Итак, по просьбе Shoohurt рассказываю все известное нам (команде разработчиков Miranda IM) на данный момент о проделках AOL.

Сегодня, около 13.00 МСК почти все пользователи неофициальных клиентов после входа в сеть и загрузки контакт-листа получали от пользователя с UIN 1 сообщение о том, что используемая версия клиента не используется и неавторизованна. На официальном сайте прямо на главной появилось сообщение, гласящее о том, что отныне поддерживаются только официальные версии программ, которые вот прям тут и можно скачать.

Пользователи, которые уже находились в сети, никаких изменений не почувствовали и не были отключены от сервера. У тех, кто пытался подключиться в первые час-полтора это получалось с переменным успехом: это объясняется тем, что что сеть icq распределенная и состоит из множества серверов, и даже после входа вас могут перебросить на другой, и судя по всему изменения применялись на них по очереди.

Немного технических деталей. Процедура входа проходит вполне обычно: проходит инициализация протокола, отсылка capabilities, загрузка серверного контакт-листа и собственных данных. Примерно в это время и приходит сообщение от номера один, и после этого получить что-либо с сервера становится невозможно.

Решив, что сегодня повторилась ситуация 8-го декабря, когда клиенты перестали работать из-за того что во время логина идентифицировали себя как icq5.1 и более ранние версии, мы попробовали идентифицировать себя как icq6.5 последней модели. Это не принесло никаких результатов. Стало понятно, что в этот раз АОЛ пошел путем глубокой защиты — видимо теперь уже стали учитываться отправляемые капсы (capabilities, информация о поддерживаемых клиентом фишках протокола). Действительно, подмена их набора на тот, что использует icq6 помогла, однако только на время первого входа — если после этого переподключиться, то это уже не поможет. Судя по всему в последовательность входа и начальной инициализации внесли какие то изменения, при невыполнении которых клиент считается альтернативным. Разработчики QIP высказали предположение о том, что серверу нужен некий дополнительный ключ, который может как просто быть зашит в клиент, так и вычисляться на основе полученной от сервера информации. Они в настоящий момент тоже усиленно работают над поиском причины отказа клиента.

Надеюсь в течение ближайших суток — двух мы найдем причину.

Кроме того хочу заметить интересный факт — эти изменения затронули только жителей стран СНГ. Когда я связался с нашими разработчиками из Чехии и Германии они были слегка в недоумении — у них все работало прекрасно. Кроме того мы успешно смогли подключиться с миранды, используя американский прокси-сервер, так что есть подозрения о том, что это целенаправленная блокировка разрабатываемых в России альтернативных мессенджеров.

UPD: Сейчас разработчик QIP, INF, поделился со мной мыслью о том, что все дело в используемом начальном значении идентификатора последовательности у отправляемых пакетов. Все неофициальные клиенты генерируют их случайным образом, и это может быть тот самый ключ. Основная проблема заключается в том чтобы узнать алгоритм его генерации.

Еще небольшой UPD: для наглядности можете сравнить скриншоты сайта icq.com, отдаваемые российским и американским посетителям

Обсуждение происходящего ведется в жаббере, в конфе icq_stop@conference.jabber.ru

UPD2: Как сообщает Shoohurt, завтра, возможно, в течение дня будут комментарии со стороны господ, имеющих непосредственное отношение к русской версией ICQ (Рамблер-ICQ). Следите за обновлениями.

UPD3: Сейчас нашли корреляцию между временем входа и используемым номером последовательности, так что есть зацепка, что для генерации все же используется какое то случайное число, но эту версию надо проверять. Так же как оказалось коннектятся все старые клиенты, даже icq2003b, и TestBuddy 2002 года. Плюс есть несколько сообщений о том что у некоторых провайдеров в Омске все работает нормально. В общем сейчас конечный вывод — «асечники» нашли коренное различие между официальным клиентом и всеми клонами и активно его используют.

Похоже что команда разработчиков QIP нашла решение проблемы, уже доступны рабочие билды QIP Infium 9022

Как и обещал — исправленная версия плагина Miranda IM ICQ+ — качаем

Господа, прошу терпения. Я сегодня вымотан на нет и уже больше суток без сна. Завтра я выложу весь код и объясню суть моего решения. Оно довольно тривиальное, и основано на том что исходное предположение про seq ид верно. И вообще оно слегка на подпорках.

Внимание! Продолжение истории :)

Telegram — мессенджер для смартфонов позиционирующий себя как безопасный, защищающий не только от злоумышленников, но и от гос. структур вроде АНБ. Для достижения этой безопасности Telegram использует собственную разработку — криптографический протокол MTProto, в надежности которого сомневаются многие, сомневаюсь и я.

Короткий ответ: никак, им пофиг.

В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям Skype. Под катом невежество, боль и отчаяние.

UPD

Статья на английском hub.zhovner.com/geek/how-skype-fixes-security-vulnerabilities/

Пост на HackerNews news.ycombinator.com/item?id=13227480

TL;DR:

• Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.
  
  
• Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.
  
  
• Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.
  
  
• Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.
  
  
• Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.
  
  
• Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.

Вероятно, в качестве рождественского и новогоднего подарков, Microsoft запустила акцию Skype Collaboration Project, в рамках которой Skype дарит пользователям возможность на весь следующий год возможность пользоваться функциями групповой работы (видеочат и разделение экрана), а также отключить отображение рекламы. Еще вы получаете годовой абонемент на обмен картинками рабочего стола в групповых звонках, полным отсутствием рекламы и бесплатную техническую поддержку на период прохождения акции.

Для участия в акции переходим по этой ссылке и вводим туда почту на которую придет письмо с кодом (Вводить почту на которую зарегистрирован аккаунт скайпа не обязательно).

Месяца три назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена (уже исправлена).

Сразу скажу, что саму уязвимость я целиком не знаю(уже известна), но в последнее время начались массовые угоны аккаунтов.

Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы.

Вниманием!
Не пользуйтесь этим скайпкитом!
После этой истории habrahabr.ru/post/142805 скайп начал банить ВСЕ аккаунты запущенные на одном айпи вместе с этим скайпкитом.

Есть такая замечательная штука как Skypekit. В двух словах это полноценный Skype без GUI, обёртку для которого предполагается написать самому.

Теоретически на основе Skypekit можно было бы:

• Создавать полноценные Skype-клиенты под все платформы
• Добавить поддержку Skype в мультипротокольные клиенты
• Запускать Skype на сервере для интеграции с SIP/Flash

и многое другое, если бы не условия использования.
Во-первых, для того чтобы скайп позволил вам распространять свой продукт нужно заплатить овер 9000$ за сертификацию вашего продукта. Во-вторых, сертификат в любой момент может быть отозван, если скайп решит что вы нарушаете условия использования.

Но благодаря целебному воздействию реверс-инжиниринга этот недуг удалось вылечить.

QIP Infium 9022:
download.asechka.ru/qipinfium9022.exe

QIP 2005 8081:
download.asechka.ru/qip8081.exe

QIP PDA for Windows Mobile Build 2111:
download.asechka.ru/qippda2111.cab

Symbian S60 (Nokia):
QIP PDA for Symbian v6, v7 1043 download.asechka.ru/qip1_1043.sis
QIP PDA for Symbian v8 1043 download.asechka.ru/qip2_1043.sis
QIP PDA for Symbian v9 1043 download.asechka.ru/qip3_1043.sis

QIP PDA for Symbian UIQ3 (SonyEricsson):
download.asechka.ru/qip_uiq3_1043.sis

Зеркало на www.Asechka.ru является официальным. В дневнике Ильгама www.inf.ru даны ссылки на мои сервера.

Раздача происходит с 4 серверов:

Non-authoritative answer:
Name: download.asechka.ru
Addresses: 213.219.216.50, 62.205.190.38, 78.107.91.229, 62.205.190.35

UPD: Ещё две версии qip 2005 и для мобильной винды SE будут завтра, на сегодня все устали и хотят спать :) Спокойной ночи.

Минусуйте на здоровье :) мы всего лишь помогаем и всё.

Вольный перевод статьи на тему приватности переписки в Skype.

Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.

Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.

UPD: Статья дополнена предположениями о возможной причине произошедшего. Опубликовано 17 Мая 2013 на The-H-Security.

С каждым разом меня всё больше восхищает способность журналистов «Вестей» с серьёзным лицом нести полную ахинею. Сразу вспоминается захаровский барон Мюнхгаузен в исполнении Олега Янковского, говоривший, что все глупости делаются именно с этим выражением лица.

В этот раз «Вести» отличились, выложив видео с заголовком «В РФ появилась продвинутая альтернатива Skype». Так и хочется взять фломастер и дописать прямо на экране — «отсталому Skype». Прямо гордость берёт — очередной триумф отечественных технологий.

Вам случалось быть недовольными QIP? Ну да, нам тоже.

Цель данной статьи: раз и навсегда поставить все точки над «i» по вопросу QIP Infium, его сервисов и текущей ситуации, в которой находится проект. Она расскажет и объяснит вам всё положение спокойными словами, без негодующих воплей и обожающих визгов.
Эта статья:

• не защищает QIP и/или РБК;
• не является рекламным проектом РБК;
• описывает текущую ситуацию, сложившуюся вокруг проекта QIP;
• полезна тем, кто считает, что разработчики утаивают от них все порочащие нововведения;
• особенно полезна тем, кто думает, что привязка ко всем сервисам — обязательное условие работы QIP;
• написана адекватным языком — для адекватных комментаторов;
• написана совместными усилиями всей командой поддержки, тестирования и расширения QIP Infium. Нами же будут даваться в комментариях любые ответы на вопросы, которые возникнут по статье. Милости просим.

Вчерашний эпический тред про происшествие, связанное с очередной сменой ICQ-протокола компанией AOL, вызвал небывалый интерес не только зарегистрированных пользователей Хабра, но и нескольких десятков тысяч гостей, пришедших на сайт. Хабр стал первым ресурсом в Сети, наиболее полно и достоверно описавший реальную ситуацию, сложившуюся вокруг сервиса ICQ. Благодарить за это нужно одного из разработчиков популярного ICQ-клиента Miranda IM Виталия Игонина (persei), который по моей просьбе подробно и, главное, очень оперативно рассказал всем нам о том, что, как и почему случилось с «аськой».

Поскольку написанный Виталием топик стал слишком тяжелым (более 1000 комментариев), приведу краткую ретроспективу событий:
— около 13:00 по московскому времени серверы AOL один а другим перестали подключать к себе все альтернативные ICQ-мессенджеры; сайт icq.com при условии захода на него с СНГ-шных IP выглядит так;
— спустя пару часов стало ясно, что серверы AOL блокируют альтернативные клиенты не во всех случаях, а будто бы выборочно: многие пользователи продолжают подключаться без каких-либо проблем;
— еще некоторое время спустя становится ясно, что блокировка подключения происходит только в случае использования IP стран СНГ. Очевидно, AOL намеренно борется, прежде всего, именно с российскими пользователями альтернативных ICQ-клиентов;
— около 19:00 МСК разработчик Miranda Виталий Игонин публикует на Хабре подробную статью о случившемся и сообщает о том, что совместно с разработчиками QIP идет поиск решения проблемы;
— около 22:00 МСК парни находят первые зацепки и обещают в ближайшее время побороть проблему целиком;
— около часа ночи разработчики QIP выпускают новую сборку QIP Infium (9022), подключающуюся к серверам AOL без проблем;
— следом команда разработчиков Miranda IM выпускает исправленную версию плагина Miranda IM ICQ+;
— очередная попытка AOL положить на лопатки альтернативные ICQ-клиенты терпит фиаско в течение суток!

А теперь — самое интересное: Виталий Игонин рассказывает, как им удалось победить AOL:

Кладбище мессенджеров, на котором обязательно должны оказаться Skype, Viber, WhatsApp, Hangouts, ooVoo, Apple iMessage, Telegram, Line, Facebook messenger и еще сотни мессенджеров, которым только предстоит выйти в ближайшее время.

На написание этого текста меня подтолкнула ужасающая ситуация, сложившаяся в области интернет-коммуникаций, угрожающая перспектива развития инструментов для обмена мгновенными сообщениями, аудио-видеозвонками и надоевшие споры о том, какой же мессенджер все-таки хороший, правильный и безопасный.

Последние годы конкуренция на рынке мессенджеров как никогда высока. Доступный интернет у каждого в смартфоне позволил мессенджерам стать самыми часто используемыми приложениями. Только ленивый сейчас не пишет свой мессенджер. Каждый день выходит новое приложение, обещающее совершить революцию в способах коммуникации. Доходит даже до абсурда вроде приложения Yo, позволяющего слать друг другу только одно слово.
У каждого мессенджера есть своя аудитория, агитирующая пользоваться именно их любимым сервисом. В итоге приходится заводить кучу учетных записей в различных сервисах и устанавливать кучу приложений, чтобы иметь возможность оперативно связаться со всеми необходимыми людьми.

Сложившаяся на данный момент ситуация настолько ужасна, что в перспективе угрожает фундаментальным принципам общения. В данной статье я на конкретных примерах попытаюсь донести одну мысль:

_ Почему такая важная для человечества технология, как мгновенные сообщения и аудио-видеозвонки, не может быть монополизирована какой-либо компанией. Как это тормозит развитие технологий, угрожает свободе и безопасности коммуникаций.

Длительное время я использовал джаббер только в роли меседжера, однако несколько недель назад мне попался адрес джаббер бота, который был словарем, что представилось мне крайне удобным в использовании. В скором времени мой ростер пополнился десятком удобных ботов, и в поиске новых я, в том числе, исследовал хабр, но не нашел ничего. Я решил заполнить эту нишу и создать сводный список ботов, известных мне, которые, по-моему мнению, могут заинтересовать.

Компания МТС направила в Роскомнадзор и Минкомсвязи запрос, в котором просит обратить внимание на деятельность OTT-сервисов (Over The Top сервисы, осуществляющие доставку сигнала через интернет-канал). Подобные проекты все чаще конкурируют с операторами, но при этом их деятельность никак не регулируется. МТС была бы рада, если бы регулятор рассмотрел вопрос о соответствии Skype и подобных ему компаний российским лицензионным требованиям: необходимо определить их статус как участников рынка. Ведь по сути, поставщики интернет-сервисов, не инвестируя в инфраструктуру связи, пользуются сетями, в сооружение которых операторы вложили огромные средства.

Поставил сегодня я новую бета версию Skype и заодно решил посмотреть старым добрым Restorator'ом какие ресурсы (картинки в частности) содержит 25 мегабайтный файл. И наткнулся на очень интересный способ хранения флагов стран:


Upd: Рисунок оригинальный, ничего не менял, только прозрачные области белым цветом залил.

В честь праздника Хэллоуин хотим вас всех поздравить и представить вам новую версию мессенджера qutIM!

Больше года прошло уже с начала разработки версии 0.2, за этот год мы встречались со многими трудностями, были проблемы с серверами, был недостаток разработчиков (и пожалуй пока еще эта проблема остается), был и есть недостаток (точнее полное отсутствие) дизайнеров. Перед нами время от времени стоял выбор — использовать распространенные технологии или делать ставку на темных лошадок — долго решали между iris'ом, уже зарекомендовавшим себя в таких клиентах как Psi и Kopete, и мало кому известным gloox'ом, который оказался более перспективной разработкой.

qutIM — это молодой, перспективный и свободный многопротокольный клиент для общения в реальном времени. Начиная с версии 0.1.1 ядро было полностью переписано, реализация ICQ протокола перетерпела множественные изменения и была вынесена в отдельный плагин, были добавлены поддержки и многих других протоколов, так что теперь qutIM официально поддерживает следующие протоколы:

• ICQ
• Jabber
• MRIM
• IRC
• VKontakte

… пусть меня научат.

Сначала я напишу пару вводных слов про джаббер, затем как быстро начать им пользоваться, чуть ниже как с ним познакомится, а в конце ссылки для любопытных. Не стесняйтесь прокручивать, если содержимое очередной части вам покажется известным.

Введение и пара оговорок

Джаббер (Jabber) — протокол мгновенного обмена сообщениями. Хотя Jabber правильнее называть XMPP — расширяемый протокол обмена сообщениями и индикацией присутствия.

Оказывается, в чате скайпа работают некоторые HTML-теги, в том числе и <font color="">
Благодаря этому возможно создавать несложные картинки в тексте сообщений.

Список поддерживаемых в скайпе тегов www.wikireality.ru/wiki/HTML_в_Скайпе
Для того чтобы оправить HTML-код в чате нужно зажать CTRL+SHIFT и кликнуть на кнопку отправки сообщения.

Код картинки pastebin.com/raw.php?i=z4EspzjC

Ниже показан пример генерации HTML-кода из изображения на PHP.