Skype - Einfach Nur Gefährlich Ergebnisse der Blackhat Europe 2006
#1
geschrieben 20. März 2006 - 02:36
Zusammenfassend:
1. Skype betreibt enormen Aufwand, um den Programmcode vor Manipulation zu schützen. Nützt nur nix. :-)
2. Das Protokoll hat einige kryptographische Schwächen (Keystream Reusage mit RC4).
3. Man kann die Skype-Software modifizieren und sein eigenes Netz aufbauen. Nicht nur das, man kann sogar mit dem Original-Netz interagieren und die Manipulation maskieren.
3. Der Skype-Server ist und bleibt der Man-in-the-middle, d.h. er kann durch aktive Manipulation unbemerkt Gespräche abhören. Und das bei einer Firma, die einen Ad- und Spyware-verseuchten P2P-Client ausliefert und sich zudem im Zugriffsbereich US-amerikanischer Behörden befindet...
4. Man kann Skype missbrauchen, um Netzwerke zu scannen, Daten zu tunneln, DoS-Angriffe zu relayen..
5. Die Software selbst in scheinbar ziemlich unsicher. Bekannt wurde beispielsweise ein Heap-Overflow, mit dem man beliebigen Code zu Ausführung bringen kann.
6. Mit diesem Code kann man allerdings auch gezielt Skype-Traffic vollständig unterbinden. :-)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Anzeige
#2
geschrieben 20. März 2006 - 02:55
Zitat
Genau dieser Punkt lässt mich von Anfang an an dem Programm zweifeln. Bin mal gespannt, was ebay langfristig daraus macht. Zumindest ist der ursprüngliche Entwickler des Programmes ja für zweifelhafte Privatsphärenpolitik bekannt.
#3
geschrieben 20. März 2006 - 08:12
Aber immerhin gute Argumente, um Leuten in seinem Bekanntenkreis von diesem Programm abzuraten und Alternativprodukte, wie Gizmo zu empfehlen
#4
geschrieben 20. März 2006 - 08:35
die PR machts anscheinend, n schönes/feziges logo und die leute flippen alle aus
there never was to be
but i made a sacrifice
in the cause o f liberty
You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.
#5
geschrieben 20. März 2006 - 08:39
#6
geschrieben 20. März 2006 - 09:16
Wenn du dir mal die anderen Programme anguckst, sind die auch in nullkommanichts installiert und konfiguriert.
Das eigentliche Problem an der Sache ist, dass das Teil das erste seiner Art war und dadurch am bekanntesten geworden ist.
#7
geschrieben 20. März 2006 - 11:34
Bei der Installation ist schon mal der riesen unterschied wie Sparkle schon sagte
Zitat
bei keiner anderen Implementierung die ich bisher kenne lief das so glatt angefangen von rumspielereien an der Windows Firewall oder Routerkonfiguration usw.
So soundqualität ist genauso ein knackpunkt nicht jedes bietet eine so gute sprachqualität wie Skype wobei andere teilweise erheblich weniger bandbreite benutzen(will ja deren vorzüge nicht verschweigen).
Es hat also nicht nur etwas mit dem "Hype um Skype" und der tatsace zu tun das es als erstes auf dem Markt war. (auch wenn sich beides natürlich auf die Userzahlen Auswirkt)
@Rika
Zitat
Beweise dafür? Wobei ich noch kein Programm gesehen hab wo sich der aufwand der Programmierer gelohnt hat (im Bereich P2P sind ja die zahlreichen fakeclients nen gutes Beispiel dafür)
Zitat
naja an sich ist die Aussage erstmal sinnlos fast jedes Protokoll hat theretisch schwachstellen selbst ssl-verschlüsselung oder auch in PGP fand man solche möglichen angriffspunkte. aber das ist alles theoretisch sinnvoll wird deine aussage erst wenn feststeht das diese sinnvoll nutzbar ist und auch angewendet wird.
(und die dies natürlich belegen kannst)
Zitat
Da ist so ziehmlich mit jedem clienten eines Netzwerks möglich wobei dort Opensource clienten sogar noch größere schwächen haben da man sie schön einfach im quellcode manipulieren kann während man für Skype entweder ahnung von Reverse Engeniering haben muss oder Assemblerkenntnisse. und vorallem die Zahlreichen in Tauschbörsen vertretenden fakeclienten zeigen das egal wie sicher ein netzwerk aufgebaut ist es ist halt möglich somit ist dies aussage von dir schonmal nutzlos schwachsinnig und voll daneben ;-)
Zitat
Hier habe ich ein Problem wenn ich mit Skype telefoniere wird der gesamte audiostream direkt zum Gesprächsparter gesendet . das heisst der skype server sieht die Daten überhaupt nicht wie sollen sie also die daten mithören können?
da einzige was der skype server macht ist das er mir die ip des chatpartner mitteilt aber wie will man das unbemerkt im gespräch ändern ?
Zitat
und wo sind da die anderen Programme besser ?
Wieviele Overflows und sonstige schwachstellen sind in deren entwicklungszeit bekannt geworden.
Kurz zusammengefasst sind deine Informationen und damit der Threat erstmal föllig sinnlos
z.b. ist HTTP ein ziehmlich unsicheres Protokoll und viele sicherheitsfeatures wurden nur reingefrickelt z.b. cookies oder SSL verschlüsselung so und dennoch ist firefox sicherer als der Internet Explorer somit werden deine Informationen erst dann sinnvoll wenn man die sicherheit von Skype im vergleich zu den anderen sieht
mal am Beispiel der Messenger betrachtet ist das icq Protokoll anfälliger als das Msn Protokoll was auch jeder der beide Netzwerke im Einsatz hat sehr leicht daran festellen kann das man im icq doch die ein oder andere werbung bekommt und im MSN sehr viel seltener ist.
#8
geschrieben 20. März 2006 - 11:42
Skippy sagte:
Die Infos sind keineswegs von Rika erfunden, sondern fassen lediglich die Ergebnisse des Blackhat Europe 2006 zusammen. Es steht dir frei, dich über die verlinkte PDF-Datei zu informieren, anstatt hier zu trollen.
Dieser Beitrag wurde von Graumagier bearbeitet: 20. März 2006 - 11:43
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#9
geschrieben 20. März 2006 - 15:54
Zitat
Was soll das damit zu tun haben? Es geht nicht ums Authentifizieren über's Netz, das geht sowieso nie.
Es geht hier darum, die Software gegen Reverse Engineering zu schützen. Das ist bei kostenfreier Software absolut überflüssig, es sei denn man will was Böses verbergen (z.B. eine Hintertür).
Zitat
In dem Paper wurde gezeigt, wie man sämtliche der Sicherheitsmechanismen (Code Obfuscation, Verschlüsselung, Prüfsummen, Anti-Debugging) umgeht.
Zitat
Lies das verdammte Paper. Du kannst, wenn 80 Byte eines Datenpacketes bekannt sind, den kompletten Rest des Packetes entschlüsseln. Oder auch nur einen Teil, um andere Teile zu entschlüsseln. Und das ist gar nicht mal so unwahrscheinlich, man kann sogar einige Inhalte ziemlich gut erzwingen.
Zitat
Nein. Ein ordentliches Netz kann keinen zweiten Authentifizierungsserver einbinden, weder direkt noch über ein Relay.
Zitat
Das kann dein ISP erledigen. Auch in Hinblick auf die anstehende Vorratsdatenspeicherung.
Zitat
Unsinn. Der Skype-Server authentifiziert auch die Clients untereinander, anhand des Logins.
Zitat
Ja, dort wird das wenigstens gefixt.
Zitat
Cookies sind kein Sicherheitsfeature.
SSL ist nicht reingefrickelt, sondern eine hervorragende Abstraktion einer Sicherheitsschicht in einem ApplicationLayer-Protokoll.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#10
geschrieben 20. März 2006 - 16:05
Es gibt z. Bsp. Wengo, was meiner Meinung nach der bessere Client ist.
Zudem lässt sich Wengo prima per Erweiterung im Firefox nutzen.
#11 _Publisher_
geschrieben 20. März 2006 - 16:10
#12
geschrieben 20. März 2006 - 16:39
Skype braucht quasi keine Konfiguration, hat damit auch wieder das typische Tunnelprobleme, d.h. daß man den Traffic nicht sinnvoll kategorisieren kann.
@Publisher: Nein, das alles ist ziemlich böse.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
geschrieben 20. März 2006 - 16:41
Zitat (Publisher: 20.03.2006, 16:10)
Haste dir das Paper angeschaut und es verstanden? Ich will ja nicht behaupten, dass ich jetz alles verstanden habe, gerade das Assembler war schon teilweise recht kompliziert (für mich), aber das ist noch ein Grund für mich, kein Skype mehr zu nutzen.
#14
geschrieben 20. März 2006 - 20:25
Zitat (Großer: 20.03.2006, 16:05)
Es gibt z. Bsp. Wengo, was meiner Meinung nach der bessere Client ist.
Zudem lässt sich Wengo prima per Erweiterung im Firefox nutzen.
Kann wengo auch VideoChat ?
Boykottiert JAPAN
#15
geschrieben 20. März 2006 - 20:43
Zitat (Sepultura: 20.03.2006, 20:25)
Vielleicht meinst Du das - ich habe keine Ahnung was Video-Chat ist.