Исследуя работу Linux версии Skype клиента, был обнаружен (http://forum.skype.com/index.php?showtopic=95261) факт неоправданного чтения данных из /etc/password, профайла firefox и других файлов содержащих приватную информацию и не имеющих к работе skype ни малейшего отношения.
С одной стороны, ничего криминального в этом нет, и подобным действиям можно придумать разумные объяснения, но с другой стороны - данный факт дает повод задуматься при использовании программ доступных только в бинарном виде.URL: http://yro.slashdot.org/article.pl?sid=07/08/26/1312256&from...
Новость: http://www.opennet.me/opennews/art.shtml?num=11821
Вывод: Используйте плагин для Kopete
Сам не пробывал ни это, ни то...
ну подобные новости - верх сенсации для журналов типа "хакер" и тд.
Ну это просто брет, кому-то завидно, что скайп делает красиво и хорошо, вот и все...
основная задача подобных новостей в гаражанах вселить недовольсво и вражду к скайп.
"Ну это просто брет, кому-то завидно, что скайп делает красиво и хорошо, вот и все..." -- сделайте strace на скайпе, сами проверите, чего и откуда он читает. Заодно и нам расскажите. Или опровергните... :-)
Сам проверить, увы, не могу, т.к. не пользовал и не пользую.
Полагаю, нужен следующий закон:
ЛЮБЫЕ манипуляции с "чувствительными" данными должны быть подробно описаны в лицензии и документации.Распространение программ БЕЗ таких документов - тюрьма. От 10 лет.
Несоответствие поведения программ заявленному в этих документах - тюрьма. От 20 лет.
>Несоответствие поведения программ заявленному в этих документах - тюрьма. От 20 лет.Во-во.А то проприетарщики достали уже сливать приватные данные направо-налево. Под суд скотин!
Для этого есть AppArmor (механизм ядра Linux для запуска приложений в изолированной среде, ограничивает доступ приложения к файловой системе), я под него писал профиль для скайпа. И в логах AppArmor видел, как Skype зачем-то читает разные файлы из каталога ~/.mozilla, включая закладки Firefox (если он, как заявляют разработчики Skype, ищет дополнение Skype для Firefox, зачем ему вдруг понадобилось читать закладки?). По поводу /etc/passwd - насколько мне известно, его читает библиотека Qt, на котором и сделан GUI линуксового Skype. Это всё, конечно, можно урезать через AppArmor, но также ничто не мешает перехватывать нажатые клавиши (Xorg позволяет это делать, и AppArmor тут ничем не поможет, можно ограничить через SELinux, но он крайне сложен в использовании). В конце концов я решил не рисковать и пересел на Jabber. Для звонков можно использовать Jitsi - пока единственный свободный аналог Skype, скачать можно здесь: https://jitsi.org/. Написан на Java, потому работает везде (Winows/Mac/Linux). Работает через тот же Jabber, т.е. достаточно иметь любой Jabber-аккаунт. Есть показ экрана, видеозвонки, конференции.
а чего такого вы в /etc/passwd прочитаете? uid пользователя? его шелл?
ll /etc/passwd
-rw-r--r-- 1 root root 1702 2007-08-17 05:30 /etc/passwd
пожалуйста, читать разрешено всем. и многие программы читают.
а из фаерфокса оно настройки просто прокси берет.
сенсация. ужасы какие
Здесь все рассказано гораздо интересней:
http://www.securitylab.ru/news/301836.phpВ частности цитата: "Ранее было обнаружено, что Skype делает дамп BIOS, читает серийный номер материнской платы и отправляет его в Skype для дальнейших манипуляций."
Я читать не стал, но мне очень интересно как все это делается без прав рут, под которым естественно никто скайп не запускает?
Почитав комментарии к новости обнаружил интересную ссылку на статью Криса Касперски в журнале Хакер:http://www.xakep.ru/magazine/xa/100/064/1.asp
Журналу Хакер я доверяю не сильно, а вот профессионализму Криса более чем. Очень познавательное чтиво.
А кто такой Крис Касперски, что ты ему так веришь ?
Прочитал статью, из ее узнал о популярных дебаггерах и что скайп теоретически поддается анализу, но это не тривиальная задача. Автор пока только смог определить какие ухищрения используют в качестве защиты программеры скайпа, но никаких "незаконных" действий не обнаружил. И хотя он высказал предположения, чем может заниматся скайп, но до сих пор ни он, никто другой, не смогли подтвердить эти предположения. Так что статьи такого плана - пустая болтовня.Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали". Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку"). Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что возможно такие статьи, как Криса, пишутся под заказ :)
А вообще я не удивлюсь когда узнаю, что скайп льет инфу наружу, а "вирусы" внутрь. Вот только сначала докажите, а потом тыкайте пальцами.
>[оверквотинг удален]
>Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
>Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что
>возможно такие статьи, как Криса, пишутся под заказ :)
>
>А вообще я не удивлюсь когда узнаю, что скайп льет инфу наружу,
>а "вирусы" внутрь. Вот только сначала докажите, а потом тыкайте пальцами.
>топик статьи посмотри...
>А кто такой Крис Касперски, что ты ему так веришь ?Надо заметить вполне достойный человек, специалист международного класса. Его статьи регулярно появляются на страницах журнала "Системный администратор" и из них обычно можно узнать много нового о способах защиты приложения, отладки и дизассемблирования.
Подробнее о нем читаем здесь:
http://ru.wikipedia.org/wiki/%D0%9E%D0%B...>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").Блин, а если люди узнают как работает алгоритм GnuPG они же смогут выявить его узкие места и создать взломщик для него. Я надеюсь вы понимаете, что ваши аналогии совершенно бессмысленны. И, кстати,проблема взлома открытых ключей тоже беспокоит лучшие умы, что не мешает этим алгоритмам успешно работать.
>Так что возможно такие статьи, как Криса, пишутся под заказ :)
Ну вас послушать так все в мире делается назло доброй компании Скайп. По сути Статья Криса говорит о том, что слепо доверять закрытым решениям по крайней мере безрассудна. И в общем исследования работы программы просто подтверждают этот тезис.
>Блин, а если люди узнают как работает алгоритм GnuPG они же смогут
>выявить его узкие места и создать взломщик для него.Ты пьян? GnuPG - полностью открытый софт с вдоль и поперек изученными алгоритмами. Вот оригинальный PGP - да, закрыт. И о нем ходили нехорошие слухи.
> GnuPG - полностью открытый софт с вдоль и поперек изученными алгоритмами.Хм, ирония не сработала. Ну я в общем пытался автору предыдущего сообщения показать, что открытость правильного решения не уменьшает его защиту. Он просто ссылался на тезис - открытый - значит легко ломаемый.
А, понял. Ориганальное сообщение не читал :/ Звиняюсь.
есть такое слово - сарказм ;)
>Ты пьян? GnuPG - полностью открытый софт с вдоль и поперек изученными
>алгоритмами. Вот оригинальный PGP - да, закрыт. И о нем ходили
>нехорошие слухи.А ты обкурился? Оригинальный PGP (еще для DOS) Циммерман всегда распространял в открытом виде, с исходниками. И очень много пропагандировал открытость, в т.ч. в его документации.
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").Security through obscurity в реальном мире работает очень плохо. Точнее говоря, приводит к тому, что "узкие места" становятся известными только большим парням (правительственные структуры, корпорации), а массовый пользователь живёт с иллюзией безопасности.
Кроме того, провоцирует разработчика экономить ресурсы на отладке безопасности (мол, всё равно никто не заметит халтурки) и в результате "узких мест" становится всё больше.
Всё это при том, что security прекрасно существует и без obscurity.
На самом деле, пока Скайп использует именно obscurity никто не может быть уверен, что "прослушки" на самом деле нет *уже*.
P.S. И, кстати, "конфИденциальности".
hm> топик статьи посмотри.../etc/passwd - приватные данные ? Они доступны любой программе и тайн там нет
С профайла браузера, как уже предположили, скайп читает настройки прокси.Увидел фото Криса на вики, прикольный чел, настоящий компьютерщик :)
Aleksey> Блин, а если люди узнают как работает алгоритм GnuPG..
Однозначно можно сказать, что скайп за своей защитой что-то скрывает. Толи слабые алгоритмы шифрования, толи шпионские штучки, толи реализацию воип протокола. И пока удачно скрывают. Может действительно дешевле выстроить высокую стену вокруг чего-то, чем навести там порядок.
По поводу чтения BIOSа - уже не читает. А читал для генерации аналога CPUID.
Заслуга скайпа в том, что создано решение, позволяющее в два клика мышкой поставить клиента, зарегистрироваться и позвонить другу. Попробуйте подключиться в другому провайдеру воип, поставить клиента с широким функционалом, настроить кодеки, вспомнить номер друга и т.д. Т.е. повторяется путь винды, все просто и красиво, но... И народ до сих пор сидит на винде, хотя есть альтернативы. Так что скайп занял довольно серьезные позиции и сбить его такими статьями (которые, кстати, читает не так много пользователей скайпа) тяжело.
Информация о потенциальной угрозе скайпа доступна. Конкретных фактов пока нет. Пусть каждый для себя решает сам чем пользоваться.
>Увидел фото Криса на вики, прикольный чел, настоящий компьютерщик :)Прикинув, что этот чел _младше_ меня на пять лет пошел смотреться в зеркало :D
Гендальф Серый!! LOL
>Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
>Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что
>возможно такие статьи, как Криса, пишутся под заказ :)Ай-ай-ай-ай! Библиотека OpenSSL, вообще в сырцах идет, а никто не плачется, что OpenSSH уязвимее от этого стал. :-)
> ай-ай-ай! Библиотека OpenSSL, вообще в сырцах идет, а никто не плачется,Вот надысь Бен Лори %) плакался...
Именно про OpenSSL (правда, в применении не в openssh, а к своему, родному - к apache). Мол, и не работает это ваше "много глазз -- ошибки прочЬ", "да, я прочитал исходники openssl - **целиком**, скука стра-а-ашная, никому не пожелаю".http://www.links.org/?p=249 <<спасибо http://updo.debian.net/
Для not-that-user-visible ошибок - которые security - "many eyes" - исключительно редкая вещь....
>А кто такой Крис Касперски, что ты ему так веришь ?Достаточно известный специалист в общем то.
>"незаконных" действий не обнаружил.
Ага, а кто знает что там внутрях этого шифрованного бинарного фуфела?Если шифруют EXE - значит есть что прятать.А security through obscurity - тупиковый путь.Да и вообще, программы которые не пытаются поиметь своего владельца так не делаются, вы уж извините.Шифрование EXE само по себе очень подозрительно выглядит.
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
Ню-ню.А мсье профессиональный криптоаналитик?Или кто?
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров
>(если сломают бинарник, то смогут найти узкие места в алгоритмах шифрования
>голоса и потом создать "прослушку").Да ну?А если почитать нормальных криптоаналитиков (Шнайер, Циммерман и т.п. например) - узнаем много нового (для вас:P).Например что надежный криптоалгоритм создан для того чтобы заменить большой секрет (данные) на маленький (ключ шифрования).Закрытость алгоритма обычно способствует тому что на алгоритм смотрит весьма немного криптоаналитиков и соответственно проверенность такого алгоритма весьма дохлая.Было немало примеров вскрытия подобных хило проверенных алгоритмов.Грубо говоря, в случае закрытого алгоритма вы будете тешить себя ложными надеждами.Потому что однажды скайп как вы понимаеие расковыряют до конца.И что, тогда прощай, конфиденциальность?Нормальные алгоритмы от этого не должны зависеть.Если говорить о шифровании переписки и т.п. от юзера до юзера - мне симпатично нечто типа OTR (www.cypherpunks.ca/otr).Вы, конечно, можете считать что камлание, удары в бубен, черная магия и призывы небесам ниспослать дождь имеют право на жизнь и что это венец так сказать, технологий.А я как-то предпочитаю более научный подход - прогноз погоды и систему ирригации.Понятно откуда взявшиеся, предсказуемо работающие и обходящиеся для своих задач без всякой там левой магии, существование которой (как и стойкость проприетарного алгоритма) попросту под большим вопросом.Но вам никто не запрещает молиться в тщетной надежде что никто и никогда не распатронит шифрованый бинарь (нюню, мечтайте, ага :P)
>Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что
>возможно такие статьи, как Криса, пишутся под заказ :)Крис на все свое мнение имеет.И интересен тем что думающий человек.Чем и отличается от быдла.Чего и вам от всей души желаю ;)
>А вообще я не удивлюсь когда узнаю, что скайп льет инфу наружу,
>а "вирусы" внутрь. Вот только сначала докажите, а потом тыкайте пальцами.Кхм, дампание биоса вроде уже доказали.Этого что, мало?Да это ж мля, спайварь форменная!Я, конечно, понимаю что у лохов участь такая - их все норовят поиметь.Но не настолько же нагло то??
>А кто такой Крис Касперски, что ты ему так веришь ?Однако...
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").Это откровенная и нечем не прикрытая некомпетентность. С большой буквы.
Вы уважаемый, просто глубоко некомпетентный в вопросе человек. Поэтому не удивительно что
начинаете письмо с вопроса кто есть Крис Касперски :)Основное положение стратегии безопасности в целом и безопасности передачи данных в частности (мысли изложенные в работах троицы RSA для Вас достаточно убедительны?) заключается не в сокрытии алгоритмов, а в математически доказанных принципах обеспечивающих оную безопасность.
Поэтому проприетарность и скрытость протокола говорит скорее о лицензионной нечистоте его, чем о их заботе об его безопасности.
Крис - профессиональный переводчик :). Эта "его" статья - не более чем вольный пересказ содержимого доклада и презентации на конференции BlackHat другого автора. А в этой "его" статье даже скрины из презентации использованы :). Такой вот "профессионал" :).
Угу, и что показательно в статье я не нашел ни одного скрина. :)Предлагаю все-же не вернуться к теме беседы. А именно стоит ли доверять пропроетарному софту, который при этом работает по неизвестному протоколу и всячески противодействует любому его изучению?
P.S.: и кроме того еще и собирает информацию на компьютере
>Угу, и что показательно в статье я не нашел ни одного скрина.
>:)На сайте скринов действительно нет. В журнале - есть.
Почитайте оригинальный трид - там написано что он и откуда читает:http://forum.skype.com/index.php?showtopic=95261
а прокси, если я правильно помню, содержится в prefs.js
Мало того, что они Линукс продают в обход ГПЛ, они ещё и данные воруют у клиентов
Респект!
>Мало того, что они Линукс продают в обход ГПЛ, они ещё и
>данные воруют у клиентов
>Респект!Продажа Линукса не есть нарушение ГПЛ, вот сокрытие сырцов - нарушение.
Очень странно, но статья Криса в Хакере поразительно напоминает презентацию Philippe BIONDI и Fabrice DESCLAUX на БлэкХате 2006.Кому интересно могут сравнить
http://www.secdev.org/conf/skype_BHEU06.handout.pdf
Угу, эта ссылка на эту статью есть на первом источнике, указанном в списке литературы (http://www1.cs.columbia.edu/~salman/skype). Правда прочтение тезисов еще больше убеждает, что Скайпом пользоваться не стоит.
Вы бы ещё поговорили о Microsoft'е... Не читает ли он файлы с вашего компьютера?.. :)
Таким риторическим вопросам тока тут место - http://support.microsoft.com/ :DСледовало бы конечно грохнуть это чудо, еще тогда, когда стали появляться сообщения о BIOS дампинге, дак, открытой альтернативы не видно, чтоб на разных, осях включая поделье дяди бИлла, работало нормально. Отстаем на этом фронте...
Так что - предохраняйтесь, товарищи - http://www1.cs.columbia.edu/~salman/skype/
у меня же в /etc/password (да да, именно в password) мои пароли к яндексу записаны ааааааа! опеннет превратился в лор-помойку.приватные блин данные
новости бы проверяли
>Исследуя работу Linux версии Skype клиента, был обнаружен (http://forum.skype.com/index.php?showtopic=95261) факт неоправданного чтения
>данных из /etc/password,% strace -o ls -l
open("/etc/passwd", O_RDONLY) = 4
fcntl64(4, F_GETFD) = 0
fcntl64(4, F_SETFD, FD_CLOEXEC) = 0
fstat64(4, {st_mode=S_IFREG|0644, st_size=2176, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7d56000
read(4, "root:x:0:0:root:/root:/bin/bash\n"..., 4096) = 2176
close(4) = 0:)
P.S.
% ltrace ls -lgetpwuid(...
:D
+1
Как интересно еше программе uid в логин переводить ?)))
PS strace : Нехорошо под рутом работать :D
> +1
> PS strace : Нехорошо под рутом работать :DЗачем под root? Кстати, у рута промпт # :), а не '%'