Pull to refresh

Comments 138

так торопились так торопились, вы хоть ошибки исправьте после постинга, раз на скорость работали.
О, на хабре новый тренд. Раньше первый коммент был с юмором, теперь про ошибки.
про ошибки был всегда, их было много, автор исправил, большего и не требовалось
Не могли бы Вы выложить тему про это: www.anti-malware.ru/forum/index.php?showtopic=14340

Я, к сожалению, отхабрен, захабрен и даже не могу сохранить черновик — вчера писал статью, но не смог сохранить. :-/ Думаю тема интересная.

Спасибо.
Скайп может разработать новый алгоритм шифрации и перестать пускать в сеть тех, кто пользуется старыми версиями клиентов. Хоть Скайп и распределенная сеть, контакт с серверами все-равно есть. Те, кто им активно пользуются обновят клиент и все вернется на круги своя.
Так происходит с любой дыркой
UFO landed and left these words here
UFO landed and left these words here
Эо зависит от того, с какой вы стороны. DoctorZIP, судя по всему, с «клиентской», а вы — с сисадминской. :)
UFO landed and left these words here
однажды я решил сетевым трассировщиком посмотреть на скайп, дак обнаружил что скайп из меня сделал прокси, через меня гоняли какой-то бешеный транзитный трафик…
он вроде так и работает.
отключение супернода вам в помощь
спасибо, конечно за линк, но я просто думал, что это можно сделать через сам скайп…
хм. так разве NAT не спасает?
а где поглядеть как оно пролазит через файрвол?
Я как-то писал, как работает скайп в том числе (в лирическом отступлении)
bbk.habrahabr.ru/blog/80883/
Очень наивно. Если кто-то узнает ваш пароль (keylogger например), то он сможет видеть всю вашу переписку, а вы об этом даже не узнаете.
Проверяется легко — логинитесь в скайп на двух машинах под одним логином, пишете в одном — во втором читаете. И я не нашел пометки в приложении, что в данный момент работает мультилогин.
есть еще прикол, когда ты в течении получаса говорил на одной машине потом разлогинился и перешел на другую то на второй ты видиш лог своих разговоров.
никто не в курсе с чем это связано?
Это связано с P2P архитектурой Skype (мне так думается). Хистори хранится на машинах тех, кто участвовал в разговоре. Если все, кто есть в контакт листе выйдут из сети в течение этого получаса, то хистори не появится (опять же — я так думаю).
так и есть.
в конференции четыре человека. два отлогинились, двое других общаются какое-то время, потом выходят. заходят двое первых. историю не видят. пишут что-то. присоединяются двое вторых — видят историю целиком.
Возможно отключение хранения истории.
Вообще в скайпе много классных админских плюшек.

А для группового общения недавно открыл для себя Palringo.
для этого им придется обновить кучу клиентов для всякого странного железа, судя по частоте выпуска обновлений у них на это просто нет ресурсов
Не обязательно блокировать — выложенные библиотеки станут бесполезны уже хотя бы после выкладывания обновлений для наиболее популярных платформ.
Что делать счастливым обладателями аппаратных решений? С каждого из которых, кстати, было уплачено и скайпу. За границей это очень популярная вещью Масса аппаратов вроде обычных DECt трубок с поддержкой скайп, как второй линии. В любом ларьке продаётся.
Прошивки в них вполне могут быть обновлены в большинстве случаев самими пользователями, ну а в крайнем случае — сервисным центром.
угу. Задолбаешься домохозяйкам объяснять как перешить. И когда оно просто перестанет работать, он они не будут думать, что случилось. Они просто выкинут и купят новую, а производитель сильно потеряет в лояльности репутации.
Что делать счастливым обладателями аппаратных решений? С каждого из которых, кстати, было уплачено и скайпу. За границей это очень популярная вещью Масса аппаратов вроде обычных DECt трубок с поддержкой скайп, как второй линии. В любом ларьке продаётся.
Линки на cryptolib.com и enrupt.com слегли…
«The requested resource is no longer available on this server and there is no forwarding address. Please remove all references to this resource.»
Переложил исходники на всякий случай
Извиняюсь, по привычке нажал Ctrl+Enter
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
UFO landed and left these words here
Неплох, но читабелен — едва ли (:

UFO landed and left these words here
Какие у нас разные понятия красивого кода
О да, шмоты малопонятных макросов это просто прекрасно, почувствуй себя черным магом!
Если вы посмотрите на любой публичный криптостандарт, reference code в конце документа будет выглядеть именно так. После нескольких разобранных подобных примеров становится не так сложно.
нету такого понятия как «красивый код» — бывает поддерживаемый, понятный, читабельный, расширяемый, аккуратный, код в котором при изменении легко не ошибиться итд…
… но красивый код — это что-то на уровне домохозяек или детского садика.
остается добавить «We will punish you» после «We will find you» =)
«а лоооун-лоооун хэндс» )))
p.s. сорри за флуд)
а prosecute чем не устраивает? :)
Зато вот теперь, Я смогу забанить логин-сервера в своей сетке + супер-ноды в черный список…
В ОАЭ эта задача решена много лет назад, причем сразу всеми ISP.
В ОАЕ (Дубаи) скайп работает.
а заче у них стояла такая задача?
там вроде брат шейха – хозяин единственной телефонной компании. Ну вот чтобы конкуренцию телефонам не создавать, они запретили VOIP
бугага, кумовство по-восточному савсем не отличается от нашего )))
что делает любой мужчина из ОАЭ в аэропорту другой страны? Правильно, выпивает стакан коньяка. А на родине нельзя, Аллах запретил.
Храни их бог от хабраэффекта.
Вы хотели сказать НЛО?

P.S. На самом деле будет интересно посмотреть, что они там раскопали, а пока особо и говорить не о чем :(
Крис Касперски, наверное, очень рад этому событию
Я думаю, мыщьх и сам в состоянии раскурить скайп ) Он вон VMProtector разбирал как то, что ему эта поделка
Он копал skype, 3-4 года назад, но ему насколько мне известно это надоело, и он перестал этим заниматся а обо всех наработках написал в «Хакер»
И не понятно, что вы особенного такого нашли в вмпроте. прот как прот :) не многие хотят разбираться в пикоде, но ничего страшного там нету.
А что это дает? Теперь можно прослушивать скайп?
чувствую скоро выйдет новая версия скайпа
Бля пост ни о чем. Вы лучше не забудьте написать оперативно статейку, когда на конференции они таки покажут (если покажут)
Вы думали, вам тут дадут ссылку на готовую програмку для прослушки а-ля поставил и слушай?
Эти исходники в умелых руках могут очень многое сделать.
UFO landed and left these words here
Алгоритм, такой как RC4, может сам по себе быть дырявым. Один из представителей этой конторы на васме говорил, что зная первые 1000 байт шифротекста\открытого текста можно раскурить остатки, с тех пор первые 1000 байт пропускают. Почитайте об атаках на RC4
UFO landed and left these words here
UFO landed and left these words here
они и то и то используют ) В общем думаю стоит дождаться декабря (ох), и там нам расскажут как это все работает. Чуваки на самом деле очень смышленые.
UFO landed and left these words here
UFO landed and left these words here
Я думал здесь расскажут интересные подробности протокола, а чертежи CERN в умелых руках тоже ничего.

Заголовок статьи жёлтый.
26С3 прошел в Берлине с 2009-12-27 по 2009-12-30.
LOL. А еще минусуют мои комментарии что пост никакой. Автор нарыл где-то «недо-новость». Офигенно окажется если исходники — фейк.
Извиняюсь, видимо вышла опечатка. Имелся в виду 27й C3, который в декабре 2010 будет. об этом в исходниках сказано
До декабря 2010 выйдет еще 5 новых версий скайп и его рассказ будет интересен только как история
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Правительственная? Вообще-то имелось в виду, что алгоритм должен быть известным не для того, чтобы он был стандартным, а для того, чтобы он был надёжным. Чем известнее алгоритм, тем большее количество людей пыталось его поломать. А прятать алгоритм это та самая обскьюрити и есть. Решительно не верю, чтобы какое-либо правительство имело свой секретный алгоритм, более надёжный и более производительный, чем лучшие из общеизвестных, несмотря на тягу большинства правительств к к своей криптографии с блэкджеком и всем остальным.
Для примера можно попытаться найти техописание любого шифра из NSA Type 1
UFO landed and left these words here
Если бы это обстояло именно так, то шифровали бы ксором. Крипоаналитики бы разбили головы от отчаяния выяснить секретный алгоритм.
UFO landed and left these words here
лол
The 26th Chaos Communication Congress (26C3) is the annual four-day conference organized by the Chaos Computer Club (CCC). It takes place from December 27th to December 30th 2009


Чет новость-то устарела похоже…
пока не понятно в чем радость. Конечно хорошо что раскопали шифр, но для полноценного использования нужен протокол аутентификации и выработки сессионного ключа.
Открыл .c файл и сразу же воскликнул: «Аааа! Мои глаза!»
Напомните, сколько там предлагали за расшифровку траффика Skype? Миллиард долларов?
А в чем вообще радость для обычных пользователей, а не хакеров? То, что теперь, при наличии исходников алгоритма и учитывая распределенность сети скайпа, любой нехороший человек сможет послушать ваши разговоры?
Предупрежден значит вооружен )
UFO landed and left these words here
UFO landed and left these words here
Даже судя по файлу с серверами где то по одному методу все шифруется, где то иначе. Я не утверждал что это 100% взлом всего и вся. Просто знающим людям это должно помочь в исследовании протокола.
Как на счет p2p IM?

Любая централизованная система может стать объектом злоупотребления со стороны владельца центрального элемента. Пока жива IANA, в Интернете не может быть полной свободы. p2p системы лишены единого центра, и к таким явлениям устойчивы. В случае злоупотреблений пиры просто «разфрендят» злоумышленника и он не сможет ничего передавать. Все дело за p2p физикой или устойчивым (анонимным, достоверным и конфиденциальным) транспортом (i2p наиболее близок к этому, ИМХО).
Вероятно такого еще не сделали, потому что довольно сложно (не уверен что вообще возможно) в p2p среде убедиться, что ты общаешься с тем, с кем хотел, т.к. нет третьей стороны (пусть будет Certifiacte authority), которая подтверждала бы подлинность собеседника.
Как же нету третьей стороны? Есть! Это взаимные друзья? Которых чем больше, тем достовернее — как в жизни.

К вопросу о третьей стороне в централизованных системах — вы никогда не можете быть уверены, что третья и вторая сторона не работают в сговоре (в случае MIM или более политкорректно — LI/СОРМ).
/me кусает ногти.
А ведь это ох#$нно! Можно подвинуть монополии всяких thawte и прочих Verisign ) Правда сделать все равно не так просто…
/me кусает ногти уже несколько лет ибо не программист ни разу… :(
пока что я задумался лишь над тем как организовать в такой штуке поиск контактов
Вы про добавление новых в сеть или про поиск в сети? Если добавление новых в сеть, то естественно это «оффлайн»/«аутофбэнд», а если поиск в сети, то кто кроме друзей или друзей друзей вам нужен? Ведь вам же нужны люди, которым вы готовы доверять, а не просто какие-то неизвестные контакты?
новых друзей так не заведешь
Почему? Приглашаем в сеть настоящих друзей, а в сети через интродьюс френдим друзей друзей. Все сходится, а тупого поиска по параметрам не будет, ибо он не достовреный.

Вот я, например, напишу в инфо, что я гуру криптографии, а на самом деле я просто ищу, кто пытается криптопроекты делать и в нужные органы инфу сливаю. В общем только доверительные отношения, что и есть целью — сеть доверия.
В случае злоупотреблений пиры просто «разфрендят» злоумышленника и он не сможет ничего передавать.
Ну да, давайте подкинем троллям корм. Где гарантии, что никто не проведёт злобную акцию по отключению тебя от такого p2p-im?
Тролль будет троллить от своего имени, поэтому пострадает только он. Или вы про дискредитацию честного имени? Так это же поправимо, для этого есть оффлайн, где все встанет на свои места и тогда френды снова зафрендят, а тролля расфрендят. Где дырка?
Во «френдах» дырка. Вы же не будете общаться с десятком настоящих друзей — им проще позвонить по обычному телефону. Смысл IM в обмене сообщениями и голосовом разговоре с человеком из другого конца света. Поэтому френдить придётся и незнакомых в реальности личностей. Энное количество «френдов» могут собраться и организованно просто отфрендить жертву. Троллинг-то тут ни при чем. Тебя просто берут и выкидывают из сети.
Выкинуть из сети могут только в том случае, когда абсолютно все друзья расфрендят, а это сделать не легко, ведь среди них будут и оффлайновые.
//Оригинал тут. Храни их бог от хабраэффекта.

Он немного продержался с божьей помощью, но всё-таки упал.
искренне желаю сдохнуть всем тем, кто расшифровал скайп трафик…
Не расшифровали бы они — расшифровали бы другие — это в общем-то неизбежно :)
Да и нет такой защиты, которую невозможно было бы сломать.
>Да и нет такой защиты, которую невозможно было бы сломать.
спорить не буду, но защита которую невозможно сломать существует

ЗЫ: если под словом «сломать» имеется ввиду получение зашифрованных данных.
Вы про одноразовый блокнот и квантовую криптографию?
они убили скайп…

по крайней мере в моих глазах… поэтому такая резкая оценка с моей стороны…
Боже мой они убили Кенни!
Don't panic! Обфускация протокола это небольшая плюшечка к безопасности, которая в основном обеспечивается AES-256.
и тем же RC4, который, насколько мне известно, не взломан.

интересно, насколько скайповская версия отличается от оригинальной.
Не понял по какому поводу кипеш. Все используемые алгоритмы относительно надежны, прочитай чужой трафик без знаний и больших трудозатрат не представляется возможным. К РС4 хоть и много подходов, тем не менее простой вася пупкин ваш разговор прослушать не сможет. А не простой джеймс бонд и раньше имел подходы для того чтобы следить за вами :)
Я думаю skype готовы к этому и у них непременно есть выход из этой ситуации
Всем кто кричит, почему RC4, почему не AES, известно что RC4 — потоковый?
и что, теперь скайп больше не является самым надежным и безопасным от прослушивания средством дистанционых переговоров?
То, что вы не знали о его дырах не значит что их не было и другие не знали
однако, то, что его исходники были зыкрыты для федеральных служб, внушало ощущение безопасности.
Зря) Эти исходники можно получить при желании(что и было сделано) расковыряв бинарники, и тогда все супер пупер придумки становятся обычными свистоперделками.
капец!

зачем им синусы и косинусы u8?
зачем там СТОЛЬКО магических чисел?
ну вот… после конференция меня будут подслушивать!
О нет! Кто то подслушает мои секретные разговоры с приятелем из штатов!!! Какой ужас!!111
Only those users with full accounts are able to leave comments. Log in, please.