Comments 138
так торопились так торопились, вы хоть ошибки исправьте после постинга, раз на скорость работали.
Спасибо, поправил
О, на хабре новый тренд. Раньше первый коммент был с юмором, теперь про ошибки.
Не могли бы Вы выложить тему про это: www.anti-malware.ru/forum/index.php?showtopic=14340
Я, к сожалению, отхабрен, захабрен и даже не могу сохранить черновик — вчера писал статью, но не смог сохранить. :-/ Думаю тема интересная.
Спасибо.
Я, к сожалению, отхабрен, захабрен и даже не могу сохранить черновик — вчера писал статью, но не смог сохранить. :-/ Думаю тема интересная.
Спасибо.
Скайп может разработать новый алгоритм шифрации и перестать пускать в сеть тех, кто пользуется старыми версиями клиентов. Хоть Скайп и распределенная сеть, контакт с серверами все-равно есть. Те, кто им активно пользуются обновят клиент и все вернется на круги своя.
Так происходит с любой дыркой
Вот в чем, в чем, а в скайпе я б себя таковым как раз не чувствовал. Вытравить его из сети крайне сложно, эта зараза лезет куда угодно, особенно куда не надо, но пока удается, к счастью.
Эо зависит от того, с какой вы стороны. DoctorZIP, судя по всему, с «клиентской», а вы — с сисадминской. :)
однажды я решил сетевым трассировщиком посмотреть на скайп, дак обнаружил что скайп из меня сделал прокси, через меня гоняли какой-то бешеный транзитный трафик…
хм. так разве NAT не спасает?
нет.
а где поглядеть как оно пролазит через файрвол?
Ха ха ха
Я как-то писал, как работает скайп в том числе (в лирическом отступлении)
bbk.habrahabr.ru/blog/80883/
bbk.habrahabr.ru/blog/80883/
Очень наивно. Если кто-то узнает ваш пароль (keylogger например), то он сможет видеть всю вашу переписку, а вы об этом даже не узнаете.
Проверяется легко — логинитесь в скайп на двух машинах под одним логином, пишете в одном — во втором читаете. И я не нашел пометки в приложении, что в данный момент работает мультилогин.
Проверяется легко — логинитесь в скайп на двух машинах под одним логином, пишете в одном — во втором читаете. И я не нашел пометки в приложении, что в данный момент работает мультилогин.
есть еще прикол, когда ты в течении получаса говорил на одной машине потом разлогинился и перешел на другую то на второй ты видиш лог своих разговоров.
никто не в курсе с чем это связано?
никто не в курсе с чем это связано?
Возможно отключение хранения истории.
Вообще в скайпе много классных админских плюшек.
А для группового общения недавно открыл для себя Palringo.
Вообще в скайпе много классных админских плюшек.
А для группового общения недавно открыл для себя Palringo.
для этого им придется обновить кучу клиентов для всякого странного железа, судя по частоте выпуска обновлений у них на это просто нет ресурсов
Что делать счастливым обладателями аппаратных решений? С каждого из которых, кстати, было уплачено и скайпу. За границей это очень популярная вещью Масса аппаратов вроде обычных DECt трубок с поддержкой скайп, как второй линии. В любом ларьке продаётся.
Что делать счастливым обладателями аппаратных решений? С каждого из которых, кстати, было уплачено и скайпу. За границей это очень популярная вещью Масса аппаратов вроде обычных DECt трубок с поддержкой скайп, как второй линии. В любом ларьке продаётся.
Линки на cryptolib.com и enrupt.com слегли…
«The requested resource is no longer available on this server and there is no forwarding address. Please remove all references to this resource.»
«The requested resource is no longer available on this server and there is no forwarding address. Please remove all references to this resource.»
Комменты в исходниках доставляют:
Извиняюсь, по привычке нажал Ctrl+Enter
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
имеют право )
Неплох, но читабелен — едва ли (:
О да, шмоты малопонятных макросов это просто прекрасно, почувствуй себя черным магом!
нету такого понятия как «красивый код» — бывает поддерживаемый, понятный, читабельный, расширяемый, аккуратный, код в котором при изменении легко не ошибиться итд…
… но красивый код — это что-то на уровне домохозяек или детского садика.
… но красивый код — это что-то на уровне домохозяек или детского садика.
остается добавить «We will punish you» после «We will find you» =)
Зато вот теперь, Я смогу забанить логин-сервера в своей сетке + супер-ноды в черный список…
Храни их бог от хабраэффекта.Вы хотели сказать НЛО?
P.S. На самом деле будет интересно посмотреть, что они там раскопали, а пока особо и говорить не о чем :(
Крис Касперски, наверное, очень рад этому событию
А что это дает? Теперь можно прослушивать скайп?
чувствую скоро выйдет новая версия скайпа
Бля пост ни о чем. Вы лучше не забудьте написать оперативно статейку, когда на конференции они таки покажут (если покажут)
Вы думали, вам тут дадут ссылку на готовую програмку для прослушки а-ля поставил и слушай?
Эти исходники в умелых руках могут очень многое сделать.
Эти исходники в умелых руках могут очень многое сделать.
Я думал здесь расскажут интересные подробности протокола, а чертежи CERN в умелых руках тоже ничего.
Заголовок статьи жёлтый.
Заголовок статьи жёлтый.
вроде сайт уже лег :/
26С3 прошел в Берлине с 2009-12-27 по 2009-12-30.
Более 10 лет Skypе предлагал нам защиту, о которой мы ничего не знали. Так называемая security through obscurity. Obscurity в данном случае была очень хорошей, поскольку за все это время почти никто так и не разобрался как же оно все работает, не смотря на обилие скайповских бинарников. А те, кто смогли по понятным причинам не публиковали свои наработки.
о_О а мужики то и не знали. Описание протоколов скайпа появляется регулярно, просто они его меняют больно часто, поэтому сторонние клиенты делать бессмысленно. Вспомните как все плюются по 5-10 часов пока очередные квипы пытаются начинать работать после очередных смен протокола ICQ, а теперь умножьте это в 10 раз и получите попытку реализовать альтернативный клиент для скайпа.
Правительственная? Вообще-то имелось в виду, что алгоритм должен быть известным не для того, чтобы он был стандартным, а для того, чтобы он был надёжным. Чем известнее алгоритм, тем большее количество людей пыталось его поломать. А прятать алгоритм это та самая обскьюрити и есть. Решительно не верю, чтобы какое-либо правительство имело свой секретный алгоритм, более надёжный и более производительный, чем лучшие из общеизвестных, несмотря на тягу большинства правительств к к своей криптографии с блэкджеком и всем остальным.
лол
Чет новость-то устарела похоже…
The 26th Chaos Communication Congress (26C3) is the annual four-day conference organized by the Chaos Computer Club (CCC). It takes place from December 27th to December 30th 2009
Чет новость-то устарела похоже…
пока не понятно в чем радость. Конечно хорошо что раскопали шифр, но для полноценного использования нужен протокол аутентификации и выработки сессионного ключа.
Открыл .c файл и сразу же воскликнул: «Аааа! Мои глаза!»
Желтизна какая-то
Напомните, сколько там предлагали за расшифровку траффика Skype? Миллиард долларов?
А в чем вообще радость для обычных пользователей, а не хакеров? То, что теперь, при наличии исходников алгоритма и учитывая распределенность сети скайпа, любой нехороший человек сможет послушать ваши разговоры?
Как на счет p2p IM?
Любая централизованная система может стать объектом злоупотребления со стороны владельца центрального элемента. Пока жива IANA, в Интернете не может быть полной свободы. p2p системы лишены единого центра, и к таким явлениям устойчивы. В случае злоупотреблений пиры просто «разфрендят» злоумышленника и он не сможет ничего передавать. Все дело за p2p физикой или устойчивым (анонимным, достоверным и конфиденциальным) транспортом (i2p наиболее близок к этому, ИМХО).
Любая централизованная система может стать объектом злоупотребления со стороны владельца центрального элемента. Пока жива IANA, в Интернете не может быть полной свободы. p2p системы лишены единого центра, и к таким явлениям устойчивы. В случае злоупотреблений пиры просто «разфрендят» злоумышленника и он не сможет ничего передавать. Все дело за p2p физикой или устойчивым (анонимным, достоверным и конфиденциальным) транспортом (i2p наиболее близок к этому, ИМХО).
Вероятно такого еще не сделали, потому что довольно сложно (не уверен что вообще возможно) в p2p среде убедиться, что ты общаешься с тем, с кем хотел, т.к. нет третьей стороны (пусть будет Certifiacte authority), которая подтверждала бы подлинность собеседника.
Как же нету третьей стороны? Есть! Это взаимные друзья? Которых чем больше, тем достовернее — как в жизни.
К вопросу о третьей стороне в централизованных системах — вы никогда не можете быть уверены, что третья и вторая сторона не работают в сговоре (в случае MIM или более политкорректно — LI/СОРМ).
К вопросу о третьей стороне в централизованных системах — вы никогда не можете быть уверены, что третья и вторая сторона не работают в сговоре (в случае MIM или более политкорректно — LI/СОРМ).
/me кусает ногти.
А ведь это ох#$нно! Можно подвинуть монополии всяких thawte и прочих Verisign ) Правда сделать все равно не так просто…
А ведь это ох#$нно! Можно подвинуть монополии всяких thawte и прочих Verisign ) Правда сделать все равно не так просто…
/me кусает ногти уже несколько лет ибо не программист ни разу… :(
пока что я задумался лишь над тем как организовать в такой штуке поиск контактов
Вы про добавление новых в сеть или про поиск в сети? Если добавление новых в сеть, то естественно это «оффлайн»/«аутофбэнд», а если поиск в сети, то кто кроме друзей или друзей друзей вам нужен? Ведь вам же нужны люди, которым вы готовы доверять, а не просто какие-то неизвестные контакты?
новых друзей так не заведешь
Почему? Приглашаем в сеть настоящих друзей, а в сети через интродьюс френдим друзей друзей. Все сходится, а тупого поиска по параметрам не будет, ибо он не достовреный.
Вот я, например, напишу в инфо, что я гуру криптографии, а на самом деле я просто ищу, кто пытается криптопроекты делать и в нужные органы инфу сливаю. В общем только доверительные отношения, что и есть целью — сеть доверия.
Вот я, например, напишу в инфо, что я гуру криптографии, а на самом деле я просто ищу, кто пытается криптопроекты делать и в нужные органы инфу сливаю. В общем только доверительные отношения, что и есть целью — сеть доверия.
В случае злоупотреблений пиры просто «разфрендят» злоумышленника и он не сможет ничего передавать.Ну да, давайте подкинем троллям корм. Где гарантии, что никто не проведёт злобную акцию по отключению тебя от такого p2p-im?
Тролль будет троллить от своего имени, поэтому пострадает только он. Или вы про дискредитацию честного имени? Так это же поправимо, для этого есть оффлайн, где все встанет на свои места и тогда френды снова зафрендят, а тролля расфрендят. Где дырка?
Во «френдах» дырка. Вы же не будете общаться с десятком настоящих друзей — им проще позвонить по обычному телефону. Смысл IM в обмене сообщениями и голосовом разговоре с человеком из другого конца света. Поэтому френдить придётся и незнакомых в реальности личностей. Энное количество «френдов» могут собраться и организованно просто отфрендить жертву. Троллинг-то тут ни при чем. Тебя просто берут и выкидывают из сети.
//Оригинал тут. Храни их бог от хабраэффекта.
Он немного продержался с божьей помощью, но всё-таки упал.
Он немного продержался с божьей помощью, но всё-таки упал.
искренне желаю сдохнуть всем тем, кто расшифровал скайп трафик…
Не расшифровали бы они — расшифровали бы другие — это в общем-то неизбежно :)
Да и нет такой защиты, которую невозможно было бы сломать.
Да и нет такой защиты, которую невозможно было бы сломать.
ТРКА рулит? ;)
>Да и нет такой защиты, которую невозможно было бы сломать.
спорить не буду, но защита которую невозможно сломать существует
ЗЫ: если под словом «сломать» имеется ввиду получение зашифрованных данных.
спорить не буду, но защита которую невозможно сломать существует
ЗЫ: если под словом «сломать» имеется ввиду получение зашифрованных данных.
они убили скайп…
по крайней мере в моих глазах… поэтому такая резкая оценка с моей стороны…
по крайней мере в моих глазах… поэтому такая резкая оценка с моей стороны…
Don't panic! Обфускация протокола это небольшая плюшечка к безопасности, которая в основном обеспечивается AES-256.
Не понял по какому поводу кипеш. Все используемые алгоритмы относительно надежны, прочитай чужой трафик без знаний и больших трудозатрат не представляется возможным. К РС4 хоть и много подходов, тем не менее простой вася пупкин ваш разговор прослушать не сможет. А не простой джеймс бонд и раньше имел подходы для того чтобы следить за вами :)
Я думаю skype готовы к этому и у них непременно есть выход из этой ситуации
Всем кто кричит, почему RC4, почему не AES, известно что RC4 — потоковый?
и что, теперь скайп больше не является самым надежным и безопасным от прослушивания средством дистанционых переговоров?
капец!
зачем им синусы и косинусы u8?
зачем там СТОЛЬКО магических чисел?
зачем им синусы и косинусы u8?
зачем там СТОЛЬКО магических чисел?
ну вот… после конференция меня будут подслушивать!
ждем jabber-транспорт :)
О нет! Кто то подслушает мои секретные разговоры с приятелем из штатов!!! Какой ужас!!111
Sign up to leave a comment.
Раскрыт самый большой секрет Skype