Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

"Tylne drzwi" w Skype?

Recommended Posts

Gdy w ubiegłym roku niemiecka policja przyznała, że nie jest w stanie przełamać zabezpieczeń Skype'a i podsłuchiwać rozmów podejrzanych o przestępstwa, użytkownicy Internetu zachwycali się bezpieczeństwem popularnego programu.

Obecnie wydają się potwierdzać spekulacje, że w Skype istnieją "tyle drzwi", które pozwalają wtajemniczonym na podsłuchiwanie rozmów. Plotki taki krążyły od miesięcy, ostatnio jednak na nowo zostały ożywione. Serwis Heise Online poinformował bowiem, że w ubiegłym miesiącu, podczas spotkania z przedstawicielami firm dostarczających Internet, wysoki rangą urzędnik austriackiego Ministerstwa Spraw Wewnętrznych stwierdził, iż "podsłuchanie rozmów na Skype nie stanowi problemu".

Dziennikarze z Heise Online poprosili przedstawicieli Skype'a o informację, czy podsłuch umożliwiają "tylne drzwi", specjalna aplikacja dająca dostęp do systemu czy też wtajemniczanym udostępniany jest klucz szyfrujący pozwalający na odkodowanie danych. W odpowiedzi usłyszeli, że Skype nie komentuje spekulacji mediów.

Share this post


Link to post
Share on other sites

czemu? ja ostatnio [tzn. jakieś pół roku temu;] natrafiłem na e-book opisujący podsłuchiwanie rozmów w gadu (choć w sumie nie wiem na ile skuteczny - podobno działa), także wszystko całkiem możliwe.

Share this post


Link to post
Share on other sites

Kolejna teoria spiskowa? :)

 

Dobre pytanie.

Bo właściwie to możliwości są trzy:

1. albo Austriacy mają znacznie lepszych niż Niemcy speców od łamania zabezpieczeń,

2. albo dostali dostęp,

3. albo tylko się chwalą.

Share this post


Link to post
Share on other sites
Guest macintosh

Bo właściwie to możliwości są trzy:

1. albo Austriacy mają znacznie lepszych niż Niemcy speców od łamania zabezpieczeń,

2. albo dostali dostęp,

3. albo tylko się chwalą.

4. Austriacy mają dobry budżet PR, opłacają sfrustrowanych hakerów.

5. Wszystko po to, żeby przygotować ludzi do lukratywnych ofert satelitarnych komórek.. o których nic nie wiem.

Share this post


Link to post
Share on other sites

Bo właściwie to możliwości są trzy

I wszystkie trzy, choć są wyłącznie obiektem naszej spekulacji, są wystarczająco dobre, by zastraszyć przynajmniej część osób, które mogłyby skorzystać ze Skype'a w celu złamania prawa. To tworzy spójną całość :)

Share this post


Link to post
Share on other sites

Pozwolę sobie wtrącić fachową opinię.

 

1) Co do gadu gadu, to nie od dziś wiadomo, że to dziurawy soft, podsłuch nie stanowi większego problemu jeżeli znajdujemy się w tej samej podsieci (np. sieci w blokach). Używając pierwszego lepszego narzędzia do analizy ruchu sieciowego, możemy czytać komunikacje jak dialogi z ulubionej książki.

 

Jeżeli korzystamy z Neostrady (czy każdego innego PPPOE, jak usługi Netii) taki podsłuch nie jest oczywiście możliwy. Nie siedzę w tym temacie, ale jestem pewien, że wnikliwa analiza protokołu komunikacyjnego i funkcjonalności programu odkryłaby jakieś luki i "nieudokumentowane ficzery", które można by wykorzystać do bardziej podejrzanej działalności. Nie zapominajmy oczywiście o ryzyku ataku na serwer.

 

 

2) Co do Skypa, to dlaczego Mikross sądzisz, ze to teoria spiskowa? Dlaczego firma, która ma ponad 11 milionów użytkowników z całego online codziennie, może nie chcieć tych danych wykorzystać w nietyczny sposób? Wszystko się przecież kręci wokół pieniądza, więc jesli znajdzie się ktoś komu będzie zależało i zapłaci odpowiednio dużo... Resztę już sobie dopowiedz. Skype to także smaczny kąsek dla wszelkich policyjnych organizacji typu CIA, FBI walczących z terroryzmem (jak jesteś czysty to to, akurat nie powinno Tobie przeszkadzać).

 

Czy można zaufać tak łatwo firme, w skład której wchodzą ludzie, którzy zaprojektowali i rozwijali Kazaa'e (popularnie nazywaną trojan-downloader). Czy nagle się zmienili i stworzyli "czysty" soft? Moim zdaniem po prostu zmienili taktykę.

 

a) Skype jest dopracowanym i bezpiecznym oprogramowaniem (ale bezpieczeństwo zależy od kontekstu w jakim je rozpatrujemy). I dla zwykłego, szarego użytkownika jest to dobry wybór, umożliwia tanią, łatwą komunikację, możliwości rozmów głosowych, jest wersja Skype Mobile, więc nawet dzwonisz za free z komórki. To jest piękne. Dziwne może się wydawać tylko to, że to wszystko masz za darmo.

 

:) Z punktu widzenia administratora sieci (lub menadżera ds. bezpieczeństwa informacyjnego w firmie) Skype to koszmar. Jest to oprogramowanie posługujące się silnie zaszyfrowanym i skomplikowanym protokołem komunikacyjnym. Strasznie trudno je "wyciąć" na firewallu, umożliwia kopiowanie plików... Posiada więc wszystkie mozliwości, aby stać się przyczyna poważnego wycieku informacyjnego w firmie.

 

Dodatkow jest napisane w sposób który uniemożliwia (praktycznie) wsteczną inżynierię. Czyli nie wiadomo co dokładnie robi

raz uruchomione na komputerze (np. dlaczego wersja linuksowa odczytuje zapisane bookmarki z FireFoxa).

 

c) Z punktu widzenia osoby zainteresowaniem masowym wykorzystaniem kontroli nad cudzymi komputereami (nie wnikam w jakim celu), może stanowic obiekt ataku (pomijając tutaj rzeczywiste intencje twórców, każdy soft ma przecież błędy).

 

 

O Skypie można mówić by długo, dla zaawansowanych i zainteresowanych polecam lekturę "Silver Needle in the Skype", dostępną pod adresem

http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf

 

Jest tam nawet przedstawiony "proof of concept" na atak na super-węzeł, zarządzający komunikacją pomiędzy poszczególnymi podrzędnymi węzłami (użytkownikami).

 

 

PS. Nie zgodzę się jeszcze w jednym z Mateusznow:

"Austriacy mają dobry budżet PR, opłacają sfrustrowanych hakerów.

 

Po prostu opłacają specjalistów komputerowych, którzy z tego żyją (i niekoniecznie są sfrustrowani).

 

PS. 2. Korzystam ze Skypa bo bilans strat i zysków w moim przypadku wychodzi na plus, ale warto zdawać sobie sprawe z pewnych, potencjalnych zagrożeń.

 

 

 

Pozdrawiam

Share this post


Link to post
Share on other sites
2) Co do Skypa, to dlaczego Mikross sądzisz, ze to teoria spiskowa?

Bo mam naturę naukowca: dopóki się o czymś wyłącznie mówi, jest to spekulacja, a skoro coś jest prawdą, to należy przedstawić dowody, by uwiarygodnić swoje słowa. Mam serdecznie dość wiecznego "mówi się", "najprawdopodobniej", "pan X twierdzi, że" i bzdur podobnego kroju.

Share this post


Link to post
Share on other sites

Bo mam naturę naukowca: dopóki się o czymś wyłącznie mówi, jest to spekulacja, a skoro coś jest prawdą, to należy przedstawić dowody, by uwiarygodnić swoje słowa. Mam serdecznie dość wiecznego "mówi się", "najprawdopodobniej", "pan X twierdzi, że" i bzdur podobnego kroju.

 

Dlatego właśnie podałem adres do opracowania "Silver Needle in the Skype", stworzonego przez poważnych ludzi i wygłoszonego na poważnej konferencji Black Hat. Polecam lekturę chociaż części z tych 115 slajdów.

Share this post


Link to post
Share on other sites

po co niby tworzyć teorię spiskową na taki zwykły program jakim jest skype? ataki typu backdoor są w miarę łatwe - osobiście znam podstawy 5 sposobów na ich przeprowadzenie i wydaje mi się, że po prostu ten kto znalazł w skype'ie dziurę pewnie chce za to coś w zamian (EDIT: dlatego mikroos dowodów żadnych nie będzie, a skype na razie nie będzie tego komentował), albo to zwykły żart.

Share this post


Link to post
Share on other sites

Bo mam naturę naukowca: dopóki się o czymś wyłącznie mówi, jest to spekulacja, a skoro coś jest prawdą, to należy przedstawić dowody, by uwiarygodnić swoje słowa. Mam serdecznie dość wiecznego "mówi się", "najprawdopodobniej", "pan X twierdzi, że" i bzdur podobnego kroju.

Dlatego właśnie podałem adres do opracowania "Silver Needle in the Skype", stworzonego przez poważnych ludzi i wygłoszonego na poważnej konferencji Black Hat. Polecam lekturę chociaż części z tych 115 slajdów.

Wiesz, nie jestem specjalistą w tej dziedzinie, więc ten język naprawdę nie mówi mi zbyt wiele. Mimo to, sprawa jest dla mnie jasna: skoro twierdzi się, że coś jest możliwe, to nic nie stoi na przeszkodzie, by wykazać eksperymentalnie, że da się to zrobić. Podkreślam: nie gadać o możliwości ataku, tylko po prostu go wykonać.

Share this post


Link to post
Share on other sites

Odbiegając od zamierzonego umieszczenia "Tylnych drzwi" (które pewnie zawiera)..

Aby jakiekolwiek oprogramowanie kryptograficzne mogło być uznane za bezpiecznie powinno mieć otwarty kod źródłowy aby mogło być swobodnie analizowane przez niezależnych specjalistów.

Stosowane przez "zamknięte" aplikacje metody szyfrowania często bazują na niejawności działania a dokładniej na trudności przeanalizowania działania kodu maszynowego.

Więc nawet jeśli twórcy chcą postępować etycznie w stosunku do swoich klientów (użytkowników) to nie ma pewności że ich aplikacja luk pozwalających na podsłuchiwanie nie posiada.

Share this post


Link to post
Share on other sites
w sposób który uniemożliwia (praktycznie) wsteczną inżynierię

Sam to wrzuciłeś w translatora czy tłumacz tak zrobił. Reverse engineering nie ma tłumaczenia na język polski, wsteczna inżynieria brzmi infantylnie, chociaż może być to promowane przez tłumaczy jako bezpośrednie tłumaczenie. Wogóle w tych kwestiach językowych niejeden bój stoczono.

Reverse engineering w informatyce to programowanie zwrotne.

Nie zajmowałem się Skype, nie wiem na czym miałoby polegać to uniemożliwienie programowania zwrotnego.

Co do wypowiedzi wysokiego urzędnika z Francji, u nas wysokim urzędnikiem był Andrzej L. Czy gdyby powiedział że złamano Skype to wierzylibyście? Całkiem możliwe że ten gość nawet nie wiedział co to jest Skype. Jak znacie jakiegoś wysokiego urzędnika fachowca od informatyki to czekam na namiary. Fachowcy nie są wysokimi urzędnikami :), tylko zarabiają kasę w firmach.

Share this post


Link to post
Share on other sites

Sam to wrzuciłeś w translatora czy tłumacz tak zrobił. Reverse engineering nie ma tłumaczenia na język polski, wsteczna inżynieria brzmi infantylnie, chociaż może być to promowane przez tłumaczy jako bezpośrednie tłumaczenie. Wogóle w tych kwestiach językowych niejeden bój stoczono.

Reverse engineering w informatyce to programowanie zwrotne.

Nie zajmowałem się Skype, nie wiem na czym miałoby polegać to uniemożliwienie programowania zwrotnego.

Co do wypowiedzi wysokiego urzędnika z Francji, u nas wysokim urzędnikiem był Andrzej L. Czy gdyby powiedział że złamano Skype to wierzylibyście? Całkiem możliwe że ten gość nawet nie wiedział co to jest Skype. Jak znacie jakiegoś wysokiego urzędnika fachowca od informatyki to czekam na namiary. Fachowcy nie są wysokimi urzędnikami :), tylko zarabiają kasę w firmach.

 

Nie wiem dlaczego się czepiasz tego określenia, nie tłumaczyłem tego w translatorze, jestem informatykiem i nie są obce mi te techniki. Posługuje się tym określeniem, jak i wszyscy moi znajomi i nikt tego nie uważa za infantylne. Nie widzę powodów dla których jest ono niewłaściwe.

 

Ale skoro się już tak czepiamy to ja nie znam określenia "programowanie wsteczne", zapewne chodzi Ci o "wywołanie zwrotne", określane jako "callback" (nie wrzuciłem tego w translatora, nie mam też osobistego tłumacza).

 

Co do tłumaczenia "Reverse engineering", pewnie źródła Digipedii i Wikipedii będą dla Ciebie infantylne, ale rzuć okiem na to:

 

http://www.digipedia.pl/def/807988853-reverse-engineering.html

 

http://pl.wikipedia.org/wiki/Reverse_engineering

 

 

 

Wogóle w tych kwestiach językowych niejeden bój stoczono.

 

 

Tylko po co?

 

 

//Edit:

poprawiony URL

 

Pozdrawiam

Share this post


Link to post
Share on other sites
Obecnie wydają się potwierdzać spekulacje, że w Skype istnieją "tyle drzwi"

 

Nie powinno być - tylne ?

 

A co do wspomnianego Skypa... Skoro do dzisiaj nikt nie udowodnił, że się da to znaczy że się nie udało nikomu i basta. Jeśli komuś by się to udało, to na pewno informacja o tym wyciekła by już jakiś czas temu w eter...

Sam fakt, że firma od Skypa ma miliony użytkowników i rozdaje program za darmo nie oznacza że z tymi użytkownikami robi coś złego. Sądzisz że Wikipedia Cię szpieguje ? Tylko dlatego że jest za darmo ?

I co ma do tego kazaa ? Przecież jej twórcy nie umieszczali na niej trojanów, tylko użytkownicy. Chyba, że chcesz twierdzić że było inaczej :)

Share this post


Link to post
Share on other sites
ja nie znam określenia "programowanie wsteczne"

O dziwo ja też nie znam, pisałem o programowaniu zwrotnym, zauważyłbyś gdybyś czytał, nieprawdaż?. Jeśli nie znasz i tego określenia, to najwyższy czas je poznać.

Sam podałeś jako źrodło wikipedię, zatem zerknij tam jeszcze raz proszę i doczytaj.

Zapytałeś też po co stoczono boje językowe, w połowie lat dziewięćdziesiątych, nawiasem pisząc. Odpowiem. Stoczono je z dziennikarzami nie mającymi zielonego pojęcia o czym piszą. Jednak media wygrały, cóż, nakłady idące w setki tysięcy z błędami językowymi jednak wygrywają z prawdą.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      W tym samym dniu, w którym Cisco zgłosiło zastrzeżenia co do planów Microsoftu wobec Skype’a koncern z Redmond ogłosił, że ma zamiar zintegrować popularny komunikator z możliwie największą liczbą swoich produktów.
      Peter Klein, dyrektor finansowy Microsoftu, podczas Goldman Sachs Technology & Internet Conference stwierdził: Gdy myślimy o Skype i myślimy o tym, do czego służą różne urządzenia, stwierdzamy, że ich podstawową funkcją jest funkcja komunikacyjna. Skype pasuje do wszystkich naszych zasobów, czy będzie to Lync w przedsiębiorstwach czy Xbox Live. To technologia, która łączy wszystkie nasze urządzenia.
      Jeszcze zanim Klein wypowiedział te słowa Cisco ogłosiło, że ma zamiar zwrócić się do Komisji Europejskiej z protestem przeciwko zatwierdzeniu przejęcia Skype’a przez Microsoft. Firma chce, by KE zmusiła Microsoft do zapewnienia kompatybilności Skype’a z innymi platformami tego typu.
      Cisco szczególnie obawia się planów Microsoftu dotyczących zintegrowania Skype z Lync, czyli microsoftowym komunikatorem skierowanym na rynek korporacyjny. Cisco oferuje na tym rynku własne rozwiązania, obawia się zatem, że gdy Lync będzie mógł bez przeszkód komunikować się ze Skype’em pozycja koncernu Redmond się wzmocni.
      W odpowiedzi na zapowiedź Cisco Microsoft wydał oświadczenie, w którym zauważa, że Komisja Europejska przeprowadziła szczegółowe śledztwo w sprawie przejęcia i zgodziło się na nie w swoim 36-stronicowym raporcie, nie stawiając przy tym żadnych warunków. Cisco aktywnie uczestniczyło w tym śledztwie. Jesteśmy pewni, że podczas apelacji decyzja KE zostanie podtrzymana.
    • By KopalniaWiedzy.pl
      Anonimowi opublikowali na YouTube nagranie telekonferencji pomiędzy agentami FBI a detektywami z Londynu. Obie służby potwierdziły, że nagranie jest autentyczne i wszczęły śledztwo w tej sprawie.
      Na szczęście dla FBI i policji, podczas rozmowy nie omawiano tajnych kwestii, jednak dotyczyła ona spraw, które bardziej interesują Anonimowych. Przedstawiciele obu służb rozmawiali bowiem o walce z hakerami. Brytyjscy policjanci wspominają m.in. 15-latka, który, jak stwierdzili, „jest idiotą“ gdyż dokonuje włamań po to, by się popisać. Jest również mowa o dwóch obywatelach Wielkiej Brytanii, którzy już zostali oskarżeni o włamania. Przedstawiciele organów ścigania wspominają też o konferencji, która ma się odbyć w Sheffield.
      Po publikacji nagrania Peter Donal, rzecznik prasowy biura FBI z Nowego Jorku stwierdził, że „informacje znajdujące się na nagraniu były przeznaczone tylko dla organów ścigania. Zostały zdobyte nielegalnie i FBI rozpoczęło śledztwo w tej sprawie“. FBI oświadczyło też, że nie doszło do włamania do systemów Biura.
      Brytyjska policja nie odniosła się do kwestii technicznych dotyczących sposobu, w jaki zdobyto nagranie. Osoba zaangażowana w międzynarodową koordynację walki z cyberprzestępczością potwierdziła, że agencje czasem niedostatecznie weryfikują tożsamość osób dołączających do konferencji.
      Anonimowi opublikowali też e-mail, który prawdopodobnie został wysłany przez FBI. List to zaproszenie do konferencji, a nadawca proponuje, by wszyscy uczestnicy używali tego samego kodu uwierzytelniającego podczas przyłączania się do konferencji.
      Wspomniana wcześniej osoba mówi, że popełniono błąd, gdyż jeśli każdy używałby unikatowego kodu podsłuch byłoby łatwo wykryć, gdyż natychmiast stałoby się jasne, że ten sam kod został wykorzystany przez dwie różne osoby.
    • By KopalniaWiedzy.pl
      Dziennikarz Michael Morisy z serwisu MuckRock.com, powołując się na ustawę FOIA, wysłał do FBI zapytanie ws. programu firmy Carrier IQ, który jest zainstalowany na 140 milionach smartfonów i stał się przyczyną niedawnego skandalu oraz oskarżeń o szpiegowanie użytkowników.
      Freedom of Information Act (FOIA), to potężne narzędzie w rękach obywateli USA. Podpisana w 1966 roku ustawa określa, na jakich zasadach udostępniane są informacje kontrolowane przez rząd, opisuje procedury ich ujawniania oraz wymienia 9 sytuacji, w których można odmówić dostępu do danych.
      W swoim wniosku Morisy domaga się dostępu do wszelkich podręczników, dokumentów i innych źródeł pisanych używanych do uzyskania dostępu lub wykorzystywanych podczas analizowania danych zebranych przez oprogramowanie stworzone lub dostarczone przez Carrier IQ.
      Odpowiedź nadeszła po tygodniu. FBI, powołując się na odpowiednie zapisy ustawy, odmówiło udostępnienia posiadanych przez siebie dokumentów, gdyż są one wykorzystywane w toczącym się obecnie śledztwie i ich ujawnienie mogłoby zaszkodzić postępowaniu.
      Tym samym FBI przyznało, że posiada informacje dotyczące kontrowersyjnego oprogramowania Carrier IQ. To może oznaczać, że Biuro z niego korzysta. Możliwa jest również mniej sensacyjna interpretacja. Niewykluczone, że FBI prowadzi śledztwo przeciwko Carrier IQ.
      Sama firma twierdzi, że nigdy nie udostępniała żadnych danych FBI. W wydanym oświadczeniu stwierdziła, że zbierane informacje nie nadają się dla organów ścigania, gdyż są to dane historyczne, na podstawie których nie można w czasie rzeczywistym stwierdzić, gdzie dana osoba przebywa i co robi. Jednak w szczegółowym dokumencie, opisującym działanie swojego oprogramowania, Carrier IQ przyznało, że do niedawna w programie istniał błąd, który pozwalał na przechwytywanie SMS-ów.
      Jeśli nawet stwierdzenia te są prawdziwe, otwarte pozostaje pytanie, czy Biuro miało jakiś dostęp do danych zbieranych przez oprogramowanie, czy też odmówiło Morisy'emu informacji, gdyż prowadzi śledztwo przeciwko Carrier IQ.
    • By KopalniaWiedzy.pl
      Microsoft zakończył proces przejmowania Skype'a. W ubiegłym tygodniu, gdy Komisja Europejska wyraziła zgodę na przejęcie, zniknęła ostatnia przeszkoda na drodze połączenia obu firm.
      Skype to wspaniały produkt i marka, która jest kochana przez setki milionów ludzi na całym świecie. Chcemy współpracować z zespołem Skype'a na rzecz tworzenia nowych sposobów komunikacji pomiędzy użytkownikami a ich rodzinami, przyjaciółmi, klientami i kolegami - stwierdził prezes Microsoftu Steve Ballmer.
      We wrześniu 2011 roku Skype miał 663 miliony zarejestrowanych użytkowników. Jednocześnie z tego oprogramowania korzysta nawet 30 milionów osób.
      Skype założony w 2003 roku już dwa lata później został kupiony przez eBaya za kwotę 2,6 miliarda dolarów.
      W maju bieżącego roku ogłoszono, że Microsoft przejmie Skype'a płacąc za niego 8,5 miliarda USD.
      Teraz, gdy firma stała się częścią Microsoftu, jej dotychczasowy prezes Tony Bate został prezesem Skype Division i będzie podlegał bezpośrednio Ballmerowi. W przyszłości Skype zostanie zintegrowany z konsolą Xbox 360, telefonami korzystającymi z systemu Windows Phone i pakietem biurowym MS Office 2012. Niewykluczone, że trafi też do systemu Windows 8.
    • By KopalniaWiedzy.pl
      W niektórych modelach telefonów HTC z systemem Android znajdują się „tylne drzwi", które mogą posłużyć do kradzieży danych użytkownika. Problem dotyczy tych urządzeń, w których zastosowano program do logowania produkcji HTC.
      Oprogramowanie htclogger powstało z myślą developerach. Jego zadaniem jest m.in. ułatwienie śledzenia błędów. Problem jednak w tym, że oprogramowanie daje niemal każdej aplikacji dostęp do danych użytkownika. Aplikacje mogą odczytywać informacje o połączeniu do konkretnych punktów sieci, dane GPS, SMS-y, numery telefonów czy logi systemowe.
      Dziurę znaleziono w modelach Evo3D, Evo4G i Thunderbolt. Niewykluczone, że występuje ona też w innych smarfonach jak np. Sensation.
×
×
  • Create New...