"Tylne drzwi" w Skype?
Gdy w ubiegłym roku niemiecka policja przyznała, że nie jest w stanie przełamać zabezpieczeń Skype'a i podsłuchiwać rozmów podejrzanych o przestępstwa, użytkownicy Internetu zachwycali się bezpieczeństwem popularnego programu.
Obecnie wydają się potwierdzać spekulacje, że w Skype istnieją "tyle drzwi", które pozwalają wtajemniczonym na podsłuchiwanie rozmów. Plotki taki krążyły od miesięcy, ostatnio jednak na nowo zostały ożywione. Serwis Heise Online poinformował bowiem, że w ubiegłym miesiącu, podczas spotkania z przedstawicielami firm dostarczających Internet, wysoki rangą urzędnik austriackiego Ministerstwa Spraw Wewnętrznych stwierdził, iż "podsłuchanie rozmów na Skype nie stanowi problemu".
Dziennikarze z Heise Online poprosili przedstawicieli Skype'a o informację, czy podsłuch umożliwiają "tylne drzwi", specjalna aplikacja dająca dostęp do systemu czy też wtajemniczanym udostępniany jest klucz szyfrujący pozwalający na odkodowanie danych. W odpowiedzi usłyszeli, że Skype nie komentuje spekulacji mediów.
Komentarze (16)
mikroos, 25 lipca 2008, 12:42
Kolejna teoria spiskowa?
dirtymesucker, 25 lipca 2008, 13:02
czemu? ja ostatnio [tzn. jakieś pół roku temu;] natrafiłem na e-book opisujący podsłuchiwanie rozmów w gadu (choć w sumie nie wiem na ile skuteczny - podobno działa), także wszystko całkiem możliwe.
mikroos, 25 lipca 2008, 13:06
No właśnie. "Gazeta napisała", "podobno działa", "mówi się, że".
Mariusz Błoński, 25 lipca 2008, 13:42
Dobre pytanie.
Bo właściwie to możliwości są trzy:
1. albo Austriacy mają znacznie lepszych niż Niemcy speców od łamania zabezpieczeń,
2. albo dostali dostęp,
3. albo tylko się chwalą.
Gość macintosh, 25 lipca 2008, 13:47
4. Austriacy mają dobry budżet PR, opłacają sfrustrowanych hakerów.
5. Wszystko po to, żeby przygotować ludzi do lukratywnych ofert satelitarnych komórek.. o których nic nie wiem.
mikroos, 25 lipca 2008, 13:53
I wszystkie trzy, choć są wyłącznie obiektem naszej spekulacji, są wystarczająco dobre, by zastraszyć przynajmniej część osób, które mogłyby skorzystać ze Skype'a w celu złamania prawa. To tworzy spójną całość
cyjanobakteria, 25 lipca 2008, 14:20
Pozwolę sobie wtrącić fachową opinię.
1) Co do gadu gadu, to nie od dziś wiadomo, że to dziurawy soft, podsłuch nie stanowi większego problemu jeżeli znajdujemy się w tej samej podsieci (np. sieci w blokach). Używając pierwszego lepszego narzędzia do analizy ruchu sieciowego, możemy czytać komunikacje jak dialogi z ulubionej książki.
Jeżeli korzystamy z Neostrady (czy każdego innego PPPOE, jak usługi Netii) taki podsłuch nie jest oczywiście możliwy. Nie siedzę w tym temacie, ale jestem pewien, że wnikliwa analiza protokołu komunikacyjnego i funkcjonalności programu odkryłaby jakieś luki i "nieudokumentowane ficzery", które można by wykorzystać do bardziej podejrzanej działalności. Nie zapominajmy oczywiście o ryzyku ataku na serwer.
2) Co do Skypa, to dlaczego Mikross sądzisz, ze to teoria spiskowa? Dlaczego firma, która ma ponad 11 milionów użytkowników z całego online codziennie, może nie chcieć tych danych wykorzystać w nietyczny sposób? Wszystko się przecież kręci wokół pieniądza, więc jesli znajdzie się ktoś komu będzie zależało i zapłaci odpowiednio dużo... Resztę już sobie dopowiedz. Skype to także smaczny kąsek dla wszelkich policyjnych organizacji typu CIA, FBI walczących z terroryzmem (jak jesteś czysty to to, akurat nie powinno Tobie przeszkadzać).
Czy można zaufać tak łatwo firme, w skład której wchodzą ludzie, którzy zaprojektowali i rozwijali Kazaa'e (popularnie nazywaną trojan-downloader). Czy nagle się zmienili i stworzyli "czysty" soft? Moim zdaniem po prostu zmienili taktykę.
a) Skype jest dopracowanym i bezpiecznym oprogramowaniem (ale bezpieczeństwo zależy od kontekstu w jakim je rozpatrujemy). I dla zwykłego, szarego użytkownika jest to dobry wybór, umożliwia tanią, łatwą komunikację, możliwości rozmów głosowych, jest wersja Skype Mobile, więc nawet dzwonisz za free z komórki. To jest piękne. Dziwne może się wydawać tylko to, że to wszystko masz za darmo.
Dodatkow jest napisane w sposób który uniemożliwia (praktycznie) wsteczną inżynierię. Czyli nie wiadomo co dokładnie robi
raz uruchomione na komputerze (np. dlaczego wersja linuksowa odczytuje zapisane bookmarki z FireFoxa).
c) Z punktu widzenia osoby zainteresowaniem masowym wykorzystaniem kontroli nad cudzymi komputereami (nie wnikam w jakim celu), może stanowic obiekt ataku (pomijając tutaj rzeczywiste intencje twórców, każdy soft ma przecież błędy).
O Skypie można mówić by długo, dla zaawansowanych i zainteresowanych polecam lekturę "Silver Needle in the Skype", dostępną pod adresem
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf
Jest tam nawet przedstawiony "proof of concept" na atak na super-węzeł, zarządzający komunikacją pomiędzy poszczególnymi podrzędnymi węzłami (użytkownikami).
PS. Nie zgodzę się jeszcze w jednym z Mateusznow:
"Austriacy mają dobry budżet PR, opłacają sfrustrowanych hakerów.
Po prostu opłacają specjalistów komputerowych, którzy z tego żyją (i niekoniecznie są sfrustrowani).
PS. 2. Korzystam ze Skypa bo bilans strat i zysków w moim przypadku wychodzi na plus, ale warto zdawać sobie sprawe z pewnych, potencjalnych zagrożeń.
Pozdrawiam
mikroos, 25 lipca 2008, 14:30
Bo mam naturę naukowca: dopóki się o czymś wyłącznie mówi, jest to spekulacja, a skoro coś jest prawdą, to należy przedstawić dowody, by uwiarygodnić swoje słowa. Mam serdecznie dość wiecznego "mówi się", "najprawdopodobniej", "pan X twierdzi, że" i bzdur podobnego kroju.
cyjanobakteria, 25 lipca 2008, 14:37
Dlatego właśnie podałem adres do opracowania "Silver Needle in the Skype", stworzonego przez poważnych ludzi i wygłoszonego na poważnej konferencji Black Hat. Polecam lekturę chociaż części z tych 115 slajdów.
dirtymesucker, 25 lipca 2008, 14:40
po co niby tworzyć teorię spiskową na taki zwykły program jakim jest skype? ataki typu backdoor są w miarę łatwe - osobiście znam podstawy 5 sposobów na ich przeprowadzenie i wydaje mi się, że po prostu ten kto znalazł w skype'ie dziurę pewnie chce za to coś w zamian (EDIT: dlatego mikroos dowodów żadnych nie będzie, a skype na razie nie będzie tego komentował), albo to zwykły żart.
mikroos, 25 lipca 2008, 15:06
Wiesz, nie jestem specjalistą w tej dziedzinie, więc ten język naprawdę nie mówi mi zbyt wiele. Mimo to, sprawa jest dla mnie jasna: skoro twierdzi się, że coś jest możliwe, to nic nie stoi na przeszkodzie, by wykazać eksperymentalnie, że da się to zrobić. Podkreślam: nie gadać o możliwości ataku, tylko po prostu go wykonać.
w46, 25 lipca 2008, 15:41
Odbiegając od zamierzonego umieszczenia "Tylnych drzwi" (które pewnie zawiera)..
Aby jakiekolwiek oprogramowanie kryptograficzne mogło być uznane za bezpiecznie powinno mieć otwarty kod źródłowy aby mogło być swobodnie analizowane przez niezależnych specjalistów.
Stosowane przez "zamknięte" aplikacje metody szyfrowania często bazują na niejawności działania a dokładniej na trudności przeanalizowania działania kodu maszynowego.
Więc nawet jeśli twórcy chcą postępować etycznie w stosunku do swoich klientów (użytkowników) to nie ma pewności że ich aplikacja luk pozwalających na podsłuchiwanie nie posiada.
thikim, 25 lipca 2008, 19:11
Sam to wrzuciłeś w translatora czy tłumacz tak zrobił. Reverse engineering nie ma tłumaczenia na język polski, wsteczna inżynieria brzmi infantylnie, chociaż może być to promowane przez tłumaczy jako bezpośrednie tłumaczenie. Wogóle w tych kwestiach językowych niejeden bój stoczono.
Reverse engineering w informatyce to programowanie zwrotne.
Nie zajmowałem się Skype, nie wiem na czym miałoby polegać to uniemożliwienie programowania zwrotnego.
Co do wypowiedzi wysokiego urzędnika z Francji, u nas wysokim urzędnikiem był Andrzej L. Czy gdyby powiedział że złamano Skype to wierzylibyście? Całkiem możliwe że ten gość nawet nie wiedział co to jest Skype. Jak znacie jakiegoś wysokiego urzędnika fachowca od informatyki to czekam na namiary. Fachowcy nie są wysokimi urzędnikami
, tylko zarabiają kasę w firmach.
cyjanobakteria, 28 lipca 2008, 09:33
Nie wiem dlaczego się czepiasz tego określenia, nie tłumaczyłem tego w translatorze, jestem informatykiem i nie są obce mi te techniki. Posługuje się tym określeniem, jak i wszyscy moi znajomi i nikt tego nie uważa za infantylne. Nie widzę powodów dla których jest ono niewłaściwe.
Ale skoro się już tak czepiamy to ja nie znam określenia "programowanie wsteczne", zapewne chodzi Ci o "wywołanie zwrotne", określane jako "callback" (nie wrzuciłem tego w translatora, nie mam też osobistego tłumacza).
Co do tłumaczenia "Reverse engineering", pewnie źródła Digipedii i Wikipedii będą dla Ciebie infantylne, ale rzuć okiem na to:
http://www.digipedia.pl/def/807988853-reverse-engineering.html
http://pl.wikipedia.org/wiki/Reverse_engineering
Tylko po co?
//Edit:
poprawiony URL
Pozdrawiam
thibris, 28 lipca 2008, 11:01
Nie powinno być - tylne ?
A co do wspomnianego Skypa... Skoro do dzisiaj nikt nie udowodnił, że się da to znaczy że się nie udało nikomu i basta. Jeśli komuś by się to udało, to na pewno informacja o tym wyciekła by już jakiś czas temu w eter...
Sam fakt, że firma od Skypa ma miliony użytkowników i rozdaje program za darmo nie oznacza że z tymi użytkownikami robi coś złego. Sądzisz że Wikipedia Cię szpieguje ? Tylko dlatego że jest za darmo ?
I co ma do tego kazaa ? Przecież jej twórcy nie umieszczali na niej trojanów, tylko użytkownicy. Chyba, że chcesz twierdzić że było inaczej
thikim, 19 sierpnia 2008, 20:25
O dziwo ja też nie znam, pisałem o programowaniu zwrotnym, zauważyłbyś gdybyś czytał, nieprawdaż?. Jeśli nie znasz i tego określenia, to najwyższy czas je poznać.
Sam podałeś jako źrodło wikipedię, zatem zerknij tam jeszcze raz proszę i doczytaj.
Zapytałeś też po co stoczono boje językowe, w połowie lat dziewięćdziesiątych, nawiasem pisząc. Odpowiem. Stoczono je z dziennikarzami nie mającymi zielonego pojęcia o czym piszą. Jednak media wygrały, cóż, nakłady idące w setki tysięcy z błędami językowymi jednak wygrywają z prawdą.