Atención: problemas de privacidad con IPv6 y Windows 10

sierpinski 25 noviembre 2017 23:23 ✎ ◉

-1

⋮

Ahora que está de moda ver a gente en pilotos de IPv6, me ha parecido adecuado recordar esto.

Uno de los gravísimos problemas de privacidad que genera IPv6 es que revela a todo el mundo la dirección MAC del equipo con el que te conectas a la red. Para resolver esta cagada de IPv6, Windows 10 incluye un parche bastante guarro que genera direcciones temporales de IPv6 (las conocidas como "privacy extensions" descritas en el RFC 4941). Cambia las partes de la dirección IP que normalmente llevan la MAC y pone en su lugar números aleatorios, los cuales duran varios días, hasta que se generan otros. A pesar de ser una guarrada (lo suyo es que el estándar IPv6 estuviera bien hecho, pero no lo está), resuelve este problema de privacidad.

Por suerte viene activado por defecto. Pero por desgracia, debido a un bug, estas direcciones dejan de funcionar tras unas horas y el sistema empieza a revelar tu MAC a Internet:

social.technet.microsoft.com/Forums/wind…ronetworking

Un error muy grave, y lo pongo aquí para que lo tengáis en cuenta si habéis tenido la mala suerte de caer en un piloto de IPv6, especialmente en el de Orange, que está ocasionando tantos problemas.

Para evitar este grave fallo de privacidad, os recomiendo desactivar IPv6 completamente, ya que no sirve para nada: solvetic.com/tutoriales/article/4298-com…-windows-10/

rbetancor 25 noviembre 2017 23:39

⋮

¿Problema de privacidad? ...

¿Problema de seguridad? ...

¿me lo explicas?

✖

sierpinski 25 noviembre 2017 23:44

-1

⋮

Me he equivocado en el título, puse seguridad cuando quise decir privacidad. Arreglado.

Aunque también hay problemas de seguridad evidentes, como la eliminación de las NATs.

✖

Obi-Wan 26 noviembre 2017 03:27

⋮

NAT como solución de seguridad. Virgen santa. La solución de seguridad correcta es un cortafuegos en el router (y de forma recomendada en los equipos).

NAT no es una solución de seguridad, sino una solución para no conceder a todo dispositivo conectado a Internet su IP pública, como se preveía y se hacía originalmente. No se puede con IPv4 por escasez. Así que a cambio surgen cosas como NAT, con los consiguientes problemas para las conexiones punto a punto.

Y MAC como dato privado... ¿Eres consciente de que en el caso de las tarjetas Wifi la MAC se emite de forma pública desde siempre (da igual si usas IPv4 o IPv6 y no hay nada que Windows pueda hacer para evitarlo? (Aunque tu puedes ir cambiando de MAC con ciertos programas y confiando en no colisionar con otro dispositivo).

✖

sierpinski 26 noviembre 2017 03:31

-1

⋮

NAT como solución de seguridad. Virgen santa. La solución de seguridad correcta es un cortafuegos en el router (y de forma recomendada en los equipos).

La discusión sobre si NAT añade seguridad o no es como lo de si Ono es fibra o no, así que no quiero ensuciar un hilo que he abierto para avisar de algo importante con esta discusión que ya no aporta nada.

Y MAC como dato privado... ¿Eres consciente de que en el caso de las tarjetas Wifi la MAC se emite de forma pública desde siempre (da igual si usas IPv4 o IPv6 y no hay nada que Windows pueda hacer para evitarlo?

Sí... si vives a varios metros de tu víctima. Lo que no puede ser es que yo entre a cualquier web y el administrador pueda conocer la MAC de mi dispositivo.

✖

Obi-Wan 26 noviembre 2017 04:34

⋮

✖

sierpinski 26 noviembre 2017 11:28

-1

⋮

✖

mceds 26 noviembre 2017 13:44

⋮

✖

sierpinski 26 noviembre 2017 13:55

-1

⋮

✖

mceds 26 noviembre 2017 14:06

⋮

✖

sierpinski 26 noviembre 2017 14:17

⋮

rbetancor 26 noviembre 2017 14:09

⋮

✖

sierpinski 26 noviembre 2017 14:15

-1

⋮

✖

rbetancor 26 noviembre 2017 14:18

⋮

✖

sierpinski 26 noviembre 2017 14:20

⋮

✖

rbetancor 26 noviembre 2017 14:32

⋮

✖

BocaDePez 2 diciembre 2017 22:20

⋮

ToooWuu 3 diciembre 2017 10:06

⋮

rbetancor 26 noviembre 2017 14:14

⋮

✖

sierpinski 26 noviembre 2017 14:16

⋮

✖

rbetancor 26 noviembre 2017 14:25

⋮

✖

sierpinski 26 noviembre 2017 14:30

⋮

✖

rbetancor 26 noviembre 2017 14:41

⋮

Obi-Wan 26 noviembre 2017 15:45

⋮

rbetancor 26 noviembre 2017 10:54

⋮

Aunque también hay problemas de seguridad evidentes, como la eliminación de las NATs

NAT != Seguridad y lo vamos a dejar ahí, como bien has dicho luego, para no ensuciar el hilo

Saber tu MAC != problema de privacidad, en el mundo actual, si quieres privacidad, comprate un cayuco a remo, págalo en efectivo, vete a la playa mas cercana y te pones a remar rumbo a la isla mas perdida que puedas imaginar del pacífico sur, eso sí ... procura que sea alguna por la que no pase un satélite por encima tres o cuatro veces al día, y por supuesto, deja atrás todo dispositivo electrónico. Así y solo así ... PUEDE que tengas privacidad ... del resto, asume que esa palabra no tiene sentido ninguno hoy en día.

Saber tu MAC, solo me sirve para saber quien es el fabricante de tu tarjeta de red, para el resto de 'magufadas', hay que hacer tracking ... cosa que ya se hace de 50.000 maneras diferentes.

✖

BocaDePez 26 noviembre 2017 14:43

⋮

asume que esa palabra no tiene sentido ninguno hoy en día.

Pensando así nunca vencerás a los poderes fácticos.

✖

rbetancor 26 noviembre 2017 14:46

⋮

✖

BocaDePez 26 noviembre 2017 15:42

⋮

BocaDePez 26 noviembre 2017 01:47

⋮

A mi el IPv6 no me gusta.

mceds 26 noviembre 2017 07:11

⋮

No estoy al tanto de la "scene" de software de Windows, pero calculo que debe de haber no menos de una docena de programas gratuitos para cambiar los 64 bits del host por alguna cadena aleatoria. Lo mismo que la gente aprendió a "apagar y encender el router ADSL para que me dé una nueva IP y así evitar esperar 108 horas para descargar el siguiente capítulo de JDT en Fileshare", aprenderá esto.

De hecho, con un poco de arte programatoria, hacerlo en Powershell debería ser trivial.

Personalmente, me acojona más lo del CGNAT. Bueno, y que los programadores de ed2k y Kademlia no tengan la menor prisa o interés por reprogramar los protocolos para IPv6, pero ésa es otra (triste) historia.

BocaDePez 26 noviembre 2017 10:29

⋮

os recomiendo desactivar IPv6 completamente, ya que no sirve para nada

5ed8203b5d448035b98e7972a9ab35086ace35ff5c3cd170b4395242b20162ae

✖

sierpinski 26 noviembre 2017 11:29

⋮

Por supuesto que es mi opinión, de ahí el "os recomiendo".

✖

BocaDePez 26 noviembre 2017 12:32

⋮

Deberían crear el IPv7, el 6 es muy lioso y complicado.

✖

superllo 26 noviembre 2017 13:41

⋮

Con 256 bits y furcias.

✖

mceds 26 noviembre 2017 14:34

⋮

✖

superllo 26 noviembre 2017 15:55

⋮

✖

BocaDePez 26 noviembre 2017 16:03

⋮

BocaDePez 26 noviembre 2017 21:52

⋮

✖

rbetancor 26 noviembre 2017 22:26

⋮

✖

mceds 27 noviembre 2017 06:22

⋮

EmuAGR 27 noviembre 2017 12:06

⋮

Estaba pensando que este señor tiene un gorro de aluminio hasta que he recordado que la mayoría de juicios por descarga de P2P se absuelven porque es imposible identificar quién ha usado la conexión para descargar. Si la MAC se propaga a nivel de red se puede identificar qué equipo de la LAN hizo la descarga y dificultar el P2P.

Está un poco feo, la verdad. No sé por qué DHCPv6 tiene que funcionar así y no simplemente dando direcciones como DHCP.

✖

ToooWuu 27 noviembre 2017 12:27

⋮

> No sé por qué DHCPv6 tiene que funcionar así y no simplemente dando direcciones como DHCP.

No no, es que lo que comenta sierpinski sobre "la dirección IP que es fija porque es creada a partir de la MAC y por eso no cambia nunca" es cuando no se usa DHCPv6 para asignar la IP, si no SLAAC

mceds 27 noviembre 2017 19:31

⋮

Si la MAC se propaga a nivel de red se puede identificar qué equipo de la LAN hizo la descarga y dificultar el P2P.

Estamos en las mismas. Un PC o una tablet la pueden usar varias personas.

✖

Obi-Wan 27 noviembre 2017 19:35

⋮

No solo eso, la dirección MAC de un dispositivo se puede 'cambiar' a nivel software.

iloo.wordpress.com/2009/11/28/macchanger…reccion-mac/
www.muywindows.com/2011/07/08/cambia-tu-…-mac-changer

muzuz 29 noviembre 2017 08:46

⋮

Windows 10 incluye un parche bastante guarro que genera direcciones temporales de IPv6

La extensiones de privacidad de IPv6 no son exclusivas de Windows, de hecho en Mac y debian viene también activadas por defecto.

✖

sierpinski 29 noviembre 2017 11:48

⋮

El hecho de que existan en otros sistemas operativos y que vengan escritas en un RFC no significa que las extensiones de privacidad no sean una guarrada. Los que idearon el IPv6 originalmente pensaron que era aceptable mostrar la MAC de los equipos al resto del mundo. Luego llegó otra gente con dos dedos de frente que ideó dichas extensiones y las puso en el RFC, pero no dejan de ser una guarrada, un parche para algo que jamás debió ocurrir.

✖

muzuz 29 noviembre 2017 12:09

⋮

No si yo no te discuto que sea guarro o una chapuza la solución, pero no es un parche de windows 10 como yo entiendo que quiere decir la frase.

✖

sierpinski 29 noviembre 2017 12:23

⋮

Tienes razón. Lo he aclarado en el post.

BocaDePez 7 diciembre 2017 21:12

⋮

No entiendo: Estoy en Linux y la ipv6 contiene mi MAC. No parece un error exclusivo de W10.

✖

sierpinski 7 diciembre 2017 21:14

⋮

El error no es que tu MAC aparezca en tu IP. Eso no es un error, es una cagada enorme que está en el estándar de IPv6.

El error es que Windows tiene las "privacy extensions" que arreglan esa cagada cambiando la parte de tu MAC que contiene tu IP por números al azar, pero dejan de funcionar al poco rato de conectar el ordenador, exponiendo tu MAC privada de nuevo. Es decir, puede que creas que al tener activadas las "privacy extensions" puedes mantener tu privacidad y seguridad, pero no es así, ya que no funcionan correctamente.