Французский суд разрешил реверс-инжиниринг протокола Skype

    Неожиданный поворот случился в деле Microsoft (Skype) против двух владельцев французской компании Vest Corporation Кристиана Дюранди (Christian Durandy) и Шона О’Нейла (Sean O'Neill). Их обвиняли в распространении исходного кода Skype.

    В 2010 году Шон О’Нейл опубликовал исходники обфусцированного алгоритма генерации ключа RC4, который используется в Skype для обфускации трафика. С помощью этого алгоритма можно расшифровать трафик между клиентами и супернодами Skype. Ключи шифрования там не используются, поэтому сам алгоритм был максимально обфусцирован. Но, как известно, принцип security through obscurity часто даёт сбой, что и произошло в данном случае.

    Вообще, история компании Vest Corporation довольно любопытна. В 2005 году французское правительство запретило использование программы Skype по причинам безопасности. В 2007 году Дюранди и О’Нейл решили основать компанию для разработки программного обеспечения VoIP, дублирующего функциональность Skype. Деобфускация и реверс-инжиниринг Skype нужен был, чтобы разобраться в этой программе.

    В 2011 году российский хакер Ефим Бушманов (efimich) опубликовал исходники протокола Skype на своем сайте skype-open-source.blogspot.com (сейчас они удалены по требованию DMCA). Эти исходники включали в себя деобфусцированный алгоритм, который разгласил О’Нейл.



    Вскоре после этого компания Microsoft решила, что пора покончить с беспределом — и начала преследование, к счастью, не Бушманова, а французских предпринимателей. Против них было возбуждено уголовное дело, которое дошло до суда в сентябре 2013 года. Как сообщает французская пресса, прокурор требовал для Дюранди и О’Нейла тюремного заключения сроком один год.

    Но французский суд решил иначе. Вчера был оглашён вердикт: с предпринимателей сняты все обвинения, а компания Microsoft должна выплатить им компенсацию морального ущерба в размере 1000 евро.

    Таким образом, суд фактически легализовал дальнейший реверс-инжиниринг протокола Skype и публикацию исходных алгоритмов, которые им используются. Остаётся порадоваться за французское правосудие, которое приняло разумное решение, потому что в США такое вряд ли возможно.

    Средняя зарплата в IT

    111 111 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 6 788 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 67

      0
      Мне кажется это здоровое желание делать популярные продукты открытыми или изначально создавать их таковыми. Примеров много (android, да что там ходить linux kernel) а монетизироваться надо через поддержку и другие услуги — в скайпе это непосредственно связь.

      Интересно другое… тут реально компанию skype(MS) правительство «поимело» и вместо неё раскрыло продукт. А дальше разрешат выкладывать исходники WIN?)
        +3
        А что не так с исходниками Win?
          –3
          Я вот прямо представил, как продавец windows в магазине говорит мне «А что не так с исходниками Win?»
            +7
            ага, заходите, а он вместо «здравствуйте, чем я могу вам помочь» такой говорит вам: «а что не так с исходниками win?»

            Похоже на психоделический сон :)
              –2
              Я аж перевернулся во сне и пришёл написать об этом на хабр.
          +20
          Вы путаете право разработчиков выпускать свои продукты такими, каким им хочется, и никто не может их заставить сделать иначе, и патентование алгоритмов передачи информации, как если бы Эйнштейн показал свои формулы, но запретил бы ими пользоваться.
            +4
            Показал не полностью. Зажал ², вытоге у ученых всего мира размерность не сходится, а он знай усмехается в усы.
            +23
            Не путайте исходники и реверсированный код.
            –31
            Так то раскрытие кода проприетарного ПО может нанести ущерб доходам с него и данное решение суда — бред полный
              –17
              Вы так реагируете, как будто я не прав
                +15
                Если раскрытие уязвимостей/ошибок в программе может нанести ущерб автору — это проблемы автора, надо исправлять а не прятать
                  +5
                  Да, проблемы автора. И пользователей.
                  А вообще, мне ситуация представляется похожей на такую:
                  Придуман новый двигатель и использован при производстве автомобиля. Смышленые китайцы покупают автомобиль, разбираются, как он устроен. Уже через полгода они выпускают свой автомобиль со сходными характеристиками по меньшей цене, не затратив больших средств на разработку двигателя.
                  Только вот Майкрософт плюс ко всему еще и в минусе
                    +12
                    Ну китайцы примерно так и поступают практически по всему спектру продаваемых механизмов :)
                    А в чем ущерб микрософт? в выплаченном штрафе по решению суда?
                      0
                      В том, что на рынке появляется еще один конкурент, который ко всему прочему использовал их программное обеспечение, за которое Мелкомягкие отдали 8 с лишним млрд $, и опубликовал их уязвимости в качестве пиар-хода
                        +11
                        Микрософт купил за 8млрд не программу, а инфраструктуру + базу клиентов. сама по себе программа/протоколы для них ничего не стоят
                          +1
                          ничего не стоят
                          — все относительно. Формально же это вполне себе ущерб

                          P.S. Ох и заминусили же меня(и в карму не поленились плюнуть :) ), даже отвечать теперь смогу лишь раз в 5 минут.
                            +7
                            Да, не волнуйтесь, это же Майкрософт, на Хабре говорить про них что-то хорошее или оправдывать не принято. «Корпорация зла» же. :)
                          –3
                          Вы так говорите, как будто это что-то плохое. Пнуть мелкомягких — богоугодное дело.
                          Особенно если по больной точке.

                          M$ — sukz!
                            +10
                            Насколько помню, rulez и sux, с произвольным количеством z и x, в зависимости от эмоциональности реплики.
                        +3
                        Вы бредите месье? После того как придумывают новый двигатель его патентуют и не имея патента его никто не может воссоздать в изначальном виде. Можно создавать аналоги(которые не противоречат патентам), но не копировть. Если у вас получилось деобфусцировать скайп и сделать подобное но лучше, что не нарушает патентов, то все ок, вам плюс.
                        В статья как я понял не идет речи, что кто-то взял и использовал исходный код или алгоритмы в своих продуктах.
                          +2
                          Мне кажется, тут правильнее говорить о том, что некий автопроизводитель выпустил автомобиль с хитрой топливнозаливной горловиной, чтобы все заправлялись на их заправках, а китайцы в итоге всё-таки сумели сделать шланг, совместимый с этой горловиной.

                          Ещё один пример — некая сотовая компания продала мне симку и обязала использовать определённый телефон. А мне этот телефон не нравится, я хочу платить компании деньги за связь, при этом пользоваться удобным мне телефоном.

                          Я заплатил скайпу деньги за звонки, почему я не могу сам выбирать клиента?
                        0
                        Суд руководствуется не выгодой автора, а законом. Законы же в свою очередь принимаются не ради выгоды одного конкретного автора, а ради пользы для общества в целом.
                        +4
                        Основной момент там в том, что это не проприетарный код скайпа там был. А жалкие попытки реверсинга. Которые до сих пор ни к чему хорошему не привели.

                        А если бы они действительно в компьютерную сеть скайпа вломились и исходники выкрали и распространили, тогда да, обвинение было бы логичным и обоснованным.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Это была ирония.
                            • НЛО прилетело и опубликовало эту надпись здесь
                        +7
                        Истинную безопасность алгоритма может обеспечить лишь его математическое доказательство, а не обфускация всех сортов. Всё правильно делают, молодцы!
                          +4
                          У SSL, HTTPS нет математического доказательства стойкости тоже. Неизвестна сложность разложения P*Q на множители
                            0
                            Ну пока что неизвестны такие атаки, которые позволят ломать современную асимметрику на современных процессорах. Если атаку найдут — что тут поделать, придётся придумать новые алгоритмы. Но даже если атаку и найдут, вряд ли она будет настолько простой, чтобы ломали все кому не лень. На 5-6 порядков может и сократится количество итераций, сломать всё равно будет непросто, но уже звоночек прозвенит — пора бы думать новые шифры.
                              0
                              На 5-6 порядков может и сократится количество итераций

                              что вам позволяет так говорить? это же не доказано!
                          0
                          Право и не знаю, что и думать. То-ли правительство надавило на суд, то-ли судьи там такие…
                            +66
                            Ну ёлки, «опубликовал исходники Skype».

                            Читать как «опубликовал исходники [протокола] Skype». Код, лично написанный мной (+разработки Шона), который лишь эмулировал работу скайп-мессенджера.

                            Сами исходники скайпа никто не пи#$ил, их локалку никто не взламывал, лол.

                            Журнализды как всегда всё ху#@о перевели. А потом юристы microsoft-skype по своим выдумкам и домыслам на этот счет, в суд подали. И совершенно справедливо, что их послали, и присудили компенсировать ребятам из VEST по 1000 евро за моральный ущерб.
                              +27
                              Это из серии:
                                +4
                                Да, похоже :))
                                  +3
                                  Интересно, сколько еще раз эту картинку выложат, прежде чем ее постигнет участь буханки-троллейбуса?
                                0
                                Из лицензионного соглашения Микрософта:
                                а также изучать технологию, декомпилировать или деассемблировать данное программное обеспечение за исключением случаев, допустимых законодательством страны вашего проживания

                                Интересно, в каких случаях возникают эти исключительные случаи?
                                  +6
                                  Фундаментальные права человека, например. Право знать.

                                  Лицензионные соглашения на софт, по иерархии права находятся в самом низу. Поэтому даже если там напишут, что ты при установки программы должен делать три раза «ку». Ты можешь этого не делать, потому что это требование противоречит федеральным законам, конституции, и мировому праву.
                                    +8
                                    Не совсем так. Требование не должно ВПРЯМУЮ противоречить государственным законам и международным актам, ратифицированным в таком государстве (причем, не стоит забывать еще и о коллизиях мирового права). Например, если лицензионный договор будет предусматривать его действие после окончания срока защиты имущественных прав на произведение (70 лет с момента смерти автора согласно законодательству РФ), то он будет считаться ничтожным в этой части. Если договор будет требовать убивать каждый день по младенцу, то он также будет считаться ничтожным. А вот если он будет предусматривать необходимость делать три раза «ку» при установке программы, то этот пункт можно оспорить только через суд, так как ни в федеральных законах, ни в региональных, ни уж тем более в конституции такого запрета нет.

                                    Вот запрет на декомпиляцию на территории РФ не действует, так как такое действие открыто разрешает статья 1280 ГК РФ. Это и есть исключительные случаи. Собственно, об этом уже и ниже написали
                                      +1
                                      Разрешает? Серьезно? Круто, не знал)

                                      Правда полученный результат все равно нельзя выкладывать в общий доступ.
                                        +1
                                        Не всё так просто.
                                        3. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:
                                        1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;
                                        2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;
                                        3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.

                                        Проще говоря, нельзя просто так взять и отреверсить из любопытства или желания сделать клон.
                                    +16
                                    www.consultant.ru/popular/avtorpravo/65_2.html#p269
                                    ЗоАПСП ст 25 ч 2
                                    2. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия автора или иного обладателя исключительных прав и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

                                    1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

                                    2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;

                                    3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, если это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления любого другого действия, нарушающего авторское право.

                                      0
                                      Благодарствую.
                                        +5
                                        Поправка, теперь это Статья 1280 ГК РФ, но содержимое то-же
                                        www.internet-law.ru/law/kodeks/gk_4_70.htm#a1280
                                          0
                                          Забавно, раньше там что-то про лицензионное соглашение было. Вроде того что реверсить можно, если в лицензии не указано обратное…
                                            +1
                                            Это не про реверс было (и есть), а про багфиксы. Некоторые туда же относят «ноусиди» и прочую адаптацию к железу :)
                                              0
                                              А, про изменения в бинарный код, точно.
                                    0
                                    И «алгоритма шифрования RC4» плохо читается — это не алгоритм, это потоковый шифр.

                                    en.wikipedia.org/wiki/RC4

                                      +1
                                      собственно, RC4 и так всем известен, опубликован был аглоритм генерации/модификации сеансового ключа для RC4
                                      +4
                                      > «сейчас они удалены по требованию DMCA»

                                      Удалено не потому что там исходники были, а потому что в коде часто использовалось слово «skype», которое является зарегистрированной торговой маркой.
                                        +3
                                        Кроме того, после DMCA запроса подавался «DMCA counter notification» и гугл возвращал запись.
                                          +1
                                          В исходных кодах Symbian частенько встречается слово iPhone, начиная с 2006 года (а возможно и раньше, 2006 это то что я видел) и чо?
                                            +3
                                            Видимо, Эппл это не волнует. Право владельца торговой марки разрешать или не разрешать ее использование.
                                            +9
                                            Ага! Так вот почему того-кого-нельзя-называть называли именно так, а не по имени — его имя было торговой маркой!
                                            Что же, тогда в тексте надо писать примерно так та-самая-программа-с-синим-значком-и-белой-буквой-с или популярнейший-voip-в-мире.
                                            А то это что же! Нарушение прав на использование торговой марки, SEO, SMM — ужасы какие! «Вхождений» больше десятка на одном скриншоте ;D
                                            Мда… Значит, и названия других программ нельзя упоминать в тексте или в слух, если они — торговая марка? Как-то всё непросто в этом мире… Прямо вспоминаются «летние» акции банков www.rbcdaily.ru/finance/562949988715629
                                            Дурдом.
                                              +1
                                              Абузы на домены если в них встречается слово skype — обычное дело.

                                              Слышал что у одного чувака забанили игру полную копию старого доброго «BomberMan» (которая так и называлась). Потому что это тоже зарегистрированная торговая марка (вроде у Sony).

                                              В тексте упоминать можно, в коде и названии программ (даже в части названия) — нельзя. Насколько я понимаю. Ибо получается, что вы как бы «примазываетесь» к бренду, к его популярности. Естественно, владельцам торговой марки это не нравится. Потому что нечестно конкурировать с чем-то с названием «skype2», например. Как бы сам с собой, конкурируешь, лол. Это все мое личное видение и «имхо», конечно.
                                                +2
                                                Кстати, в тему Бомбермена. Нашел сейчас эпичное.

                                                Massively Multiplayer Online Bomberman on the web (up to 1000 players): bombermine.com/#/play/
                                                  0
                                                  Абузы на домены если в них встречается слово skype — обычное дело.

                                                  Интересно, можно ли это рассматривать, как тонкий троллинг: skypest.com?
                                                  Sky Pest, если чё. Лого особенно занятен.
                                                  +6
                                                  «Так вот почему того-кого-нельзя-называть называли именно так, а не по имени — его имя было торговой маркой!»

                                                  :)))
                                                  Это пять, да. Современные реалии отраженные в сказках.
                                                –5
                                                Во-первых, непонятно причем здесь MS. Кривую реализацию защиты трафика реализовали еще тогда, когда о продаже Скайпа наверно даже не думали.
                                                Во-вторых, Vest Corporation явно те еще молодцы. Вместо того, чтобы писать свой VoIP решили просто паразитировать на Скайпе. А когда дизасемблировали еще и выложили. Более всего интересно зачем им все это? Я правильно понимаю, что с учетом того, как реализован протокол Скайпа сделать на нем безопасный (т.е. соотвествующий требованиям французского правительства) клиент все равно нельзя?
                                                  0
                                                  Почему ж нельзя-то? обернуть пакеты в нормальное шифрование, и профит.
                                                  +2
                                                  ReactOS нужно писать в Франции :-)
                                                    +9
                                                    Кстати, буду рад если кто-нибудь захочет присоединиться к проекту реверсинга скайпа.
                                                    А то сейчас у меня затык некоторый наблюдается. В тупик зашел… Нужны новые идеи :)

                                                    Wiki проекта: skype-open-source.blogspot.ru/2013/10/hidden-wiki.html
                                                    Github: github.com/skypeopensource/epycs
                                                    (клиент с частичной эмуляцией скайп-протокола)
                                                      0
                                                      Когда же уже кто-нибудь запилит нормальный клиент? =/
                                                      Особенно для линукса — им без слёз пользоваться невозможно. Стоит только глянуть на иконку в трее.
                                                        0
                                                        Пока Microsoft не разрешит это. Отревёрсить и написать свой клиент — это вопрос ресурсов. При необходимости можно сделать.

                                                        Но это проработает ровно столько времени, сколько Microsoft разрешит. Даже, если не получится зарубить на юридическом уровне, то можно вносить изменения в протокол каждую среду, превратив жизнь конкурента в кошмар.
                                                          +1
                                                          Да я понимаю, что это вопль в пустоту :)
                                                          Наболело.
                                                          0
                                                          А по-моему, виндовым невозможно пользоваться, особенно под вин8.
                                                            +1
                                                            Возможно, но неудобно.

                                                            На вин8 я жене ставил тоже десктопную версию.
                                                          0
                                                          а не с этой ли историей связано решение прикрыть в ближайшем будущем skype api? support.skype.com/en/faq/FA12349/skype-says-my-application-will-stop-working-with-skype-in-december-2013-why-is-that
                                                          я пользуюсь скайпом в связке с pidgin ради возможности otr-шифрования… видимо придётся переходить на голубиную почту

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое