пятница, 3 августа 2012 г.

Microsoft патентует технологию слежки за пользователями Skype!


skype 3afce

Microsoft патентует технологию слежки за пользователями Skype

30.06.11
Стало известно о патентной заявке Microsoft на тайный перехват разговоров в Skype и в других сетях на базе современных стандартов связи. Она позволяет удовлетворить требования правоохранительных органов в содействии расследованиям, невыполнение которых со стороны Skype неоднократно подвергалось критике.
Стало известно о патентной заявке Microsoft на тайный перехват разговоров в Skype и в других сетях на базе современных стандартов связи. Она позволяет удовлетворить требования правоохранительных органов в содействии расследованиям, невыполнение которых со стороны Skype неоднократно подвергалось критике.
Стало известно о патентной заявке Microsoft на тайный перехват разговоров в Skype и в других сетях на базе современных стандартов связи. Она позволяет удовлетворить требования правоохранительных органов в содействии расследованиям, невыполнение которых со стороны Skype неоднократно подвергалось критике.
Microsoft патентует технологию «легального перехвата» (Legal Intercept), которая позволяет в тайне от пользователя записывать звонки, выполняемые в Skype и других сетях, основанных на технологии VoIP. Заявка была подана в декабре 2009 г., задолго до того, как компания объявила о приобретении Skype, пишет Computerworld.
Legal Intercept напоминает стандартные инструменты, которые используются телекоммуникационными компаниями и производителями оборудования связи для того, чтобы удовлетворять государственным требованиям в прослушке. Технология изменяет данные, используемые для установления соединения, прокладывая маршрут таким образом, чтобы включить в него невидимый агент записи разговора.
«Данные, связанные с запросом на установление соединения, изменяются таким образом, чтобы соединение проходило через путь, содержащий записывающий агент, - сообщается в документе. - Модификация может подразумевать, к примеру, добавление, изменение и/или удаление блоков данных внутри данных. После модификации данные поступают в объект протокола, который использует их для установления сеанса связи. Так как данные были модифицированы определенным образом, объект протокола выбирает путь, содержащий записывающий агент. После этого записывающий агент может незаметно записывать информацию».
В Microsoft утверждают, что существующие методы, предназначенные для перехвата разговоров по аналоговым линиям, в сетях VoIP и других сетях, основанных на современных технологиях, не работают.
Заявка на патент была опубликована после того, как Microsoft объявила о приобретении популярного VoIP-сервиса
По мнению профессора юриспруденции Майкла Фрумкина (Michael Froomkin) из Школы юриспруденции при Университете Майами, технология поможет Microsoft привести сервис в соответствии с регулятивными нормами, в частности, в соответствии с законом о содействии со стороны телекоммуникаицонных компаний правоохранительным органам (Communications Assistance for Law Enforcement Act, CALEA), который обзывает предоставлять возможность перехвата разговоров.
В свою очередь, исполнительный директор организации по охране частной жизни Center for Digital Democracy Джеффри Честер (Jeffrey Chester) полагает, что данная технология поможет Microsoft в преследовании стратегических целей, в частности, по объединению Skype с другими своими продуктами. Не исключено, что Legal Intercept будет применяться Microsoft не по прямому назначению, а для того, чтобы анализировать голосовой трафик и выдавать контекстную рекламу.
Напомним, Microsoft объявила о приобретении Skype за $8,5 млрд в мае 2011 г. Skype - самый популярный в мире серсис VoIP-телефонии, включающий функции видеоконференций и обмена текстовыми сообщениями. По итогам 2010 г. абонентская база сервиса превысила 660 млн пользователей.
Skype не раскрывает механизмы шифрования голосового трафика, что неоднократно вызывало недовольство со стороны правоохранительных органов. Так, например, в апреле заместитель руководителя научно-технической службы ФСБ Александр Андреечкин предложил запретить Skype в России как сервис, угрожающий национальной безопасности. Заявка на патент не означает, что Microsoft обязательно нарушит этот принцип, но, во всяком случае, указывает на вероятные пути дальнейшего развития проекта.
Патент Microsoft на прослушивание VoIP-телефонии
Патентное ведомство США опубликовало патентную заявку компании Microsoft № 20110153809 от 23 декабря 2009 года, в которой описывается система под названием “Legal Intercept” для «скрытой записи коммуникаций».
Как сказано в описании системы, канал прослушки с модулем записи (recording agent) устанавливаются путём модификации данных в запросе на установление соединения. В результате такой модификации VoIP-протокол устанавливает соединение уже по прослушиваемому каналу.
Система Microsoft обеспечивает скрытую запись аудио- и видеокоммуникаций между двумя и более сторонами, утверждается в патентной заявке.
skype-mikrosoft-proslushivanie-specsluzhby
skype-mikrosoft-proslushivanie-specsluzhby2На всякий случай повторим, что Microsoft подавала эту заявку за полтора года до покупки Skype, так что здесь не может быть явной связи. Видимо, просто случайное совпадение.

Skype обвиняют в шпионаже за пользователями

Над системой интернет-телефонии Skype вновь навис шпионский скандал. Ранее сервис и его головная компания Ebay обвинялись в слежке за пользователями и перехвате сообщений в интересах правительства США. Теперь Skype заподозрили в шпионаже в китайском сегменте интернета.
Исследователи из центра Citizen Lab при Университете Торонто (Канада) говорят, что компания Tom-Skype, являющаяся совместным предприятием Ebay с китайской стороной, перехватывают 
сообщения и некоторые разговоры пользователей в интересах правительства КНР. Канадские исследователи на основе глубокого анализа алгоритмов работы программы Tom-Skype говорят, что серверы, отвечающие за передачу информации, содержат фильтры, реагирующие на определенные слова и их комбинации, после чего начинают слежку за источником сообщений.
"Tom-Skype занимается цензурой и ведет логи текстовых сообщений, содержащих конкретные, заранее заданные ключевые слова. Кроме того, архитектура системы такова, что возможно осуществлять более глубокий анализ трафика. Очевидно, что Tom-Skype широко практикует различные методы наблюдения за пользователям. Данная компания не уделяет должного внимания обеспечению безопасности, что находится в прямом противоречии с их публичными заявлениями о правилах работы в Китае", - говорится в отчете.
Напомним, что согласно китайским законам иностранная компания, например Ebay, не имеет право создавать в КНР свою 100%-ную дочку, вместо этого компании необходимо создавать СП с кем-либо из китайских партнеров, причем иностранной компании может принадлежать более 49% акций, созданной компании.
Канадские исследователи говорят, что фильтры срабатывают, что тексты пользователей включают в себя тексты о независимости Тайваня, запрещенной сектантской группировки Фалун-Гонг, политической оппозиции Коммунистической Партии Китая и некоторые другие темы, чувствительные для официального Пекина.
В отчете сказано, что сервис перманентно занимается сбором логов и перехватывает миллионы записей, которые также включают в себя персональные пользовательские данные, историю звонков и контактов людей, а также данные, касающиеся звонков на мобильные и стационарные телефоны за пределы Китая.
Однако канадские исследователи говорят, что гигантская схема шпионажа за китайским пользователями Skype - это лишь полбеды, вторая ее часть заключается в недостаточной защите коммуникационных серверов, слабых алгоритмах шифрования данных и возможности получение закрытых логов удаленно, чем могут воспользоваться не только заказчики этой системы в Пекине, но и хакеры, промышляющие торговлей персональными данными.
Центр Citizen Lab совместно с ИТ-компанией SecDev Group из Оттавы смогли получить все интересующие их данные с серверов, обслуживаемых доменом skype.tom.com. Согласно данным исследователей, на нескольких бэк-серверах ведутся логи по семи категориям:
• contentfilter*.log      - ip, имя пользователя, сообщение, дата, время (+ неизвестные параметры)
• skypecallinfo*.log  - ip, имя пользователя, версия, номер телефона/логин, дата, время (+ неизвестные параметры)
• skypelogininfo*.log  – ip, версия, имя пользователя, дата, время
• skypenewuser*.log  – ip, версия, имя пользователя, дата, время
• skypenewusersendmoneytest*.log  - не был расшифрован
• skypeonlineinfo*.log  – ip, имя пользователя, версия дата, время (+ неизвестные параметры)
• skypeversion.log   – версия, ip, дата, время (не расшифрован)
По данным исследователей, подобная система в Skype ведется как минимум с августа 2007 года, контекстные логи на серверах датированы августом 2008 года. В отчете говорится, что в полученных логах были IP-адреса из 59 стран, однако 95% IP- это внутренние китайские IP. Самым популярный внешним диапазоном стал американский - 0,78% от всех адресов.
На момент снятия логов, в них находилось 166 766 уникальных пользовательских сообщения, с 71 237 адресов и более чем 44 000 имен пользователей.
Скачать полный отчет можно по адресу http://www.nartv.org/mirror/breachingtrust.pdf
Вы все еще хотите установить у себя SKYPE?
После успешной PR кампании, проведенной в Россиянии, по видимому нашими родными спецслужбами, число отечественных пользователей SKYPE начало лавинообразно расти. Большинство "баранов", естественно предполагают, что раз собираются запретить - значит не могут контролировать... ...Ага - не могут - как же... Все дело в том, что сеть Skype - самая удобная для контроля сеть.
Skype работает по принципу самоорганизующейся распределенной пиринговой сети, он напичкан многоуровневыми системами шифрования, считывая с компьютера конфиденциальную информацию, он передает ее в сеть по собственному закрытому протоколу. Skype легко обходит брандмауэры, маскирует свой трафик и препятствует его блокированию. К тому же код Skype насыщен антиотладочными приемами.
Стоит ли говорить, что эти "вкусности" превращают Skype в идеального переносчика вирусов, червей, дронов, создающих собственные распределенные сети внутри сети Skype. Кроме того - сам факт существования "массово используемой" программы вроде бы как, по мнению разработчиков, недоступной взлому является "красной тряпкой" для хакеров всего мира... ...Являлась - на сегодня (17.04.2010) в интернет выложены целые презентации, показывающие как можно использовать Skype для распространения червей и прочей заразы. Даже я, не обладая какими то специальными знаниями в области хакинга, готовя этот материал, сходу нарыл способ как можно воспользоваться Skype сетями в своих целях. Правда особых целей у меня нет :о( - даже спам рассылать не хочется.
Так что хакеры уже давно знают как использовать сети Skype в своих целях и наверняка уже давно используют не особо это афишируя, а прикрывают их действия, опасаясь массового отказа от использования Skype, все спецслужбы мира.
По моему глубочайшему убеждению - такие вещи как SKYPE всегда разрабатываются не без помощи спецслужб, которым всегда очень хочется засунуть свой нос в чужой зад, а в идеале - держать по носу в каждой заднице и вообще - скорее всего Skype - это чась разведсистемы "Эшелон"... ...Впрочем может быть я параноик - тогда почитаем, что пишут специалисты по безопасности:
специалисты по железу:
"Гуглим" "опасность SKYPE" и получаем тысячи ссылок на эту тему.
От себя еще отмечу, что среди людей, которым имеет смысл беспокоиться о своей безопасности и конфиденциальности в моде "навороченные" ноутбуки, снабженные web камерами, глазок которых может смотреть наружу даже при закрытой крышке. Вот наверное они будут удивлятся когда им будут регулярно демонстирировать "домашнее порно" с их участием и SKYPE достаточно легко может в этом поспособствовать :о) ...А уж микрофоны сейчас есть вообще на всех ноутбуках... :о)
Допустим кто то считает, что ему вообще нечего скрывать или вообще страдает эксгибиционизмом, кандаулезизмом или просто возможность совершения дешевых звонков перевешивает для него все остальные минусы... Для них зайдем с другого конца.
Надо сказать, что Skype довольно бесцеремонно обращается с ресурсами компьютера, используя их для поддержания связи между остальными узлами Skype сети, напрягая процессор и генерируя мощный поток трафика. Правда это относится только к владельцам "толстых"каналов. Компьютеры, сидящие на таких каналах, Skype преобразует в "суперузлы" своей сети, а кто из нас не стремится иметь канал "потолще" :о).
Но и это не самое страшное - самая страшная опасность Skype в россиянии заложена в низком уровне профессиональной подготовки наших правоохранителей... Допустим какой то условный "террорист" позвонил через Skype и сказал что то интересное, но совершенно непонятное - трафик то зашифрован :о). Звонок этого "террориста" прошел через Ваш узел - его то IP и зафиксировали спецслужбы в качестве второго абонента. Далее Вы получаете у себя в квартире красивейшее "маски - шоу" и к моменту появления Вашего адвоката (если ему вообще удастся появиться :о) Вы уже сознаетесь, что являетесь ближайшим помощником давно умершего Бен-Ладена и вообще все последние терракты столетия совершены не без вашего участия, а сейчас миниатюрный ядерный реактор, собранный на вашей кухне из старых кастрюль, нарабатывает последние килограммы оружейного плутония, предназначенного для... ...возможно Вас потом выпустят, но "осадочек" неприятный, в довесок к разбитой морде, останется :о)
Впрочем это может быть вовсе и не террорист, а например, педофил... А может и вообще никто не звонить - проблема в том, что на Вашем компьютере открывают публичный, не подконтрольный Вам сервер, способный делать с Вашим компьютером все что угодно...
Например - мне надо Вас подставить. Я собираю кучу свидетелей и в их присутствии документирую отправку в сеть интернет с Вашего компьютера детской порнографии, а когда мы придем к Вам домой и по всем правилам изымем компьютер - то и там найдем аналогичный материальчик... ...позорная статья обеспечена. Вариантов подобного использования свободного доступа к чужому копьютеру масса - была бы фантазия... А на порядочность наших правоохранителей или беспристрастность судов надеяться я бы не стал... Впрочем - каждый из нас считает, что с ним такое никогда не произойдет и никто даже не задумывается что будут делать наши правоохранители когда, для ежемесячного увеличения количества "галочек", им не будет хватать граждан "на улицах"...

Спецслужбы могут прослушивать Skype

Согласно информации, предоставленной немецким сайтом heise online, в популярной программе для бесплатных звонков через интернет, возможно, имеется бэкдор, который позволяет прослушивать звонки.
Сама компания Skype не опровергла напрямую это сообщение, передает Electroname.com со ссылкой на Хакер.ru.
Высокопоставленные чиновники в австрийском министерстве внутренних дел, собравшиеся на встречу с провайдерами интернета и посвященную перехвату трафика, заявили, что прослушивание Skype больше не представляет для них проблем. Несколько участников встречи подтвердили это редакции heise online. На конкретный вопрос, имеет ли Skype бэкдор или имеется специальный ключ для расшифровки потока данных, представители Skype не дали подробного ответа: “Skype не комментирует слухи. Никаких комментариев”. Также ходят слухи о том, что Skype продает заинтересованным государствам специальные устройства, позволяющие прослушивание.
Слухи о бэкдоре в Skype ходят уже давно, так как Skype не раскрывает детали своего проприетарного протокола и точный алгоритм работы программы, у многих возникают подозрения, что Skype может представлять опасность, особенно в организациях. Исследователи уже пытались понять принципы работы Skype и заявляют, что использование Skype небезопасно.
Хотя австрийские провайдеры заявляют, что власти не имеют доступа к трафику, источники в министерства внутренних дел Австрии сообщают, что провайдерам навязывается инсталляция приборов, позволяющих осуществить доступ к данным, их копирование и передачу по зашифрованному каналу в министерство внутренних дел.
Skype прослушивается спецслужбами
В этом сервисе интернет-телефонии могут быть инженерные ключи, при помощи которых возможно расшифровать любой голосовой или текстовый трафик, передаваемый между пользователями этой системы.
В популярной программе-клиенте Skype обнаружили "потайной ход", организованный неизвестно кем, но с совершенно очевидными целями - чтобы прослушивать голосовой трафик.
Австрийские правоохранители уже официально заявили об успешном эксперименте по "законному перехвату трафика". Конечно, никаких доказательств общественности представлено не было, а в самой Skype заявили, что комментировать спекуляции в прессе компания не собирается.
На самом деле Skype-трафик меньше других подвержен перлюстрации, поскольку он, во-первых, передается не через центральный сервер, а от клиента к клиенту. Во-вторых, подвергается шифровке. А в-третьих, нигде не хранится, кроме собственно клиентских машин (речь идет о текстовых сообщениях - понятно, что голосовой трафик тоже нигде не собирается централизованно).
Конечно, испытанный австрийцами backdoor, если он существует в действительности, все эти "предосторожности" сводит на нет. А уязвимости, оставленные разработчиками случайно, с удовольствием эксплуатировали авторы червей, которые имеют свою пользу - благодаря "дыре" активно накручивались некие сайты.
Источник: kp.ua

Skype представляет собой одну из самых популярных VoIP-программ, установленную на миллионах компьютеров по всему миру, владельцы которых даже и не подозревают, какая опасность им грозит. А опасность им грозит весьма серьезная: от утечки конфиденциальной информации до проникновения червей и попадания на трафик, не говоря уже о таких мелочах, как нежелание Skype работать при активном SoftICE. Я все это благополучно разгрыз и теперь выставляю продукты своей жизнедеятельности на всеобщее обозрение :).
Skype, созданный отцами-основателями скандально известной Kazaa и унаследовавший от своей прародительницы самые худшие ее черты, работает по принципу самоорганизующейся распределенной пиринговой сети (distributed self-organized peer-to-peer network, P2P). Skype – это черный ящик с многоуровневой системой шифрования, напичканного антиотладочными приемами исполняемого файла, считывающий с компьютера конфиденциальную информацию и передающий ее в сеть по закрытому протоколу. Последний обходит брандмауэры и сурово маскирует свой трафик, препятствуя его блокированию. Все это превращает Skype в идеального переносчика вирусов, червей и дронов, создающих свои собственные распределенные сети внутри Skype-сети. К тому же, Skype довольно бесцеремонно обращается с ресурсами твоего узла, используя его для поддержания связи между остальными узламиSkype-сети, напрягая ЦП и генерируя мощный поток трафика. А трафик, как известно, редко бывает бесплатным (особенно в России), так что кажущаяся бесплатность звонков весьма условна: за узлы с «тонкими» каналами расплачиваются «толстые» владельцы.
Skype активно изучается в хакерских лабораториях и security-организациях по всему миру, и большинство исследователей единодушно сходятся во мнении, что Skype - это дьявольски хитрая программа, написанная бесспорно талантливыми людьми в стиле Black Magic ArtSkype не брезгует грязными трюками, создающими огромные проблемы, о которых я и собираюсь рассказать.

Анализ исполняемого файла Skype

Исполняемый файл Skype-клиента представляет собой настоящий шедевр хакерского искусства, вобравший в себя множество интересных и достаточно могучих защитных механизмов. Для противодействия им требуются не только мощные инструментальные средства (отладчики, дизассемблеры, дамперы и т.д.) и знания/навыки, но еще и куча свободного времени.
Двоичный файл полностью зашифрован и динамически расшифровывается по мере загрузки в память. Причем сброс дампа невозможен, точнее, затруднен тем обстоятельством, что стартовый код после выполнения очищается, в результате чего мы получаем exe, который не запускается. Оригинальная таблица импорта не содержит ничего интересного, и API-функции подключаются уже в процессе распаковки. Проверка целостности кода выполняется из разных мест в случайном порядке (преимущественно при входящих звонках), поэтому поиск защитных процедур представляет собой весьма нетривиальную задачу. Тем более что они основаны на криптографических RSA-сигнатурах и снабжены полиморфными генераторами, которые в случайном порядке переставляют инструкции ADD, XOR, SUB и др., перемешивая их с левыми машинными командами.
Статический вызов функций (по жестко прописанному адресу) практически не встречается, и все важные процедуры вызываются по динамически вычисляемому указателю, пропущенному через обфускатор. Следовательно, дизассемблер нам тут уже не поможет, и приходится браться за отладчик.
А вот про отладчик следует сказать отдельно. Skype распознает SoftICE даже при наличии установленного IceExt, наотрез отказываясь запускаться. Это забавно, поскольку для взлома самого Skypeотладчик SoftICE не очень-то и нужен, ведь существуют и другие инструменты подобного рода, среди которых в первую очередь хотелось бы отметить The Rasta Ring 0 Debugger, или сокращенно [RR0D], не обнаруживаемый Skype-клиентом и, как и следует из его названия, работающий на уровне ядра. В принципе, можно воспользоваться и отладчиком прикладного уровня (например, стремительно набирающим популярность OllyDbg). Только при этом важно помнить, что Skypeлегко обнаруживает программные точки останова, представляющие собой однобайтовую машинную инструкцию с опкодом CCh, записывающуюся поверх отлаживаемого кода. А для предотвращения пошаговой трассировки Skypeосуществляет замеры времени выполнения определенных участков кода, для прохождения через которые приходится использовать полноценные эмуляторы PC с интегрированным отладчиком, например, знаменитый BOCHS.
Наконец, когда исполняемый файл распакован и все проверки пройдены, защита вычисляет контрольную сумму и преобразует ее в указатель, по которому передается управление, пробуждающее Skype.
skype1
Последовательность распаковки исполняемого файла
skype2
Антиотладочные приемы, с помощью которых Skype обнаруживает загруженный SoftICE
Проблема в том, что Skype очень следит за своей целостью, поэтому попытка исправления jnz на jmp short работает только до первого входящего звонка, после которого Skype падает и обратно уже не поднимается. Специально для таких хитроумных защит еще во времена MS-DOS была разработана техника онлайн-патча, при которой исправление программы осуществляется непосредственно в оперативной памяти, а после успешного прохождения проверки на наличие SoftICE совершается откат, чтобы не волновать процедуру проверки целости.
skype3
Беглая трассировка Skype с помощью OllyDbg быстро выявляет защитный код, выполняющий проверку на присутствие SoftICE

Архитектура распределенной сети

На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
Каждый узел Skype-сети хранит перечень IP-адресов и портов известных ему super-узлов в динамически обновляемых кэш-таблицах (Host Cache Tables, HC-tables). Начиная с версии Skype 1.0, кэш-таблица представляет собой простой XML-файл, в незашифрованном виде записанный на диске в домашней директории пользователя.
skype4
Структура децентрализованной самоорганизующейся пиринговой Skype-сети
Skype-клиенты за отдельную плату могут принимать входящие звонки с обычных телефонов и совершать подобные звонки. Однако в PC2PC-обмене эти серверы никак не участвуют, поэтому мы не будем на них останавливаться.
skype5
Помимо звонков внутри Skype-сети, пользователи могут звонить и на обычные телефоны, а также принимать с них звонки.

Как Skype обходит брандмауэры

Протокол обмена между Skype-клиентами совершенно недокументирован, и поэтому вся информация о нем получена методами реинженеринга: дизассемблирования Skype-клиентов, анализа перехваченного сетевого трафика и т.д. Поскольку существует огромное количество значительно различающихся между собой версий Skype-клиентов, то описание протокола может содержать неточности, во всяком случае, open-source-клиента еще никто не написал.
Сразу же после своего запуска Skype-клиент открывает TCP- и UDP-порты. Их номера случайным образом задаются при инсталляции и могут быть в любой момент изменены через диалог конфигурации, что затрудняет блокированиеSkype-трафика на брандмауэре. Помимо этого, Skype открывает порты 80 (HTTP) и 443, однако они не являются жизненно важными, и, даже если их заблокировать, Skype ничуть не огорчится.
skype6
Структура IP-пакета при работе Skype по протоколу UDP
Ситуация осложняется тем, что Skype шифрует трафик, активно используя продвинутые технологии обфускации, препятствующие выделению постоянных сигнатур в полях заголовков. Алгоритмы шифрования меняются от версии к версии, к тому же выпущено множество специальных версий для разных стран мира, чьи законы налагают определенные ограничения на длину ключа или выбранные криптографические алгоритмы. Но в целом механизм шифрования выглядит так, как показано на рисунке.
skype7Механизм шифрования, используемый Skype
Skype-клиенты крайне деликатно обходятся с брандмауэрами и трансляторами сетевых адресов, просачиваясь сквозь них через хорошо известные протоколы STUN и TURN. Протокол STUN уже вошел в Библию Интернета и подробно описан в RFC-3489. Что же касается TURN'а, то он все еще находится в разработке и в настоящее время доступна лишь черновая версия стандарта: www.jdrosen.net/midcom_turn.html.
Так что, с юридической точки зрения, действия Skype законны и не попадают под статью. STUN, расшифровывающийся как Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs) (простое проникновение датаграмм протокола UDP через транслятор сетевых адресов (NAT)), представляет собой отличное средство, которое страдает, однако, рядом ограничений и не работает в следующих случаях:
  1. если путь во внешнюю сеть прегражден злобным брандмауэром, режущим весь UDP;
  2. если на пути во внешнюю сеть стоит симметричный транслятор сетевых адресов.
Ну, с брандмауэром все понятно. Если UDP закрыт, то никак его не откроешь. А вот симметричный транслятор сетевых адресов (symmetric NAT) — это что за штука? Не углубляясь в технические детали, скажем, что симметричный NAT представляет собой разновидность обыкновенного транслятора, требующего, чтобы целевой IP-адрес и порт транслируемого пакета совпадали с внешним (external) IP-адресом и портом. Если один и тот же узел посылает пакеты с одинаковыми исходными IP-адресами и портами по разным направлениям, NAT будет вынужден транслировать их на другие порты. Таким образом, чтобы отправить внутреннему узлу UDP-пакет, внешний узел должен первым делом получить запрос от внутреннего узла. Самостоятельно инициировать соединение внешний узел не в состоянии, поскольку NAT просто не знает, на какой внутренний IP и порт следует транслировать неожиданно сваливавшийся UDP-пакет.
Эта проблема решается протоколом TURN (Traversal Using Relay NAT), технические подробности работы которого описаны по вышеупомянутому адресу и большинству читателей совершенно неинтересны. Гораздо важнее другое — протокол TURN значительно увеличивает латентность и теряет большое количество UDP-пакетов (packet loss), что далеко не лучшим образом сказывается на качестве и устойчивости связи, но полное отсутствие связи - еще хуже. Так что пользователям Skype стоит радоваться, а не жаловаться!
skype8
Структура Skype-сети, в которой присутствуют Skype-клиенты за NAT и брандмауэрами
Вот только администраторы этой радости почему-то не разделяют, наглухо закрывая UDP-трафик (тем более что большинству нормальных программ он не нужен). Немного поворчав для приличия (замуровали, демоны!), Skypeавтоматически переключается на чистый TCP, отрубить который администратору никто не позволит. Правда, поколдовав над брандмауэром, тот может закрыть все неиспользуемые порты, но в том-то и подвох, что неиспользуемых портов в природе не встречается! При соединении с удаленным узлом операционная система назначает клиенту любой свободный TCP/UDP-порт, на который будут приходить пакеты. То есть, если мы подключаемся к web-серверу по 80-му порту, наш локальный порт может оказаться 1369-м, 6927-м или еще каким-нибудь другим. Закрыв все порты, мы лишимся возможности устанавливать TCP/UDP-соединения!
Единственный выход — обрубить всем пользователям локальной сети прямой доступ в интернет, заставив их ходить через proxy-сервер. Однако даже такие драконовские меры не решат проблемы, поскольку Skypeпросто прочитает конфигурацию браузера и воспользуется proxy-сервером как своим родным!
skype9
Skype, работающий через proxy-сервер, конфигурация которого прочитана из настроек браузера

Как заблокировать Skype-трафик

Разработчики Skype предостерегают администраторов от попыток выявления и блокирования его трафика (типа: «Все равно у вас ничего не получится!»). И действительно, распознать Skype-трафик очень сложно, а заблокировать его можно только по содержимому, которое зашифровано и не содержит никаких предсказуемых последовательностей. К счастью для администраторов, создатели Skype, при всей своей гениальности, допустили ряд оплошностей, оставив часть трафика незашифрованной. UDP-соединение использует открытый протокол для получения публичных IP-адресов super-узлов, что вполне может быть выявлено анализатором трафика. Это раз. TCP-соединение использует один и тот же RC4-поток дважды, что позволяет нам восстановить 10 первых байт ключа, расшифровав часть постоянных полей заголовков Skype-протокола. Это два! Кстати, весьма полезная вещь для шпионажа за чужими разговорами! Однако мне не известен ни один готовый блокиратор Skype-трафика, а писать свой собственный — лениво, да и времени нет.
skype10
Повторное использование RC4-потока позволяет восстановить 10 байт ключа из 12-ти, расшифровывая часть Skype-трафика
Распознать и заблокировать UDP-трафик намного проще. Каждый фрейм начинается с двухбайтового идентификационного номера (ID) и типа пакета (payload). В UDP-пакет вложен 39-байтный NACK-пакет, пропущенный через обфускатор и содержащий следующие данные:
  • идентификатор пакета (непостоянен и варьируется от пакета к пакету);
  • номер функции (func), пропущенный через обфускатор, но func & 8Fh всегда равно 7h;
  • IP отправителя;
  • IP получателя.
Таким образом, чтобы заблокировать UDP-трафик, генерируемый Skype, достаточно добавить в брандмауэр следующее правило:
iptables -I FORWARD -p udp -m length --length 39 -m u32
--u32 '27&0 x8f=7' --u32 '31=0 x527c4833 ' -j DROP
skype11
Структура NACK-пакета
К сожалению, блокировка UDP-трафика ничего не решает, поскольку Skype автоматом переходит на TCP, но тут есть одна небольшая зацепка. Заголовки входящих IP-пакетов, относящиеся к протоколу обмена SSL-ключами (SSL key-exchange packets), содержат нехарактерный для «нормальных» приложений идентификатор 170301h, возвращаемый в ответ на запрос с идентификатором 160301h (стандартный SSL версии 3.1). Таким образом, блокирование всех входящих пакетов, содержащих в заголовке 170301h, серьезно озадачит Skype, и текущие версии потеряют работоспособность. Вот только надолго ли…
skype12
Распознание Skype-трафика по необычному идентификатору во время обращения к Login Server при обмене SSL-ключами
Для детектирования и блокирования Skype-трафика можно использовать и другие программно-аппаратные средства, например, PRX от Ipoque или Cisco Network-Based Application Recognition (NBAR). Однако все они недостаточно эффективны, так как разработчики Skype не сидят сложа руки, и если кому-то удается найти надежный способ блокировки его поганого трафика, в следующих версиях поганец появляется вновь.

Армии дронов, или как зомбировать Skype

Дешевизна голосовых разговоров вызвала бурный рост популярности Skype, сеть которого на 27 апреля 2006 года, по официальным данным, составила свыше 100 миллионов зарегистрированных пользователей. А сегодня совершают, по меньшей мере, один Skype-звонок в день свыше 700 тысяч человек! Несложно спрогнозировать, что в скором времени в Skype войдет львиная доля узлов интернета, что имеет как положительную, так и отрицательную сторону.
Хакеры уже давно догадались использовать Skype для распространения вирусов и организации распределенных атак, которым очень сложно воспрепятствовать - Skype-трафик надежно зашифрован и не может быть проанализирован антивирусами, заблокирован брандмауэрами или распознан системами обнаружения вторжения.
Естественно, чтобы захватить Skype-узел, хакер должен найти способ передать на него зловредный код, что при соблюдении всех мер безопасности он ни за что не сможет сделать. Но, как и всякое другое программное обеспечение, Skype подвержен ошибкам, в том числе и ошибкам переполнения, одна из которых была обнаружена 25 сентября 2005 года. Сейчас она уже давно исправлена и представляет лишь исторический интерес, но с ней все-таки стоит познакомиться поближе (а сделать это можно на Skype.com/security/Skype-sb-2005-03.html или наseclists.org/fulldisclosure/2005/Oct/0533.html).
Возможность передачи управления на shell-код позволяла атакующему овладевать любым Skype-узлом, а также всеми известными ему super-узлами и т.д. Над распределенной сетью нависла глобальная угроза, и просто чудо, что она не закончилась катастрофой. Однако, как показывает практика, там, где есть одна ошибка, рано или поздно появляются и другие. Закрытость исходных текстов и множество антиотладочных приемов (затрудняющих тестирование программы) этому только способствуют!
Другая опасная «вкусность» Skype заключается в открытости его API. Пойдя навстречу сторонним разработчикам, создатели Skype предусмотрели возможность интеграции любой прикладной программы со Skype-клиентом. Правда, при этом на экран выводится грозное предупреждение, что такая-то программа хочет пользоваться SkypeAPI: разрешить или послать ее на фиг? Естественно, большинство пользователей на подобные вопросы отвечают утвердительно. Уже привыкшие к надоедливым предупреждениям, они инстинктивно давят «Yes» и только потом начинают думать, а что же они, собственно, разрешили?
Понятное дело, что, чтобы использовать Skype API, зловредную программу нужно как-то доставить на компьютер. Раньше для этого применялась электронная почта, успешно фильтруемая антивирусами, но количество пользователей, запустивших исполняемый файл, все равно исчислялось миллионами. Теперь же для рассылки вирусов можно использовать сам Skype. Локальный антивирус — единственное средство обороны, потенциально способное отразить атаку. Но, если он и установлен, распознать неизвестный науке вирус он не в состоянии даже при наличии антивирусных баз первой свежести (эвристика пока все-таки работает больше на рекламу, чем на конечный результат).
Важно, что протокол Skype уже частично расшифрован и созданы хакерские инструменты, позволяющие взаимодействовать со Skype-узлами в обход стандартных Skype-клиентов, и даже без сервера регистрации! И хотя в настоящее время дело ограничивается простым сбором адресов super-узлов, существует принципиальная возможность создания своих собственных сетей на базе распределенной Skype-сети, главная ошибка разработчиков которой заключается в том, что Skype-узлы безоговорочно доверяют друг другу и вся «безопасность» зиждется лишь на закрытости протокола.
skype13
Географическое распределение super-узлов Skype по планете

Заключение

Заканчивая статью, я хотел бы спросить: что же все-таки скрывают создатели Skype в недрах своего кода? Почему, распространяя программу бесплатно, они зажимают исходные тексты и используют закрытый протокол, вызывая тем самым недоверие специалистов по безопасности? Для чего бесплатной программе столь навороченная защита, снижающая производительность и потребляющая большое количество памяти, ведь ломать ее никто не собирается? Почему вообще Skype-клиент реализован как черный ящик?

Механически отключить микрофон если не говорите по skype ,закрывайте глазок видеокамеры на вашем компьютере.


В рамках проекта GNU Free Call создается свободная замена Skype

Разработчики инициативы GNU Telephony представили новый проект - GNU Free Call, нацеленный на разработку и внедрение по всему миру безопасных и самоорганизующихся коммуникационных сервисов. В качестве базового протокола в GNU Free Call будет использоваться SIP, поддержка которого будет обеспечена при помощи VoIP-сервера GNU SIP Witch. Коммуникационная сеть будет построена с использованием P2P-технологий и будет иметь топологию mesh-сети, в которой каждая клиентская точка сети связана через соседние клиентские точки. Конечной целью проекта является формирование VoIP-сети, напоминающей Skype по возможностям и удобству использования.
Клиентское ПО для работы в cети GNU Free Call будет поддерживать широкий спектр разнообразных программных платформ. Сеть будет иметь полностью децентрализованную структуру, не привязанную к отдельным управляющим серверам. Благодаря использованию открытого протокола, шифрования канала связи и полной децентрализации, разработчики планируют исключить возможность перехвата соединений и внедрения недокументированных операций в протокол. Так как сеть будет построена в виде самоорганизующейся mesh-сети, то благодаря отсутствию специальных узлов, занимающихся маршрутизацией звонков, такая сеть будет обладать высокой степенью живучести, продолжая обеспечивать связь внутри сегмента даже в случае чрезвычайных ситуаций и потери связности с внешними сетями.
С технической стороны, для реализации проекта в GNU SIP Witch, кроме функции маршрутизации SIP-звонков, будет обеспечена поддержка работы в роли защищенного VoIP-прокси, добавлена возможность хранения кэша хостов и выполнения функций обмена маршрутами с соседними узлами mesh-сети. Поддержка VoIP-прокси позволит упростить процесс построения пользовательских интерфейсов и создания приложений для мобильных устройств, благодаря обеспечению поддержки приема и выполнения звонков с любых SIP-совместимых программных телефонов.
В текущем состоянии GNU SIP Witch позволяет напрямую связать несколько компьютеров, предоставив возможность прямой отправки и приёма SIP-звонков через интернет, без использования внешних SIP-сервисов и шлюзов, а также давая возможность соединения машин, доступ в сеть которых организован через транслятор адресов (NAT) или межсетевой экран (пример настройки SIP Witch). Выступая в роли посредника, GNU SIP Witch может быть установлен как на локальной машине, на которой запускается SIP-клиент, так и на сервере, позволяя обеспечить работу сразу для нескольких машин в локальной сети. Все операции обработки и кодирования медиапотоков осуществляются на стороне SIP-клиента (в настоящее время функции RTP-прокси не поддерживаются и GNU SIP Witch может лишь согласовывать SIP-соединения), GNU SIP Witch обеспечивает лишь простейшие операции проброса канала связи до абонента и маршрутизации вызовов по URI-идентификаторам абонентов, что делает программу легковесной и не требовательной к ресурсам, давая возможность её использования на встраиваемых системах.

Microsoft меняет сетевую инфраструктуру Skype, переходя с клиентских P2P-супернод на Linux-серверы

02.05.2012

Корпорация Microsoft, новый владелец VoIP-сервиса Skype, полностью переработала его структуру, заменив распределённую P2P-сеть из клиентских машин на свои собственные серверы на основе Linux, усиленные с точки зрения безопасности.
Данная реструктуризация проведена приблизительно два месяца назад и является кардинальным изменением работы сети Skype, которая ранее основывалась на супернодах, которые работали на основе самих клиентских компьютеров, подключенных к сервису. Данные компьютеры должны были удовлетворять требованиям пропускной способности, вычислительной мощности и другим характеристикам. Однако, такой дизайн был посчитан корпорацией небезопасным и не отвечающим требованиям устойчивости (как известно, за последние несколько лет сеть Skype практически полностью прекращала своё функционирование из-за некорректной работы некоторых версий программы). В среднем в режиме супернод работало приблизительно 48 тысяч клиентских компьютеров, каждый узел обслуживал в среднем 800 клиентов сети.
skype-topologija-shema
Согласно исследованию специалиста по безопасности компании Immunity Security, Microsoft отказалась от этого дизайна в пользу развёртывания собственной сети на основе десяти тысяч серверов на основе защищенной версии Linux, с установленными патчами безопасности от проекта GRSecurity. Каждый выделенный сервер сейчас поддерживает по 4100 подключений (итого, 41 миллионов одновременно работающих пользователей) и имеет теоретический предел в сто тысяч подключений.
klienty-skype-v-god
По информации от компании Microsoft, архитектура сети сама по себе осталась прежней, но вместо супернод, работающих на клиентских машинах, теперь используется кластер из локальных супернод, размещённых в защищённых датацентрах, работающих под управлением операционной системы с повышенным уровнем безопасности и обслуживаемых специализированным высокопроизводительным ПО. По данным Microsoft такой подход позволит увеличить надёжность, масштабируемость и производительность сети Skype.
Существует подозрение, что на данный шаг компания пошла в том числе для упрощения возможности перехвата голосового трафика между пользователями, ибо при старой системе организация контроля за активностью пользователей, связанной с работой супернод, была бы излишне усложнённой и заметной. Следует отметить, что сами по себе суперноды используются только для координации связи между клиентами, позволяя одному пользователю найти другого пользователя. Связанный с голосовым или видео вызовом трафик передаётся напрямую, не проходя через суперноды, если хотябы у одного из собеседников имеется реальный IP (если оба абонента за NAT то трафик передаётся через суперноды).
Дополнительно можно отметить выявленную на днях особенность работы программы Skype 5.5, позволяющую легко определить последний активный IP-адрес любого пользователя, без совершения вызова и без добавления пользователя в список контактов. Компания Microsoft не считает такое поведение уязвимостью и утверждает, что данная проблема свойственна и другим P2P-приложениям. Тем не менее, рассматриваются способы решения проблемы, которые позволили бы усложнить утечку адресов.

Skype заподозрили в прослушке пользователей

24.07.2012
В Сети появилась информация, что, после многих лет противостояния, Skype предоставил правоохранительным органам доступ к разговорам пользователей. Однако представители сервиса это отрицают, ссылаясь на техническую невозможность такой прослушки.
Напомним, Skype всегда утверждала, что ее "пиринговая архитектура и техники шифрования" не позволяют прослушивать переговоры пользователей, то есть даже при желании она не в состоянии предоставить доступ к ним правоохранительным органам.
Однако после того как Microsoft купила Skype за 8,5 миллиарда долларов, стало известно: компания получила патент на технологию "законного перехвата" для использования интернет-телефонии такими службами, как Skype. Эта технология позволяет скрытно копировать информацию, передаваемую во время сеансов связи.
Как отмечает техноблог Slate, невозможно точно сказать, начал ли Skype использовать эту технологию, выполняя требования полиции и других правительственных структур. На прямой вопрос такого рода в Microsoft прямо ответить отказались, что дало изданию повод предполагать: от пользователей скрывают правду. Дальше новость стали тиражировать другие интернет-издания, не стесняясь на провокационные заголовки, что вызвало у миллионов пользователей Skype закономерное беспокойство.
Slate напоминает, что весной в Cети начали появляться сообщения о начатой Microsoft перестройке архитектуры Skype. Представители компании заявили, что предполагаемые изменения в программе являются обычными доработками продукта, и нет никаких оснований считать, что сервис пытается выполнить требования правительства о прослушке. "VoIP-сервис сотрудничает с правоохранительными органами, насколько это юридически и технически возможно", — заявил представитель Skype Хаим Хаас.
В соответствии с политикой конфиденциальности Skype, компания оставляет за собой право передавать властям по запросу, по крайней мере, определенную часть информации. Это стандартная практика — так, социальная сеть Facebook проверяет подозрительные разговоры пользователей и сообщает о них в правоохранительные органы.
В Skype, по данным за прошлый год, зарегистрировано 663 миллиона пользователей. И прослушивать всех пользователей подряд довольно затруднительно и во многом бесполезно — отмечает PCWorld, комментируя поднимающуюся в Сети панику вокруг "прослушки Skype". Тем не менее, не отвечая прямо на волнующие пользователей и прессу вопросы, Microsoft отнюдь не способствует спаду волны слухов. Эксперты рекомендуют корпорации выпустить официальный отчет о предоставлении информации правительственным органом по аналогии с документами, выпускаемыми Google и Twitter.\

Вести.net: Skype теряет доверие

24.07.2012  
Получили ли правоохранители возможность прослушивать Skype? — вопрос, которым задаются с начала недели почти все интернет-издания. Источником для обсуждения послужила статья на сайте Slate.com, в которой говорится о том, что новые законопроекты "о наблюдении" в США и Австралии обязывают производителей онлайн-чатов оставлять бэкдоры для прослушивания аудио разговоров. В качестве примера самого долго сопротивлявшегося сервиса приводится Skype как обладающий надежной системой шифрования, в том числе еще и потому что голосовой трафик в Skype передается не по одному каналу, а по распределенной сети пользовательских машин.
При этом издание упоминает сообщения о том, что этой весной корпорация Microsoft начала переделыватьархитектуру Skype, изменения в которой позволят правоохранительным органам "подключаться" к разговорам пользователей службы. Представители Microsoft в ответ заявили, что предполагаемые изменения в программе являются обычными доработками продукта и нет никаких оснований считать, что администрация сервиса пытается разработать бэкдоры для правительственной “прослушки”. В представительстве Skype в России нашей программе сказали, что "ввели в эксплуатацию суперузлы" (так называемые supernodes), расположенные на выделенных серверах. Но это было сделано для повышения производительности сервиса и не изменило архитектуру Skype как распределенной (P2P) сети.
Вероятно, — мы можем только догадываться — журналист Slate.com сопоставил тот факт, что Microsoft  покупает сервис Skype, с наличием у Microsoft патента на технологию “законного вмешательства”, которая позволяет полицейским "подключаться" к разговорам пользователей в различных VoIP-службах. Сложив таким образом эти два факта, журналист, похоже, сделал простой вывод —  Microsoft  внедряет в Skype механизм прослушивания. Однако, ни одна из сторон не подтвердила этот факт.

2 комментария:

  1. Я понимаю почему Микрософт хапнула себе за 8 миллиардов Скайп-независимый был по подслушке..а ведь через всемирное подслушивание америкосы распиливали Союз, убили Саддам Хуссейна..Им все неймется, словно в задницу шило всадили..или.. .как в одной одесской песне-"..оффицианту засадили в ногу вилкой,.. на том закончилось салонное танго" Так же закончат и америкосы..Ведь на всякого мудреца достаточно простоты...г.Таллин

    ОтветитьУдалить
    Ответы
    1. ну да даже скайп закрыли придется общаться через Джаббер!

      Удалить