информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2009 / февраль
2009
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Итальянская полиция оказалась бессильной перед Skype
dl // 15.02.09 14:42
Миланские полицейские озабочены тем, что представители организованной преступности стали все активнее пользоваться Скайпом для переговоров.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/06.html]
Система шифрования, которой компания ни с кем не делится, не дает использовать привычные для полицейских методы перехвата. Тревогу подняли таможенники и налоговики, услышав, как подозреваемый в перевозке наркотиков предложил сообщнику переключиться на Скайп для уточнения деталей по поставке двухкилограммовой партии кокаина.

Любопытно, что несмотря на то, что полиция стала все активнее использовать средства технического перехвата и все более зависеть от них в последнее время, правительство Италии наоборот собирается ограничить возможности по прослушиванию переговоров, разрешив использование прослушки только для наиболее серьезных преступлений и запретив огласку результатов до вынесения вердикта суда (что с учетом медлительности итальянского правосудия может означать задержку на полтора десятка лет).

Итальянские журналисты крайне негативно относятся к готовящемуся законопроекту, в то время как многие политики (включая самого премьер-министра Берлускони, частные телефонные разговоры которого регулярно утекали в печать), явно вздохнут с облегчением.

Источник: BBC      
теги: skype  |  предложить новость  |  обсудить  |  все отзывы (22) [8666]
назад «  » вперед

аналогичные материалы
Биткойновые трояны осваивают скайп // 05.04.13 05:33
Неприятная уязвимость в Skype // 14.11.12 16:09
Раскрытие ip-адресов в Skype // 01.05.12 19:24
XSS в Skype // 15.07.11 19:16
Скайп опять отвалился // 07.06.11 16:26
Skype упал, прихватив с собой клиентов, оживлять которых придется вручную // 26.05.11 17:20
Microsoft покупает Skype // 10.05.11 11:29
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

Как сейчас вижу эту пару удодов, рядом с которыми отпетый... 21.02.09 13:32  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
Как сейчас вижу эту пару удодов, рядом с которыми отпетый мафиози колется о своих планах по порабощению мира. Про скрытую прослушку "навеской" (не говоря уж про терморектальный криптоанализ) им ещё в полицейских академиях не рассказали )) Пиар скайпа голимый, к наркотикам отношения не имеющий!
Ну, почему? Команды-то передавать для оперативной координации действий очень даже не плохо... 21.02.09 18:36  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Пиар какой-то. Особенно после проблем с Аськиными клонами. 16.02.09 10:35  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.02.09 10:36  Количество правок: 1
<"чистая" ссылка>
Пиар какой-то. Особенно после проблем с Аськиными клонами.
Не уж то в Скайпе хорошая шифровалка, что даже спецслужбы поломать не могут? Надеюсь эту проблему скорос пофиксят - обяжут заменить в Скайпе на ослабленные алгоритмы шифрования.
А что, ПГП спецслужбы ломать умеют? Что мешает использвать эту якобы сверхнадежную шифровалку?
А что, ВПН спецслужбы ломать умеют? Что мешает организовать ВПН и общаться по защищенному каналу при помощи прог, в которых нет встроенной защиты?

А вообще-то я сторонник правовых подходов. Будь ты супер проф киллер или самый наиманьячный маньяк, - если недостаточно доказательств твоей вины, то ты свободен, не смотря на то, что все абсолютно уверены в твоей виновности. Тайна переписки и телефонных переговоров - святое, - пусть ты самый мафиозный наркоторговец, никто, даже КГБ, ФСБ, МВД, ЦРУ, ФБР, АНБ, никто не должен подслушивать твои разговоры и читать письма и ты даже не должен задумываться об их шифровании. Жить в свободном обществе важнее, чем облегчать работу органам правопорядка. Ничего, у них и так много власти и способов борьбы с противозаконием.
А я еще два страшных слова знаю RSA и AES. 16.02.09 11:08  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> А что, ПГП спецслужбы ломать умеют? Что мешает использвать
> эту якобы сверхнадежную шифровалку?
> А что, ВПН спецслужбы ломать умеют? Что мешает организовать
> ВПН и общаться по защищенному каналу при помощи прог, в
> которых нет встроенной защиты?
А я еще два страшных слова знаю RSA и AES.
Собственно насколько известно именно они и используются в этом самом скайпе http://en.wikipedia.org/wiki/Skype_security#Session_cryptography
Если бы они использовали что нибудь самописное - уважения было бы всяко поменьше.

Дело не этом, а в том, что для голосового общения эти страшные слова не используешь. А вот скайп - запросто. Вот назови сходу (то что ты сможешь назвать сходу, далекий от IT мафиози может искать несколько лет) хотя бы одно реализованное (а не потенциально возможное), позволяющее шифрованное голосовое общение. Желательно простое до примитивности (чтобы простой мафиози смог его использовать).

Что же до прослушки. Так ведь GSM-овский A5 и сам по себе слабоват, кроме того, телефонные переговоры проходят НЕШИФРОВАННЫМИ через провайдера телефонной связи, который всегда - локальная компания, вынужденная сотрудничать с гос органами (а ведь у них закон, ограничивающий прослушку, только пытаются принять). Я уже не говорю об обычных (проводных) телефонах, где какой либо защитой и не пахнет.

Со скайпом же в худшем случае трафик расшифровывается на серваках скайпа, а в лучшем клиенты сами вырабатывают себе сессионные ключи и сервера скайпа только помогают им гонять данные.

> МВД, ЦРУ, ФБР, АНБ, никто не должен подслушивать твои
> разговоры и читать письма и ты даже не должен задумываться
> об их шифровании. Жить в свободном обществе важнее, чем
Технические средства всегда более действенны, чем огранизационные. Организационные можно исполнять, а можно и нет. А если, к примеру, переговоры защищены технически (криптографически стойким алгоритмом), то хошь не хошь, а прослушать не получится.
Скайп не сотрудничает с государственными органами? В смысле... 17.02.09 10:23  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> НЕШИФРОВАННЫМИ через провайдера телефонной связи, который
> всегда - локальная компания, вынужденная
> сотрудничать с гос органами (а ведь у
>
> Со скайпом же в худшем случае трафик расшифровывается на
> серваках скайпа, а в лучшем клиенты сами вырабатывают себе
> сессионные ключи и сервера скайпа только помогают им гонять
> данные.

Скайп не сотрудничает с государственными органами? В смысле сервак, через который идут разговоры? Возможно использование МИМ?

> А если, к примеру, переговоры защищены технически
> (криптографически стойким алгоритмом), то хошь не хошь, а
> прослушать не получится.

Какому правителю это понравится, чтоб его подданые могли за его спиной шушукаться так, что он ничего знать не будет. Непорядочек.
С итальянскими? Вполне возможно что и не сотрудничает (а... 17.02.09 10:37  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Скайп не сотрудничает с государственными органами? В смысле
> сервак, через который идут разговоры? Возможно
> использование МИМ?
С итальянскими? Вполне возможно что и не сотрудничает (а локальные мобильные операторы и тем более телефонные компании обязаны сотрудничать). Что же до МиМ, то МиМ третьей стороны скорее всего невозможен (если в клиент зашит публичный ключ скайп сервера или другого авторити), а самому скайпу он и не нужен по понятным причинам.

> > А если, к примеру, переговоры защищены технически
> > (криптографически стойким алгоритмом), то хошь не
> хошь, а
> > прослушать не получится.
>
> Какому правителю это понравится, чтоб его подданые могли за
> его спиной шушукаться так, что он ничего знать не будет.
> Непорядочек.
Вот именно. Поэтому уповать на организационные меры (потому, что никому даже в голову не должно приходить, что можно прослушивать) не стоит. Защищаться лучше технически.
Я к тому, что сомневаюсь, что зашит в клиенте. А как же... 17.02.09 11:00  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> компании обязаны сотрудничать). Что же до МиМ, то МиМ
> третьей стороны скорее всего невозможен (если в клиент
> зашит публичный ключ скайп сервера или другого авторити), а
> самому скайпу он и не нужен по понятным причинам.

Я к тому, что сомневаюсь, что зашит в клиенте. А как же компроментация, а как же плановая смена?

> Вот именно. Поэтому уповать на организационные меры
> (потому, что никому даже в голову не должно приходить, что
> можно прослушивать) не стоит. Защищаться лучше технически.

Не верю я в то, что государство (органы) позволят, чтоб народ защищался так, что не только мелким злоумышленникам защиту не поломать, но и государству. При желании и у Скайпа секретный ключик потребуют. А раз допускают работу Скайпа, значит ломать умеют.
Корневые ключи всегда зашивают. С компрометацией борются... 17.02.09 11:30  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Я к тому, что сомневаюсь, что зашит в клиенте. А как же
> компроментация, а как же плановая смена?
Корневые ключи всегда зашивают. С компрометацией борются ревокейшн листами. А плановая смена - с апдейтом клиента.

> Не верю я в то, что государство (органы) позволят, чтоб
> народ защищался так, что не только мелким злоумышленникам
> защиту не поломать, но и государству. При желании и у
А у него выбор есть? AES в открытом конкурсе принимали. Да и RSA прост до безобразия.

> Скайпа секретный ключик потребуют. А раз допускают работу
> Скайпа, значит ломать умеют.
Вот по поводу скайпа - может быть что угодно. Вот только там совершенно не нужно делать изначально ущербный протокол - просто по требованию посылать расшифрованный поток данных кому надо, помимо того, кто является адресатом. Вряд ли это сильно перегрузит сервер.
Есть стойкость алгоритма, а есть стойкость реализации, а... 17.02.09 12:11  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> А у него выбор есть? AES в открытом конкурсе принимали. Да
> и RSA прост до безобразия.

Есть стойкость алгоритма, а есть стойкость реализации, а есть еще стойкость ключевой системы, генерации, хранения, растпространения.

> Вот по поводу скайпа - может быть что угодно. Вот только
> там совершенно не нужно делать изначально ущербный протокол
> - просто по требованию посылать расшифрованный поток данных
> кому надо, помимо того, кто является адресатом. Вряд ли это
> сильно перегрузит сервер.

А Скайп поддерживает шифрование между абонентами, а не абонент-сервер, чтоб ключи генерили абоненты и обменивались ими по другому каналу связи?
Да, конечно. 17.02.09 21:11  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Есть стойкость алгоритма, а есть стойкость реализации, а
> есть еще стойкость ключевой системы, генерации, хранения,
> растпространения.
Да, конечно.

> А Скайп поддерживает шифрование между абонентами, а не
> абонент-сервер, чтоб ключи генерили абоненты и обменивались
> ими по другому каналу связи?
Вот. Именно поэтому я и сказал, что скайпу не нужно заморачиваться с МиМ-ами. Средства прослушки вполне могут быть (а могут и не быть) встроены в сам протокол. То есть он может быть (а может и не быть, лол) надежно защищен от прослушки третьими сторонами, но никто не мешает самому скайпу иметь нешифрованный поток.

Это в общем не страшно, потому как я не могу припомнить ни одного стандарта голосовой связи (хотя конечно каску то я нашел на стройке), где бы не была возможна прослушка на стороне провайдера связи.

ЗЫ: А мафиозы, конечно, наивные. Люди, заключающие сделки на 4 кило кокаина, вполне могли бы позволить себе заказать у грамотных людей собственную программу для общения. С полным исключением возможности мима.
Заметно будет. Все время шел поток 16 килобит, а тут... 18.02.09 11:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 18.02.09 11:57  Количество правок: 1
<"чистая" ссылка>
> Вот. Именно поэтому я и сказал, что скайпу не нужно
> заморачиваться с МиМ-ами. Средства прослушки вполне могут
> быть (а могут и не быть) встроены в сам протокол. То есть
> он может быть (а может и не быть, лол) надежно защищен от
> прослушки третьими сторонами, но никто не мешает самому
> скайпу иметь нешифрованный поток.

Заметно будет. Все время шел поток 16 килобит, а тут увеличился до 32! Подозрительно. А как иначе без увеличения толщины какнала приклеить к шифрованному нешифрованный поток?

> Это в общем не страшно, потому как я не могу припомнить ни
> одного стандарта голосовой связи (хотя конечно каску то я
> нашел на стройке), где бы не была возможна прослушка на
> стороне провайдера связи.

Можно за день самостоятельно наваять. Потом будет чем похвастаться, что есть такая как минимум одна точно.

> ЗЫ: А мафиозы, конечно, наивные. Люди, заключающие сделки
> на 4 кило кокаина, вполне могли бы позволить себе заказать
> у грамотных людей собственную программу для общения. С
> полным исключением возможности мима.

Причем при расчете отсыпать немножко того же кокаина.
А вот тут писями по воде виляно. Варианта как минимум два -... 18.02.09 12:53  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Заметно будет. Все время шел поток 16 килобит, а тут
> увеличился до 32! Подозрительно. А как иначе без увеличения
> толщины какнала приклеить к шифрованному нешифрованный
> поток?
А вот тут писями по воде виляно. Варианта как минимум два - сессия (с общим секретом) устанавливается напрямую между общающимися сторонами. Либо устанавливаются две сессии со скайпом, а он уже коммутирует (и при необходимости сливает куда надо). Причем для разгрузки сервера можно предусмотреть к примеру дефолтом первое поведение, но с возможностью заэнфорсить для некоторых абонентов второе.

> Можно за день самостоятельно наваять. Потом будет чем
> похвастаться, что есть такая как минимум одна точно.
Можно. Но дело в том, что их нет, а никого это не волнует. Так почему кого то будет это волновать в случае скайпа?

> Причем при расчете отсыпать немножко того же кокаина.
:-)
Т.к. Скайп-клиент может нормально работать за самым тупым... 18.02.09 16:06  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> А вот тут писями по воде виляно. Варианта как минимум два -
> сессия (с общим секретом) устанавливается напрямую между
> общающимися сторонами. Либо устанавливаются две сессии со
> скайпом, а он уже коммутирует (и при необходимости сливает
> куда надо). Причем для разгрузки сервера можно
> предусмотреть к примеру дефолтом первое поведение, но с
> возможностью заэнфорсить для некоторых абонентов второе.

Т.к. Скайп-клиент может нормально работать за самым тупым (не UPnP) НАТом, определенно в установлении соединений между клиентами участвует Скайп-сервер.
Логично. Очень многие сидят за НАТом в инете. Любая... 19.02.09 11:21  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 19.02.09 11:27  Количество правок: 4
<"чистая" ссылка>
> Т.к. Скайп-клиент может нормально работать за самым тупым
> (не UPnP) НАТом, определенно в установлении соединений
> между клиентами участвует Скайп-сервер.

Логично. Очень многие сидят за НАТом в инете. Любая организация, любая домашняя сеть, и везде должно работать. Иначе Скайп не работал бы на ~95% компов - потенциальных клиентах. Жаль, что (в отличии от Аськи) не работает через проксю, а то количество клиентов еще возросло бы.
Я вообще то думал, что такие вещи надо реализовывать напрямую. Сервер только сообщает твой статус, адрес и другие параметры, а так же информацию для инициализации связи. Дальше пакетики должны ходить напрямую. Глупо как-то получается, допустим в малом офисе мы не ходим тратится на телефоны и миниАТС и у нас есть компы со звуковухами и выходом в инет. Общаясь через скайп друг с другом через забугорный сервак - будет жраться интернет трафик и все будет тормозить, если канал в инет не очень толстый, а локалка гигабитная. Да и нагрузка на сервак бесполезная и трафик. А если у нас еще есть вебкамеры и мы хотим устраивать видеоконференции...

Еще интересно поиграться со скайпом, на счет того, чтобы узнать, как работает шифровальный канал: то ли клиенты шифруются с серваком (две шифрованные сессии), то ли могут друг с другом (одна сессия), причем ключ вводить вручную и чтоб Скайп клиент не отослал его на сервак.
Скайп легко работает через прокси. Пользую лично. 20.02.09 18:15  
Автор: neverho0d Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Только https. 24.02.09 10:17  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Насчет локалок. 19.02.09 11:37  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
Если оба клиента в одной локалке - то связь установится между ними напрямую. Проверено неоднократно и не одним мной. Не знаю, шифруется ли канал при этом (я никаких ключей не выбираю точно, да и не видел интерфейса для такого выбора). В основе скайпа все равно лежит p2p, а сервак выступает лишь диспетчером (что, собственно, вполне логично).
Боле того, в скайпе есть фичи, "благодаря" которым, через тебя может прогоняться чужой трафик (наример, если у тебя "белая морда" есть, а оба клиента, желающие общаться, сидят за натом без проброса портов). Не знаю, насколько они используются сейчас, возможно, что Скайп стал такой проблемный трафик и через себя гнать, но вот что раньше такое было - сто процентов даю, т.к. лично наблюдал неоднократно.
Для локалок SOHO (и не только) можно поднять VoIP на серваке с PCI картой PRI/E1/T1 19.02.09 14:11  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Для SOHO с SIP за глаза хватит asterisk. 19.02.09 14:53  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
А если нужны какие-то каналы аналоговые или потоки E1 - тогда, конечно, нужно и карты цеплять. Хотя и это не всегда обязательно- зависит от окружения.
Только вот эти грамотные разработчики сразу попадут в оперативную разработку :) 18.02.09 10:13  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> ЗЫ: А мафиозы, конечно, наивные. Люди, заключающие сделки на 4 кило кокаина, вполне могли бы позволить себе заказать у грамотных людей собственную программу для общения. С полным исключением возможности мима.
subj
Ну значит, сделать как в фильмах: захватить в заложники программиста с семьей 18.02.09 12:56  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Семью - отделить и надежно спрятать, программиста обеспечить рабочим местом, но с охраной и полностью изолированное от внешнего мира. Пущай пишет.
Это первое, что приходит на ум. 18.02.09 12:24  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 18.02.09 12:26  Количество правок: 2
<"чистая" ссылка>
> > ЗЫ: А мафиозы, конечно, наивные. Люди, заключающие
> сделки на 4 кило кокаина, вполне могли бы позволить себе
> заказать у грамотных людей собственную программу для
> общения. С полным исключением возможности мима.
> subj

Это первое, что приходит на ум.
После некоторого раздумья в голову вообще лезут страшные мысли. Злые террористы начинают использовать для шифрования своей переписки программное обеспечение "Криптопро CSP 3.0" от ООО "Крипто-ПРО", или "МагПро CSP 2.0" от ООО "Криптоком", или "Верба OW" от МО "ПНИЭИ". С связи с чем оперативники берут в разработку сотрудников вышеуказанных организаций, начиная от программистов, работающих в настоящие время, вплоть до программистов, когда-либо работающих, включая директоров, бухгалтеров и уборщиц, профессорско-преподавательский соств с целью выявления уязвимостей и потайных входов. Бедным программистам зажимают яйца дверью об косяк, а те визжат, корчась от боль и готовы продать даже родную маму. Честно признаются, что в качестве алгоритма взяли AES, а ключ вводится вручную после предварительного обмена на бумажках и генерят пользователи его сами как им угодно, главное, чтоб было много цифр. Ужос короче.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach