|
| 1.2, LILO (??), 23:27, 27/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 ну подобные новости - верх сенсации для журналов типа "хакер" и тд.
Ну это просто брет, кому-то завидно, что скайп делает красиво и хорошо, вот и все...
основная задача подобных новостей в гаражанах вселить недовольсво и вражду к скайп.
| | |
| |
| 2.3, Damon (??), 00:11, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
 "Ну это просто брет, кому-то завидно, что скайп делает красиво и хорошо, вот и все..." -- сделайте strace на скайпе, сами проверите, чего и откуда он читает. Заодно и нам расскажите. Или опровергните... :-)
Сам проверить, увы, не могу, т.к. не пользовал и не пользую.
| | |
| |
| 3.8, ЩекнИтрч (?), 09:28, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
Полагаю, нужен следующий закон:
ЛЮБЫЕ манипуляции с "чувствительными" данными должны быть подробно описаны в лицензии и документации.
Распространение программ БЕЗ таких документов - тюрьма. От 10 лет.
Несоответствие поведения программ заявленному в этих документах - тюрьма. От 20 лет.
| | |
| |
| 4.40, 0x00 (?), 00:27, 01/09/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>Несоответствие поведения программ заявленному в этих документах - тюрьма. От 20 лет.
Во-во.А то проприетарщики достали уже сливать приватные данные направо-налево. Под суд скотин!
| | |
|
|
| 2.46, Антон (??), 15:34, 14/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
Для этого есть AppArmor (механизм ядра Linux для запуска приложений в изолированной среде, ограничивает доступ приложения к файловой системе), я под него писал профиль для скайпа. И в логах AppArmor видел, как Skype зачем-то читает разные файлы из каталога ~/.mozilla, включая закладки Firefox (если он, как заявляют разработчики Skype, ищет дополнение Skype для Firefox, зачем ему вдруг понадобилось читать закладки?). По поводу /etc/passwd - насколько мне известно, его читает библиотека Qt, на котором и сделан GUI линуксового Skype. Это всё, конечно, можно урезать через AppArmor, но также ничто не мешает перехватывать нажатые клавиши (Xorg позволяет это делать, и AppArmor тут ничем не поможет, можно ограничить через SELinux, но он крайне сложен в использовании). В конце концов я решил не рисковать и пересел на Jabber. Для звонков можно использовать Jitsi - пока единственный свободный аналог Skype, скачать можно здесь: https://jitsi.org/. Написан на Java, потому работает везде (Winows/Mac/Linux). Работает через тот же Jabber, т.е. достаточно иметь любой Jabber-аккаунт. Есть показ экрана, видеозвонки, конференции.
| | |
|
| 1.4, pawnhearts (?), 02:43, 28/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а чего такого вы в /etc/passwd прочитаете? uid пользователя? его шелл?
ll /etc/passwd
-rw-r--r-- 1 root root 1702 2007-08-17 05:30 /etc/passwd
пожалуйста, читать разрешено всем. и многие программы читают.
а из фаерфокса оно настройки просто прокси берет.
сенсация. ужасы какие
| | |
| |
| |
| 3.31, ТТТ (?), 12:29, 29/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
Я читать не стал, но мне очень интересно как все это делается без прав рут, под которым естественно никто скайп не запускает?
| | |
|
| |
| 3.10, Vladimir (??), 09:51, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
А кто такой Крис Касперски, что ты ему так веришь ?
Прочитал статью, из ее узнал о популярных дебаггерах и что скайп теоретически поддается анализу, но это не тривиальная задача. Автор пока только смог определить какие ухищрения используют в качестве защиты программеры скайпа, но никаких "незаконных" действий не обнаружил. И хотя он высказал предположения, чем может заниматся скайп, но до сих пор ни он, никто другой, не смогли подтвердить эти предположения. Так что статьи такого плана - пустая болтовня.
Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали". Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку"). Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что возможно такие статьи, как Криса, пишутся под заказ :)
А вообще я не удивлюсь когда узнаю, что скайп льет инфу наружу, а "вирусы" внутрь. Вот только сначала докажите, а потом тыкайте пальцами.
| | |
| |
| 4.11, hm (??), 10:31, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
>Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что
>возможно такие статьи, как Криса, пишутся под заказ :)
>
>А вообще я не удивлюсь когда узнаю, что скайп льет инфу наружу,
>а "вирусы" внутрь. Вот только сначала докажите, а потом тыкайте пальцами.
>
топик статьи посмотри...
| | |
| 4.12, Aleksey (??), 10:41, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>А кто такой Крис Касперски, что ты ему так веришь ?
Надо заметить вполне достойный человек, специалист международного класса. Его статьи регулярно появляются на страницах журнала "Системный администратор" и из них обычно можно узнать много нового о способах защиты приложения, отладки и дизассемблирования.
Подробнее о нем читаем здесь:
http://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%81
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
Блин, а если люди узнают как работает алгоритм GnuPG они же смогут выявить его узкие места и создать взломщик для него. Я надеюсь вы понимаете, что ваши аналогии совершенно бессмысленны. И, кстати,проблема взлома открытых ключей тоже беспокоит лучшие умы, что не мешает этим алгоритмам успешно работать.
>Так что возможно такие статьи, как Криса, пишутся под заказ :)
Ну вас послушать так все в мире делается назло доброй компании Скайп. По сути Статья Криса говорит о том, что слепо доверять закрытым решениям по крайней мере безрассудна. И в общем исследования работы программы просто подтверждают этот тезис.
| | |
| |
| 5.21, Аноним (-), 14:21, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Блин, а если люди узнают как работает алгоритм GnuPG они же смогут
>выявить его узкие места и создать взломщик для него.
Ты пьян? GnuPG - полностью открытый софт с вдоль и поперек изученными алгоритмами. Вот оригинальный PGP - да, закрыт. И о нем ходили нехорошие слухи.
| | |
| |
| 6.22, Aleksey (??), 14:37, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
> GnuPG - полностью открытый софт с вдоль и поперек изученными алгоритмами.
Хм, ирония не сработала. Ну я в общем пытался автору предыдущего сообщения показать, что открытость правильного решения не уменьшает его защиту. Он просто ссылался на тезис - открытый - значит легко ломаемый.
| | |
| 6.36, nuclight (?), 08:49, 30/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >Ты пьян? GnuPG - полностью открытый софт с вдоль и поперек изученными
>алгоритмами. Вот оригинальный PGP - да, закрыт. И о нем ходили
>нехорошие слухи.
А ты обкурился? Оригинальный PGP (еще для DOS) Циммерман всегда распространял в открытом виде, с исходниками. И очень много пропагандировал открытость, в т.ч. в его документации.
| | |
|
|
| 4.13, kruk (?), 10:53, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
Security through obscurity в реальном мире работает очень плохо. Точнее говоря, приводит к тому, что "узкие места" становятся известными только большим парням (правительственные структуры, корпорации), а массовый пользователь живёт с иллюзией безопасности.
Кроме того, провоцирует разработчика экономить ресурсы на отладке безопасности (мол, всё равно никто не заметит халтурки) и в результате "узких мест" становится всё больше.
Всё это при том, что security прекрасно существует и без obscurity.
На самом деле, пока Скайп использует именно obscurity никто не может быть уверен, что "прослушки" на самом деле нет *уже*.
P.S. И, кстати, "конфИденциальности".
| | |
| |
| 5.18, Vladimir (??), 12:50, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
hm> топик статьи посмотри...
/etc/passwd - приватные данные ? Они доступны любой программе и тайн там нет
С профайла браузера, как уже предположили, скайп читает настройки прокси.
Увидел фото Криса на вики, прикольный чел, настоящий компьютерщик :)
Aleksey> Блин, а если люди узнают как работает алгоритм GnuPG..
Однозначно можно сказать, что скайп за своей защитой что-то скрывает. Толи слабые алгоритмы шифрования, толи шпионские штучки, толи реализацию воип протокола. И пока удачно скрывают. Может действительно дешевле выстроить высокую стену вокруг чего-то, чем навести там порядок.
По поводу чтения BIOSа - уже не читает. А читал для генерации аналога CPUID.
Заслуга скайпа в том, что создано решение, позволяющее в два клика мышкой поставить клиента, зарегистрироваться и позвонить другу. Попробуйте подключиться в другому провайдеру воип, поставить клиента с широким функционалом, настроить кодеки, вспомнить номер друга и т.д. Т.е. повторяется путь винды, все просто и красиво, но... И народ до сих пор сидит на винде, хотя есть альтернативы. Так что скайп занял довольно серьезные позиции и сбить его такими статьями (которые, кстати, читает не так много пользователей скайпа) тяжело.
Информация о потенциальной угрозе скайпа доступна. Конкретных фактов пока нет. Пусть каждый для себя решает сам чем пользоваться.
| | |
| |
| 6.42, CDigger (?), 04:49, 04/09/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>Увидел фото Криса на вики, прикольный чел, настоящий компьютерщик :)
Прикинув, что этот чел _младше_ меня на пять лет пошел смотреться в зеркало :D
Гендальф Серый!! LOL
| | |
|
|
| 4.27, Damon (??), 18:21, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Я не защитник скайпа, хотя даже сам пару раз пользовался. А такие
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут
>найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
>Ес-но эта проблема беспокоит таже страшно подумать какие умы. Так что
>возможно такие статьи, как Криса, пишутся под заказ :)
Ай-ай-ай-ай! Библиотека OpenSSL, вообще в сырцах идет, а никто не плачется, что OpenSSH уязвимее от этого стал. :-)
| | |
| |
| 5.30, Andrey Mitrofanov (?), 11:12, 29/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
> ай-ай-ай! Библиотека OpenSSL, вообще в сырцах идет, а никто не плачется,
Вот надысь Бен Лори %) плакался...
Именно про OpenSSL (правда, в применении не в openssh, а к своему, родному - к apache). Мол, и не работает это ваше "много глазз -- ошибки прочЬ", "да, я прочитал исходники openssl - **целиком**, скука стра-а-ашная, никому не пожелаю".
http://www.links.org/?p=249 <<спасибо http://updo.debian.net/
Для not-that-user-visible ошибок - которые security - "many eyes" - исключительно редкая вещь....
| | |
|
| 4.43, 0x00 (?), 04:57, 04/09/2007 [^] [^^] [^^^] [ответить] | +/– | Достаточно известный специалист в общем то Ага, а кто знает что там внутрях это... большой текст свёрнут, показать | | |
| 4.44, Jet (??), 22:30, 30/10/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>А кто такой Крис Касперски, что ты ему так веришь ?
Однако...
>статьи, встречающиеся мне в инете уже больше года, грубо говоря "достали".
>Скайповские штучки оправданы обеспечением конфеденциальности переговоров (если сломают бинарник, то смогут найти узкие места в алгоритмах шифрования голоса и потом создать "прослушку").
Это откровенная и нечем не прикрытая некомпетентность. С большой буквы.
Вы уважаемый, просто глубоко некомпетентный в вопросе человек. Поэтому не удивительно что
начинаете письмо с вопроса кто есть Крис Касперски :)
Основное положение стратегии безопасности в целом и безопасности передачи данных в частности (мысли изложенные в работах троицы RSA для Вас достаточно убедительны?) заключается не в сокрытии алгоритмов, а в математически доказанных принципах обеспечивающих оную безопасность.
Поэтому проприетарность и скрытость протокола говорит скорее о лицензионной нечистоте его, чем о их заботе об его безопасности.
| | |
|
| 3.16, rwe (?), 12:21, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
Крис - профессиональный переводчик :). Эта "его" статья - не более чем вольный пересказ содержимого доклада и презентации на конференции BlackHat другого автора. А в этой "его" статье даже скрины из презентации использованы :). Такой вот "профессионал" :).
| | |
| |
| 4.17, Aleksey (??), 12:39, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Угу, и что показательно в статье я не нашел ни одного скрина. :)
Предлагаю все-же не вернуться к теме беседы. А именно стоит ли доверять пропроетарному софту, который при этом работает по неизвестному протоколу и всячески противодействует любому его изучению?
P.S.: и кроме того еще и собирает информацию на компьютере
| | |
| |
| 5.20, rwe (?), 13:28, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Угу, и что показательно в статье я не нашел ни одного скрина.
>:)
На сайте скринов действительно нет. В журнале - есть.
| | |
|
|
|
|
| 1.9, www.andr.ru (?), 09:28, 28/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мало того, что они Линукс продают в обход ГПЛ, они ещё и данные воруют у клиентов
Респект!
| | |
| |
| 2.45, Lovesane (?), 23:31, 25/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Мало того, что они Линукс продают в обход ГПЛ, они ещё и
>данные воруют у клиентов
>Респект!
Продажа Линукса не есть нарушение ГПЛ, вот сокрытие сырцов - нарушение.
| | |
|
| 1.24, georg (??), 16:19, 28/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вы бы ещё поговорили о Microsoft'е... Не читает ли он файлы с вашего компьютера?.. :)
| | |
| |
| 2.25, eusaln (?), 17:30, 28/08/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Таким риторическим вопросам тока тут место - http://support.microsoft.com/ :D
Следовало бы конечно грохнуть это чудо, еще тогда, когда стали появляться сообщения о BIOS дампинге, дак, открытой альтернативы не видно, чтоб на разных, осях включая поделье дяди бИлла, работало нормально. Отстаем на этом фронте...
Так что - предохраняйтесь, товарищи - http://www1.cs.columbia.edu/~salman/skype/
| | |
|
| 1.33, a5b (?), 21:36, 29/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
у меня же в /etc/password (да да, именно в password) мои пароли к яндексу записаны ааааааа! опеннет превратился в лор-помойку.
приватные блин данные
новости бы проверяли
| | |
| 1.35, fi (?), 22:42, 29/08/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Исследуя работу Linux версии Skype клиента, был обнаружен (http://forum.skype.com/index.php?showtopic=95261) факт неоправданного чтения
>данных из /etc/password,
% strace -o ls -l
open("/etc/passwd", O_RDONLY) = 4
fcntl64(4, F_GETFD) = 0
fcntl64(4, F_SETFD, FD_CLOEXEC) = 0
fstat64(4, {st_mode=S_IFREG|0644, st_size=2176, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7d56000
read(4, "root:x:0:0:root:/root:/bin/bash\n"..., 4096) = 2176
close(4) = 0
:)
P.S.
% ltrace ls -l
getpwuid(...
:D
| | |
| |
| 2.37, JOhn (?), 11:24, 30/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
+1
Как интересно еше программе uid в логин переводить ?)))
PS strace : Нехорошо под рутом работать :D
| | |
| |
| 3.38, fi (?), 13:24, 30/08/2007 [^] [^^] [^^^] [ответить]
| +/– |
> +1
> PS strace : Нехорошо под рутом работать :D
Зачем под root? Кстати, у рута промпт # :), а не '%'
| | |
|
|
|
