Skype intenta comunicarse con una computadora remota desconocida

Navega tus respuestas
19

Con frecuencia recibo advertencias de mi firewall de ESET, como el que se muestra a continuación, de que Skype está intentando comunicarse a través de SSL con una computadora remota que tiene un certificado no confiable:

La computadora remota siempre es un host diferente. No conozco ni reconozco la computadora remota, y estoy muy alarmada por esto. ¿Alguien tiene una explicación para esto?

    
pregunta Shaul Behr 05.12.2012 - 11:25
fuente

4 respuestas

0

Después de todo, ejecuté varias comprobaciones de antivirus, de diferentes proveedores de AV, y no se encontró nada sospechoso. Registre llamadas de soporte con ESET y Skype con respecto a este problema. La gente de ESET me dijo por teléfono que es seguro aprobarlo, y el soporte técnico de Skype escribió:

  

Podemos asegurarle que esto no se debe a malware.

No pude lograr que nadie explique exactamente por qué Skype se está comunicando a través de SSL a hosts no confiables arbitrarios, pero dada esta seguridad, al menos no siento la necesidad de atacar desde la órbita, incluso si sigo presionando "No". cuando aparezca este mensaje.

    
respondido por el Shaul Behr 26.12.2012 - 15:15
fuente
12

Sí, estar alarmado. Parece que algo inyectado en Skype está intentando comunicarse con un servidor no confiable en Ucrania. No hay razón para que Skype haga esto normalmente.

Un poco de investigación sobre el dominio devuelve esta información: 

domain:     pakko.ua
admin-c:    PC226-UANIC
tech-c:     IMENA-UANIC
status:     OK-UNTIL 20131123175521
dom-public: NO
license:    43288
nserver:    ns1.imena.com.ua
nserver:    ns3.imena.com.ua
nserver:    ns2.imena.com.ua
mnt-by:     IMENA-UANIC (ua.imena)
created:    0-UANIC 20041123175521
changed:    IMENA-UANIC 20121011174615
source:     UANIC

nic-handle:     PC226-UANIC
organization:   Pakko Corporation
address:        Klima Savura 21
address:        Lutsk Ukraine
fax-no:         +380332 78 94 39
phone:          +380332 78 94 94

Una búsqueda rápida de "Pakko Corporation" devuelve una compañía de responsabilidad limitada en Ucrania : 

Address:
21а, Savura str., c. Lutsk, Volyn reg., 43005, Ukraine
Telephone:
+38(0332) 78-91-90, 78-94-89
Web-site:
http://www.pakko.ua

enumeran su el recuento de empleados tiene entre 50 y 100. Un poco más de investigación encuentra un empleado anterior en LinkedIn y un un poco más de información.

Parece una compañía legítima, pero no me gusta ir a su sitio web para averiguar qué es lo que hacen. Supongo que su sitio se ha visto comprometido y ahora se está utilizando como un servidor de comando y control.

Supongo que tienes algún tipo de malware que ha inyectado un hilo en Skype, ya que es un programa que generalmente puede comunicarse con la red. Debido a que su máquina está probablemente comprometida, mi recomendación es salga de órbita y comience de nuevo.

    
respondido por el Polynomial 05.12.2012 - 11:42
fuente
8

Esto podría ser simplemente un Skype Supernode (ya no lo creo) , dicho esto, creo que hay algunas señales de alerta:

  • El servidor está en Ucrania y pertenece a una compañía que parece no tener negocios con Microsoft / Skype, y parece que no están en condiciones de albergar un Supernodo de Skype.

  • El servidor ejecuta ProFTPD 1.2.10 detrás de un puerto abierto 21. No veo por qué El supernodo de Skype (que se supone que está protegido y todo lo demás) está ejecutando un servidor FTP así, en lugar de hacer túneles a través de SSH ( SFTP )

  • La exploración de Nmap revela SMTP (465), IMAP (993), POP3 (995). Lo que no me parece muy supernodish de Skype, prefiero decir que se está utilizando como un servidor de generación de spam.

Si buscas a alguien que te diga qué hacer y asuma la responsabilidad de tus propias acciones, eso no sucederá. Los datos están aquí, según MI juicio, comparto con opinión de Polynomial , esto parece algo de qué preocuparse.

Aquí está la exploración de Nmap en cuestión.

Actualización:
He realizado otro exploración más profunda , diría que con un 90% de certeza este NO es un Supernodo de Skype.

  • Ejecutando Microsoft IIS en el puerto 4040, edonkey en el puerto 4662.
  • Ejecutar algunos httpd en el puerto 443 (debe ser usado por Skype)
  • No está usando el puerto 80 (debe ser usado por Skype)

Segunda actualización:

Si se trata de un Supernodo de Skype legítimo, se aplicará uno de los siguientes casos:

  • Es administrado por Microsoft o socios / asociados de Microsoft. Entonces no creo que deba ejecutar servicios inseguros y cosas como eDonkey.

  • Es un usuario normal que optó por ser un nodo. Luego, el puerto 443 y el puerto 80 deben estar abiertos y ser utilizados por Skype.

respondido por el Adi 05.12.2012 - 15:28
fuente
3

Skype usa un modelo de igual a igual para enrutar las "llamadas" a través de Internet, lo que significa que parte de la función de búsqueda se está enrutando a través de terceros desconocidos.

Microsoft (cuando compraron Skype) cambió el modelo a principios de este año para que se enrute principalmente a través de nodos semi-confiables (es decir, ¡no a algunos chicos de banda ancha doméstica!) que llaman "Supernodos" - aparentemente están en "centros de datos seguros" y son, obviamente, repartidas por todo el mundo.

Como yo lo entiendo; esta tecnología se utiliza para encontrar usuarios; las llamadas en sí mismas no son que se pasan a través de supernodos

Hay muchas personas que no confían en Skype porque no han revelado cómo funciona su sistema de seguridad, en particular el cifrado.

    
respondido por el Callum Wilson 05.12.2012 - 13:28
fuente

Lea otras preguntas en las etiquetas

¿El funcionamiento interno de la seguridad de iMessage? ¿Cómo será necesario cambiar la seguridad si P = NP?