1 puntos por GN⁺ 2025-06-18 | 1 comentarios | Compartir por WhatsApp
  • Mientras buscaba la causa de la lentitud al descargar una ISO de Linux, confirmó que varios trackers de BitTorrent habían desaparecido, y experimentó qué tantos clientes volverían si registraba de nuevo el dominio de un tracker muerto
  • El objetivo fue udp://open.demonii.si:1337/announce; compró el dominio .si en Dynadot, lo conectó a un VPS y luego ejecutó opentracker en el puerto 1337
  • Incluso antes de encender el tracker, empezaron a llegar solicitudes al puerto UDP 1337, y aproximadamente una hora después se observaron alrededor de 1.73 millones de torrents y 3.15 millones de peers
  • Las estadísticas incluyeron peers 3,155,701, seeds 1,342,504, completed 244,224, UDP overall 58,843,612, entre otros, lo que muestra que las URL de trackers antiguos siguen presentes en la configuración de muchos clientes
  • Aunque no está claro si operar solo la infraestructura de un tracker, sin publicidad ni ofrecer archivos .torrent, constituye inducción a la infracción de copyright, el experimentador, consciente del rastro del pago con tarjeta de crédito, apagó el VPS y eliminó el dominio

Experimento de registrar un dominio de tracker muerto

  • En la pestaña Trackers de qBittorrent, confirmó que varios trackers estaban en estado host down o como dominios sin uso
  • En BitTorrent, un tracker es un componente clave que informa sobre otros peers con los que participar en un torrent
  • Esta estructura deja un punto de centralización dentro del protocolo BitTorrent
    • Si un tracker no se mantiene o queda offline, se vuelve difícil encontrar peers por esa ruta
  • Como alternativa existe Mainline DHT, pero este método también tiene límites
    • Depende de un nodo bootstrap
    • Es vulnerable a ataques Sybil
    • En el torrent que estaba descargando el experimentador, DHT tampoco logró encontrar peers

Recuperación de open.demonii.si y resultados observados

  • Registró el dominio udp://open.demonii.si:1337/announce, que estaba sin uso
    • El dominio fue comprado en Dynadot
    • Preparó un VPS y mapeó el dominio al VPS
  • Usó opentracker como software de tracker
    • En Ubuntu 24.04 instaló gcc-14, g++-14, build-essential y zlib1g-dev
    • Primero compiló libowfat y luego compiló opentracker
    • Ejecutó opentracker -p 1337 -P 1337 como una unidad de systemd
  • Incluso antes de iniciar opentracker, entró tráfico masivo al puerto UDP 1337
  • Aproximadamente una hora después, las estadísticas en http://open.demonii.si:1337/stats?mode=everything confirmaron conexiones a gran escala
    • torrents: count_mutex 1,735,538, count_iterator 1,735,523
    • peers: 3,155,701
    • seeds: 1,342,504
    • completed: 244,224
    • TCP accept 21,532, announce 20,219, scrape 263
    • UDP overall 58,843,612, connect 18,321,703, announce 33,160,261, scrape 3,211,543, missmatch 4,116,689

Riesgo legal y fin del experimento

  • El aspecto legal no está claro
    • En casos como The Pirate Bay, la exposición de películas populares, la venta de publicidad y la provisión de archivos .torrent se trataron como pruebas de inducción (inducement) a la infracción de copyright
    • Sigue siendo más difícil demostrar si operar únicamente infraestructura de tracker sin publicitarla constituye inducción
    • Tanto torrents de libre distribución como torrents con copyright pueden usar este tracker
  • El hecho de haber pagado el dominio con tarjeta de crédito quedó como una carga, por lo que el experimentador apagó el VPS y eliminó el dominio
    • Después del experimento, el dominio open.demonii.si volvió a quedar disponible para registro

1 comentarios

 
GN⁺ 2025-06-18
Opiniones de Hacker News
  • Si en realidad no estás alojando un tracker, sino solo mirando conexiones entrantes, no veo por qué tendría que ser ilegal.
    Incluso si operaras un tracker, es difícil decir que el tracker en sí sea ilegal. Alojar algo como opentrackr es parecido a alojar un motor de búsqueda; lo central es cómo respondes a las solicitudes legales de eliminación y qué intención revela la infraestructura alrededor del tracker. Un tracker es un software de servidor de coordinación bastante simple, así que sería raro que eso en sí mismo fuera ilegal.

    • “¿Es legal?” no es una pregunta muy útil. Una mejor pregunta es qué tan alta es la probabilidad de que te demanden. En litigios civiles, más allá de si algo es realmente legal o no, si llamas la atención puedes terminar siendo hostigado por abogados.
    • Si ayudas a alguien a cometer un delito sabiendo que lo está cometiendo, normalmente se te trata de forma similar a si hubieras cometido el delito directamente. En la ley federal de EE. UU. existe una disposición como 18 USC 2a https://www.law.cornell.edu/uscode/text/18/2
      Que el software en ejecución sea “simple” no sirve como defensa frente a una conducta ilegal, por ejemplo ayudar en el delito de otra persona. En EE. UU. hay algunas cláusulas de exención de responsabilidad relacionadas con internet/derechos de autor que podrían hacer que no sea un delito, pero probablemente no; no soy abogado. Cuando escuches “ayudar al delito de alguien”, lo correcto es asumir por defecto que “eso en sí probablemente también es un delito”.
    • ¿No será porque las industrias de la música y el cine odiaban el P2P en general? En los 2000, la tendencia de que P2P se convirtiera en la próxima web distribuida prácticamente murió.
      Tal vez ya sea hora de volver a mirarlo. Al final, todo se reduce a cómo hacer cumplir el DRM, y hoy hay muchas formas de ordenar el licenciamiento, así que no parece que la industria tenga que preocuparse tanto.
    • El autor original sí alojó un tracker.
      “Luego inicié el tracker. ¡Aproximadamente una hora después se disparó hasta 1,7 millones de torrents distintos repartidos entre 3,1 millones de peers!”
    • Esto no es asesoría legal, pero podría ser legal o ilegal.
      Si no respondes a las solicitudes de eliminación, probablemente te acercas más al lado ilegal; si respondes a esas solicitudes y pones los hashes en una lista negra, en general es más probable que estés bien. Claro, depende de la jurisdicción y de cómo se considere el acto de asociar hashes con IP:PORT: distribución, facilitación u otra cosa. El caso de TPB puede servir como ejemplo. Conozco a alguien que operó un tracker bastante grande durante años; cuando llegaban solicitudes de eliminación, ponía ese hash en la lista negra, y hasta ahora no ha pasado nada.
  • Dado que hay tantos clientes BitTorrent distintos y muchas implementaciones están escritas en lenguajes no seguros, me pregunto si no se podría atacar a algunos clientes mediante un tracker malicioso.
    No me sorprendería que algunos clientes se comportaran mal si el tracker les envía datos con formato incorrecto.

    • La mayoría de los clientes torrent que usa la gente, aunque no todos, en realidad son envoltorios alrededor de libtorrent, y libtorrent está bien probado e incluso ha sido auditado.
    • Escribí un cliente como hobby, y diría que la respuesta es que sí se puede. Recibe entradas de servidores que no controla y además interactúa bastante con el sistema de archivos.
      Incluso con lenguajes con seguridad de memoria es difícil hacer un cliente que funcione correctamente; implementarlo con precisión en C o C++ necesariamente puede ser bastante complicado.
    • Transmission tuvo una vulnerabilidad de ejecución remota de código (CVE-2018-5702) que permitía a un atacante ejecutar comandos arbitrarios mediante DNS rebinding. Abusar de trackers definitivamente puede ser un vector de ataque real.
    • Los datos se codifican con bencode, así que es un formato a nivel de bytes. Los trackers maliciosos conocidos suelen inyectar algo, por ejemplo agregando a todos los archivos PDF conocidos un payload dirigido al sistema operativo del cliente.
      Las API relacionadas con announce son bastante fáciles de implementar, pero no me atrevería a asegurar que se implementaron dentro de un entorno de pruebas con fuzzing. Por ejemplo, Transmission tuvo varias vulnerabilidades durante años, y no sé mucho sobre las implementaciones de otros clientes.
    • Es posible, pero no muy probable. El protocolo es relativamente simple, y los clientes existentes ya han estado expuestos a enormes cantidades de entrada no confiable.
  • Hace tiempo operé durante muy poco tiempo un tracker privado para explorar la idea de ver videos juntos por P2P.
    Era algo de juguete, así que no investigué a fondo cómo funcionan los trackers; usé el tracker rust Aquatic. Cuando se lo pedí, también agregaron amablemente soporte para webtorrent https://github.com/greatest-ape/aquatic
    ¿Un tracker sabe qué está rastreando? ¿Ha habido intentos de hacer que el tracker no conozca el contenido aunque organice el encuentro entre peers?
    Intuitivamente, parece que la gente encuentra peers a partir de algún hash/magnet, y que el magnet por sí solo basta, sin necesidad de incluir información identificable. Claro, entiendo que muchos enlaces magnet incluyen una descripción legible por humanos. El tracker podría intentar descargar ese hash desde los peers para obtener la información del torrent, pero si no lo descarga directamente, me parece que en la práctica es difícil saber qué es el torrent o qué contiene.
    ¿Es correcta esta interpretación? ¿Qué parte de un enlace magnet es esencial para organizar el encuentro? ¿Podría un tracker ignorar los campos legibles por humanos o bloquearlos en la etapa de entrada para vendarse los ojos?

    • Un tracker solo maneja el hash de información del torrent. No hay nombre, ni descripción, ni lista de contenidos, ni nada.
      Si tomamos como ejemplo opentracker, el software elegido en el texto original, puede ejecutarse tanto en modo de lista blanca como en modo de lista negra. El primero es obvio, y el segundo permite todos los hashes excepto los que estén en la lista negra. Los trackers públicos como torrent.eu u opentrackr.org siempre funcionan con lista negra para permitir que cualquiera se reúna alrededor de casi cualquier contenido.
    • Un tracker sabe qué está rastreando. Antes operé un tracker de series de TV y rastreaba la relación de subida/descarga de todos los usuarios.
  • Aquí hay una lista maestra de trackers que se actualiza a diario, así que probablemente puedas encontrar otros trackers muertos https://github.com/ngosang/trackerslist

  • En otras palabras, significa que se puede hacer DDoS a cualquier IP con solo pagar el costo de registrar un dominio y publicar ciertos registros DNS

    • ¿De verdad es tan grave?
      Los clientes BitTorrent que he usado se comportaban con bastante cortesía y retrocedían al menos unos 60 segundos por cada tracker al que no podían conectarse. Incluso si alguien comprara un dominio de tracker muerto y lo apuntara a la IP de otra persona, si ese servicio no está escuchando en el puerto al que el cliente intenta conectarse y, aunque el puerto coincida por casualidad, no habla BitTorrent, me cuesta imaginar que sea un problema tan grande aunque 1 millón de clientes BitTorrent intenten conectarse
    • El intervalo de announce de los clientes comunes es bastante largo. Normalmente es de unos 30 minutos. Aun así, con 3 millones de peers sí se genera una cantidad de tráfico
    • Lo más dañino es que se podrían redirigir todas las notificaciones DMCA enviadas por titulares agresivos de propiedad intelectual hacia una dirección IP residencial. Por muy legal que sea operar un tracker, el ISP simplemente cortaría la cuenta
    • ¿El autor quiere decir que, en teoría, redirigiría todo el tráfico a cualquier IP que quisiera DDoSear? Nunca lo había pensado, pero con 3 millones de peers definitivamente da miedo
  • Es parecido a cuando Cloudflare se quedó con la dirección IP 1.1.1.1. Apenas la activaron, vieron un tráfico enorme, porque mucha gente apuntaba a esa dirección en sus scripts

    • ¿Cómo consiguieron esa dirección?
  • Lo primero que pensé fue cuántos clientes BitTorrent tienen código de parsing vulnerable
    ¿Podría alguien malicioso registrar el dominio e infectar clientes?

    • Me recuerda a la novela “Invisible Armies” de Jon Evans y al “bug”/backdoor que había dentro de un software P2P. Su autor lo usó para tomar control de máquinas
    • No creo que tanto. El tracker es una parte muy pequeña de toda la configuración de Bittorrent, y básicamente se usa solo para que el cliente obtenga una lista de peers
      En esencia, la estructura consiste en enviar una llamada HTTP al tracker y recibir una respuesta. Lo que se me ocurre rápidamente es devolver bencode malformado para provocar agotamiento de memoria en un cliente escrito por principiantes. Como objetivos de ataque, el protocolo de peers y variantes como uTP son mucho más interesantes, y para eso ni siquiera hace falta alojar un tracker. Obtienes IPs de peers desde un tracker o DHT, te conectas y haces el ataque que quieras
    • utorrent v2.1 todavía lo usa demasiada gente, y sin duda es explotable
  • Es simple. Registra el dominio en países como Rusia, China o Irán, y corre el sitio web en Alibaba
    Que intenten mandar papel legal inútil a Rusia o China. Seguro les va a ir muy bien

    • Exacto. La solución para operar actividades ilegales en internet es simplemente registrar el dominio en “Rusia, China, Irán o algún país parecido”
      Hay que avisarle también a la gente de TOR sobre este descubrimiento. Ahora pueden cerrar la darknet y mudarlo todo a China
  • ¿No se podría reenviar a otro tracker público? Así no alojas nada y, si recibes cartas legales, les dices que hablen con el tracker público

    • Desde afuera no se puede distinguir, y de todos modos terminarías demandado
  • No soy abogado, pero según entiendo, en Estados Unidos es legal operar un tracker neutral respecto del contenido
    En otras jurisdicciones claramente podría no serlo, el VPS también podría estar en otra jurisdicción, y el TLD .si definitivamente lo está

    • Buscando, encontré al menos un tracker que fue cerrado por agencias de aplicación de la ley de EE. UU.: EliteTorrents [2005] https://www.latimes.com/archives/la-xpm-2005-may-26-fi-torre...
      Probablemente hubo más. Seguro hubo muchos más casos civiles en los que la MPAA y otros pidieron indemnizaciones. Puede ser algo más difícil de probar en EE. UU., pero si es un tracker donde la mayoría de lo registrado es contenido con copyright, estoy bastante seguro de que también podrían cerrarlo en EE. UU.
    • El VPS es el de https://cockbox.org/, mencionado en el artículo, y ahí dice que está basado en Moldavia
    • Antes había un gran tracker público que funcionaba en .si y era muy usado en Eslovenia, que es de donde viene .si
      Casi cualquiera que haya tenido vida online en Eslovenia durante los últimos 20 años lo conocía o lo había usado. Y ese tracker tampoco desapareció por avisos legales