WinFuture-Forum.de: Skype - Einfach Nur Gefährlich - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 6 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • Letzte »

Skype - Einfach Nur Gefährlich Ergebnisse der Blackhat Europe 2006


#1 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 20. März 2006 - 02:36

http://blackhat.com/presentations/bh-europ...6-biondi-up.pdf

Zusammenfassend:

1. Skype betreibt enormen Aufwand, um den Programmcode vor Manipulation zu schützen. Nützt nur nix. :-)
2. Das Protokoll hat einige kryptographische Schwächen (Keystream Reusage mit RC4).
3. Man kann die Skype-Software modifizieren und sein eigenes Netz aufbauen. Nicht nur das, man kann sogar mit dem Original-Netz interagieren und die Manipulation maskieren.
3. Der Skype-Server ist und bleibt der Man-in-the-middle, d.h. er kann durch aktive Manipulation unbemerkt Gespräche abhören. Und das bei einer Firma, die einen Ad- und Spyware-verseuchten P2P-Client ausliefert und sich zudem im Zugriffsbereich US-amerikanischer Behörden befindet...
4. Man kann Skype missbrauchen, um Netzwerke zu scannen, Daten zu tunneln, DoS-Angriffe zu relayen..
5. Die Software selbst in scheinbar ziemlich unsicher. Bekannt wurde beispielsweise ein Heap-Overflow, mit dem man beliebigen Code zu Ausführung bringen kann.
6. Mit diesem Code kann man allerdings auch gezielt Skype-Traffic vollständig unterbinden. :-)
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Anzeige



#2 Mitglied ist offline   Koopatrooper 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.411
  • Beigetreten: 03. Mai 04
  • Reputation: 0

geschrieben 20. März 2006 - 02:55

Zitat

Und das bei einer Firma, die einen Ad- und Spyware-verseuchten P2P-Client ausliefert und sich zudem im Zugriffsbereich US-amerikanischer Behörden befindet...

Genau dieser Punkt lässt mich von Anfang an an dem Programm zweifeln. Bin mal gespannt, was ebay langfristig daraus macht. Zumindest ist der ursprüngliche Entwickler des Programmes ja für zweifelhafte Privatsphärenpolitik bekannt.
0

#3 Mitglied ist offline   Witi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.942
  • Beigetreten: 13. Dezember 04
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Kingsvillage
  • Interessen:Frickeln

geschrieben 20. März 2006 - 08:12

Ist ja erschreckender als ich eigentlich dachte.

Aber immerhin gute Argumente, um Leuten in seinem Bekanntenkreis von diesem Programm abzuraten und Alternativprodukte, wie Gizmo zu empfehlen
0

#4 Mitglied ist offline   schrämp 

  • Gruppe: aktive Mitglieder
  • Beiträge: 525
  • Beigetreten: 09. März 06
  • Reputation: 0
  • Wohnort:/dev/full

geschrieben 20. März 2006 - 08:35

hab den ganzen skype hype sowieso nie verstanden
die PR machts anscheinend, n schönes/feziges logo und die leute flippen alle aus
I will never have what others have
there never was to be
but i made a sacrifice
in the cause o f liberty

You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.

0

#5 Mitglied ist offline   sparkle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.330
  • Beigetreten: 30. Mai 05
  • Reputation: 0

geschrieben 20. März 2006 - 08:39

Nö, Skype funktioniert einfach Out-of-the-box mit guter Sprachqualität, und das ohne viel zu konfigurieren und es stört sich auch nicht an Routern o.ä.. Das ist es anscheinend was die Leute wollen. Installieren - anmelden - funktioniert.
Dieser sparkle hat Super-Kuh-Kräfte
0

#6 Mitglied ist offline   Witi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.942
  • Beigetreten: 13. Dezember 04
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Kingsvillage
  • Interessen:Frickeln

geschrieben 20. März 2006 - 09:16

Naja...
Wenn du dir mal die anderen Programme anguckst, sind die auch in nullkommanichts installiert und konfiguriert.

Das eigentliche Problem an der Sache ist, dass das Teil das erste seiner Art war und dadurch am bekanntesten geworden ist.
0

#7 Mitglied ist offline   Skippy 

geschrieben 20. März 2006 - 11:34

@witi na deinem Post möchte ich mal in so ziehmlich allen bereichen widersprechen.

Bei der Installation ist schon mal der riesen unterschied wie Sparkle schon sagte

Zitat

Installieren - anmelden - funktioniert.


bei keiner anderen Implementierung die ich bisher kenne lief das so glatt angefangen von rumspielereien an der Windows Firewall oder Routerkonfiguration usw.

So soundqualität ist genauso ein knackpunkt nicht jedes bietet eine so gute sprachqualität wie Skype wobei andere teilweise erheblich weniger bandbreite benutzen(will ja deren vorzüge nicht verschweigen).

Es hat also nicht nur etwas mit dem "Hype um Skype" :blush: und der tatsace zu tun das es als erstes auf dem Markt war. (auch wenn sich beides natürlich auf die Userzahlen Auswirkt)

@Rika

Zitat

1. Skype betreibt enormen Aufwand, um den Programmcode vor Manipulation zu schützen. Nützt nur nix. :-)


Beweise dafür? Wobei ich noch kein Programm gesehen hab wo sich der aufwand der Programmierer gelohnt hat (im Bereich P2P sind ja die zahlreichen fakeclients nen gutes Beispiel dafür)

Zitat

2. Das Protokoll hat einige kryptographische Schwächen (Keystream Reusage mit RC4).

naja an sich ist die Aussage erstmal sinnlos fast jedes Protokoll hat theretisch schwachstellen selbst ssl-verschlüsselung oder auch in PGP fand man solche möglichen angriffspunkte. aber das ist alles theoretisch sinnvoll wird deine aussage erst wenn feststeht das diese sinnvoll nutzbar ist und auch angewendet wird.
(und die dies natürlich belegen kannst)

Zitat

3. Man kann die Skype-Software modifizieren und sein eigenes Netz aufbauen. Nicht nur das, man kann sogar mit dem Original-Netz interagieren und die Manipulation maskieren.

Da ist so ziehmlich mit jedem clienten eines Netzwerks möglich wobei dort Opensource clienten sogar noch größere schwächen haben da man sie schön einfach im quellcode manipulieren kann während man für Skype entweder ahnung von Reverse Engeniering haben muss oder Assemblerkenntnisse. und vorallem die Zahlreichen in Tauschbörsen vertretenden fakeclienten zeigen das egal wie sicher ein netzwerk aufgebaut ist es ist halt möglich somit ist dies aussage von dir schonmal nutzlos schwachsinnig und voll daneben ;-)


Zitat

3. Der Skype-Server ist und bleibt der Man-in-the-middle, d.h. er kann durch aktive Manipulation unbemerkt Gespräche abhören. Und das bei einer Firma, die einen Ad- und Spyware-verseuchten P2P-Client ausliefert und sich zudem im Zugriffsbereich US-amerikanischer Behörden befindet...

Hier habe ich ein Problem wenn ich mit Skype telefoniere wird der gesamte audiostream direkt zum Gesprächsparter gesendet . das heisst der skype server sieht die Daten überhaupt nicht wie sollen sie also die daten mithören können?
da einzige was der skype server macht ist das er mir die ip des chatpartner mitteilt aber wie will man das unbemerkt im gespräch ändern ?

Zitat

5. Die Software selbst in scheinbar ziemlich unsicher. Bekannt wurde beispielsweise ein Heap-Overflow, mit dem man beliebigen Code zu Ausführung bringen kann.


und wo sind da die anderen Programme besser ?
Wieviele Overflows und sonstige schwachstellen sind in deren entwicklungszeit bekannt geworden.


Kurz zusammengefasst sind deine Informationen und damit der Threat erstmal föllig sinnlos

z.b. ist HTTP ein ziehmlich unsicheres Protokoll und viele sicherheitsfeatures wurden nur reingefrickelt z.b. cookies oder SSL verschlüsselung so und dennoch ist firefox sicherer als der Internet Explorer somit werden deine Informationen erst dann sinnvoll wenn man die sicherheit von Skype im vergleich zu den anderen sieht

mal am Beispiel der Messenger betrachtet ist das icq Protokoll anfälliger als das Msn Protokoll was auch jeder der beide Netzwerke im Einsatz hat sehr leicht daran festellen kann das man im icq doch die ein oder andere werbung bekommt und im MSN sehr viel seltener ist.
0

#8 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 20. März 2006 - 11:42

Skippy sagte:

Kurz zusammengefasst sind deine Informationen und damit der Threat erstmal föllig sinnlos

Die Infos sind keineswegs von Rika erfunden, sondern fassen lediglich die Ergebnisse des Blackhat Europe 2006 zusammen. Es steht dir frei, dich über die verlinkte PDF-Datei zu informieren, anstatt hier zu trollen.

Dieser Beitrag wurde von Graumagier bearbeitet: 20. März 2006 - 11:43

"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#9 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 20. März 2006 - 15:54

Zitat

im Bereich P2P sind ja die zahlreichen fakeclients nen gutes Beispiel dafür

Was soll das damit zu tun haben? Es geht nicht ums Authentifizieren über's Netz, das geht sowieso nie.
Es geht hier darum, die Software gegen Reverse Engineering zu schützen. Das ist bei kostenfreier Software absolut überflüssig, es sei denn man will was Böses verbergen (z.B. eine Hintertür).

Zitat

Beweise dafür?

In dem Paper wurde gezeigt, wie man sämtliche der Sicherheitsmechanismen (Code Obfuscation, Verschlüsselung, Prüfsummen, Anti-Debugging) umgeht.

Zitat

(und die dies natürlich belegen kannst)

Lies das verdammte Paper. Du kannst, wenn 80 Byte eines Datenpacketes bekannt sind, den kompletten Rest des Packetes entschlüsseln. Oder auch nur einen Teil, um andere Teile zu entschlüsseln. Und das ist gar nicht mal so unwahrscheinlich, man kann sogar einige Inhalte ziemlich gut erzwingen.

Zitat

Da ist so ziehmlich mit jedem clienten eines Netzwerks möglich

Nein. Ein ordentliches Netz kann keinen zweiten Authentifizierungsserver einbinden, weder direkt noch über ein Relay.

Zitat

das heisst der skype server sieht die Daten überhaupt nicht wie sollen sie also die daten mithören können?

Das kann dein ISP erledigen. Auch in Hinblick auf die anstehende Vorratsdatenspeicherung.

Zitat

da einzige was der skype server macht ist das er mir die ip des chatpartner mitteilt aber wie will man das unbemerkt im gespräch ändern ?

Unsinn. Der Skype-Server authentifiziert auch die Clients untereinander, anhand des Logins.

Zitat

und wo sind da die anderen Programme besser ?

Ja, dort wird das wenigstens gefixt.

Zitat

z.b. ist HTTP ein ziehmlich unsicheres Protokoll und viele sicherheitsfeatures wurden nur reingefrickelt z.b. cookies oder SSL verschlüsselung

Cookies sind kein Sicherheitsfeature.
SSL ist nicht reingefrickelt, sondern eine hervorragende Abstraktion einer Sicherheitsschicht in einem ApplicationLayer-Protokoll.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#10 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 20. März 2006 - 16:05

Ich konnte den Hype um Skype auch noch nie verstehen.
Es gibt z. Bsp. Wengo, was meiner Meinung nach der bessere Client ist.
Zudem lässt sich Wengo prima per Erweiterung im Firefox nutzen.
0

#11 _Publisher_

  • Gruppe: Gäste

geschrieben 20. März 2006 - 16:10

huh viel zirkus um nichts. wer was finden will, findet was
0

#12 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 20. März 2006 - 16:39

Generell ist SIP ja sehr NAT-freundlich und H.32x ist heilwegs NAT-freundlich, aber alles nur in dem Sinne, daß man relativ wenig Konfiguration braucht.

Skype braucht quasi keine Konfiguration, hat damit auch wieder das typische Tunnelprobleme, d.h. daß man den Traffic nicht sinnvoll kategorisieren kann.

@Publisher: Nein, das alles ist ziemlich böse.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#13 Mitglied ist offline   Buddabrod 

  • Gruppe: aktive Mitglieder
  • Beiträge: 215
  • Beigetreten: 25. Oktober 04
  • Reputation: 0
  • Wohnort:RLP

geschrieben 20. März 2006 - 16:41

Beitrag anzeigenZitat (Publisher: 20.03.2006, 16:10)

huh viel zirkus um nichts. wer was finden will, findet was

Haste dir das Paper angeschaut und es verstanden? Ich will ja nicht behaupten, dass ich jetz alles verstanden habe, gerade das Assembler war schon teilweise recht kompliziert (für mich), aber das ist noch ein Grund für mich, kein Skype mehr zu nutzen.
0

#14 Mitglied ist offline   Sepultura 

  • Gruppe: aktive Mitglieder
  • Beiträge: 663
  • Beigetreten: 18. September 05
  • Reputation: 7
  • Geschlecht:Männlich
  • Wohnort:Dresden
  • Interessen:PC, Internet, C/C++

geschrieben 20. März 2006 - 20:25

Beitrag anzeigenZitat (Großer: 20.03.2006, 16:05)

Ich konnte den Hype um Skype auch noch nie verstehen.
Es gibt z. Bsp. Wengo, was meiner Meinung nach der bessere Client ist.
Zudem lässt sich Wengo prima per Erweiterung im Firefox nutzen.


Kann wengo auch VideoChat ?
Wer Japanische Produkte kauft, unterstützt den grausamen Walfang
Boykottiert JAPAN
0

#15 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 20. März 2006 - 20:43

Beitrag anzeigenZitat (Sepultura: 20.03.2006, 20:25)

Kann wengo auch VideoChat ?

Vielleicht meinst Du das - ich habe keine Ahnung was Video-Chat ist.
0

Thema verteilen:


  • 6 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0