Popis vzdáleného exploitu pro Skype klienta

Co tato zprávička chtěla říct? Že je Skype špatný?

To asi je, o tom žádná, ale boužel funguje, je nekvalitnější, nejdostupnější a velice navykový :(

Jinak nevíte jak to vypadá ze standartem Jabber a IP telefoníí? Krom google talk snad zatím není klient který by VoIP Jabber podporovalm, teda aspon PSI ne... :(

> Co tato zprávička chtěla říct? Že je Skype špatný?

Ze na kazdem pocitaci, na kterem bezi Skype, je mozne na dalku spustit libovolny kod.

To je mozna mozne i bez nejakych buffer overflows :-)
Nikdo poradne nevi, co je uvnitr Skype. Nejsem ortodoxni fanatik typu R.Stallman, ale Skype bych si na PC nikdy nedal, i kdyby meli 10 Linuxovych "uplne skvelych" verzi.
Uprimne receno je mne lito lidi, kteri tak cini, protoze oni nevedi co cini.

Mam pocit, ze zpravicka chtela poukazat na zajimavou zpravu o vlastnostech a vnitrnostech skype, ve ktere je popsan i exploit... Alespon tak usuzuju z prvni vety zpravicky: "Analýza na SecDev.org kromě vnitřností Skype popisuje i exploit, který byl ve Skype nalezen..."

Radek

Existuje nějaký FSW VoIP program který šifruje komunikaci a chodí pod Linuxem za firewallem s XMMS? Ekiga nechodí za firewallem a skáče v ní zvuk při použití ALSA dmix.

no nevim, ja sem zkoušel skype a komunikace probihala stylem tady orel, tady orel, přepínám, ..(5s pauza).., tady poštolka, tady poštolka, špatně slyším, opakujte, přepínám ...
navíc ta verze pro linux je pěkně prasácká a že se teď objevil exploit, to sem očekával a byla to jen otázka času.
fuj fuj, skype nee

Tato spravicka je stara tak aspon stvrt roka.
Som myslel ze spravicky su o novych veciach a nie o starych

Averze vůči Skype je zde velká. Možná proto, že je skutečně dobrý a nemá ten "správný" ekvivalent. Skype si ale umí říct o aktualizaci a pokud vím, je tohle staré. Není to první ani poslední remote buffer overflow a každý rozumný člověk používá firewal, že...

Otazka je, ci taketo "diery" tam nie su zamerne.

Neda mi nereagovat. Skuste si este raz precitat, co ste napisali a zamyslite sa, ako funguje Skype. Napisali by ste to este raz ? Dost silne pochybujem...

A mimochodom, software by mal byt pouzitelny vsetkymi ludmi bez ohladu na schopnost nainstalovat a nakonfigurovat firewall a/alebo ine security nastroje. Ci chceme pocitace len pre vyvolenych ???

sw mozno, ale zakladne veci o bezpecnosti svojho kompu by sa mal naucit kazdy, kto chce byt pripojeny na net. a firewall je nutnost a zas to az tak velky problem nie je.
www.kry-sa.sk

auto ma byt pouzitelne pre vsetkych ale vodicak musis mat.

Firewall rozhodne neni nutnosti, mozna na woknech. FW je pouze preventivni opatreni.

Kdyby neexistoval Skype, měli bysme prd. Pokud se vám nelíbí, nekafrejte a nepoužívejte. Pokud chcete mermomocí SW s otevřeným kódem, začněte programovat. Vsadím se, že v něm nasekáte chyb spíše více, než méně (ani opensource neznamená bez chyb). Ve Skype alespoň máte předlohu, co všechno lze. Kdyby nebyly rozumné firmy, jako Skype, používali bysme dodnes edlin (víte-li vůbec, co to je). Většina lidí potřebuje výplatu, například vaši rodiče (abyste tady mohl bezuzdně zaujatě kafrat).

Jste si jisty, ze skype nema alternativu? Co takhle Gizmo project? OpenWengo?

Kdyby neexistoval Skype, měli bychom SIP. ;-) Je Vám jasné, že free software si takovýhle model fungování, jako je zneužívání klientských strojů, dovolit prostě nemůže, protože by to téměř nikdo dobrovolně nedělal? Co mají mí rodiče společného s tím, že si na bezuzdné zaujaté kafrání sám vydělávám?

Vy zase mluvíte, jako kdybyste pro Skype dělal placený PR. Co mám říct zase já, že ve Skype tvrdě makají, aby vám mohli platit za bezuzdné kafrání? :-D :-D

Neznám nic, co by bylo tak dobré a fungovalo plně ve většině případů. Bohužel. BTW: Vy jste nikdy nebyl mladý a závislý na rodičích, že? Vy jste nikdy neživil své děti, že? Vy jste nikdy skutečně nedělal neco zadarmo a něco za peníze, že?

Skype nezneužívá počítače. Jste-li za NAT, potřebujete někoho s veřejnou IP, abyste mohl hovořit nebo posílat soubory. Jednou jste to vy, kdo pomůže, jindy je to někdo jiný. Pokud pomáhat nechcete, plaťte si za SIP server operátora. Pokud neumíte být solidární, na advokáta FreeSW si jen hrajete.

A opakuji - pokud nemáte Skype rád, nepoužívejte ho a neotírejte se o něj. Je to dobrý kus SW. Je to dobrý příklad, co všechno se dá udělat. Do té doby, než byl on, všichni svorně tvrdili, že "to nejde". Nexistoval spolehlivý průchod přes nejrůznější NAT, neexistovaly komerční P-t-P friendly NAT přístroje (DSL modemy, WiFi routery etc.), neexistovaly opensource projekty, které by se ho snažily alespoň v kvalitě napodobit, neexistovaly distribuované sítě s podporou NAT klientů (zkuste a zamyslete se nad možnostmi IRC a podobných).

vazeny pane.
videt ze sa do toho viacmenej nerozumiete.
skype realne pouziva bandwidth strojov na to aby rozlozil zataz komunikacie. avsak toto pouzitie je neeticke bez toho aby vobec o tom dany uzivatel vedel.

nevraviac o bugoch v skype - exploit je len prvy velky problem.

skype ma zamerne zamrseny kod aby branil "revers inzinirigu" a pritom tam je chyb ze z toho az hlava boli. opravy su pomale a skoro vobec nedochadza k aktualizacii. nevraviac o verzi 1.4 v linuxe - ktora ma problemy s dbusom, zvukovkou, atd atd.

s technologii skype delam na trosku odbornejsi urovni a vim co to je za prasarna.

na to aby ste mohli komunikovat cez NAT sa da i bez aktivnej ucasti tretej strany - staci bootstrap tretia strana - viz hamachi.cc

a este drobnost, super-nodes su z velkej casti stroje provozovane prave tvorcami skype - i ked svoju technologiu prezentuju ako p2p, je to SIP kombinovany s p2p (ono to p2p je vicemene diskutabilni). ak chcete o p2p - kuk pastry.

k p2p - prosim vas, nechapem ako mozete o technologii o ktorej badatelne nemate velke zdanie, takto pisat. projekty na tuto temu su a nie jeden. A skype v ziadnom pripade neodstartoval p2p revoluci. Skuste sa trosku zamyslet vobec o com pisete a trosku sa pozret do hisotrie. Skype prisiel davno po tom ako doslo k samotnej revolucii na poli p2p.

a uplne sa divim ako pisu ludia, co na skype pouzivaju len stlacanie tlacitok - aky je to super kus sw.

Je vidět, že plkáte. Zrojový kód viděli lidi, kteří tomu rozumí a nevyjadřovali se nijak špatně. Možná tedy jste borec světového formátu a ty zdrojáky máte na stole nebo studujete pomocí debuggeru úplně všechno. Chyby jsou v každém SW a Skype není výjimkou. Pro průchod NAT - NAT potřebujete v každém případě externí stroj pro zprostředkování. Pokud NAT neumožňuje UDP punching, nespojíte se bez třetí strany a to je právě chvíle, kdy vám pomůže externí stroj s relayem. Jinak si neškrtnete. Zkuste porozumět TCP/IP a něco si o tom přečíst. Kdyby neexistovaly rozložené supernody, musel byste zpoza NAT využít někoho, kdo bandwith má, ale ten někdo ho musí platit. Proto se účastníci stávají supernody a pomáhají si navzájem. Je to solidární obchod, jak jsem již psal. A jesli jste takový zapepřenec, že ostatním nepomůžete a sám byste ostatní chtěl využívat, tak si zapněte firewall. Za ním se ze Skype supernode nestane. A co se týká sítě Skype, existuje několik supernodů, na které se provádí inicializační přístup. Dále je to už P2P síť, jinak by nápor uživatelů dotyčné stroje těžko zvládaly. Kromě toho Skype respektuje vaše přenosové možnosti.

A nakonec - dokud nebyl Skype, masivně se průchody skrz NAT do jiné NAT nepoužívaly. Zkuste se porozhlédnout v P2P a VoIP projektech a po článcích, které se zbývaly tím, jak je možné, že to se Skype funguje a s jinými nástroji ne (i když teoretické práce existovaly již dříve, reálné a všeobecně funkční nasazení s propojením na P2P je skutečně úspěch Skype).

A uvědomte si, že já vám nenutím jednoduchý Skype a neodmítám jakékoliv jiné varianty. Já se pozastavuji nad tím, jak může být někdo na něco tak zbytečně vysazený, když se od něj může leda tak něco přiučit (s uživatelskou přítulností je to v opensource stále více, než bídné). Tím pádem dále na vaše teorie mimo mísu nemá smysl odpovídat.

ty ses chytrej jak radio, nedelas nahodou v marketingovym oddeleni :)))))

Jenze ma pravdu. Radost z toho vubec nemam, ale je to tak.

Exisuje něco, co je mnohem lepší a funguje to ve všech případech. Říká se tomu "neošizené připojení". Že to někteří musejí obcházet, to je smutné, ale nasazovat jim do počítačů software pod podmínkou částečného přenechání kontroly nad počítačem je asi tak stejně "svobodné", jako bylo členství v SSM pro studium na vysoké škole. Kromě toho, řešit následky a ne příčiny...to byste byl dobrým lékařem. ;-)

A ano, nemusím. Raději si zaplatím pořádnou a přesto poměrně levnou službu, než že bych přistoupil na podmínky, které považuji za pro mě napřijatelné. To nemění nic na tom, že proprietární protokol plus síťový efekt vytvářejí něco, co není daleko od diktatury proletariátu: Dobrovolně se poddej, nebo ti to stejně vnutíme. Skype není o nic lepší než Microsoft Word. Ještě, že aspoň tohle mi nehrozí. S komunikačními prostředky, které mám, jsem spokojen a mohlo by mi to být do značné míry jedno. Přesto myslím, že čím méně lidí bude Skype používat, tím lépe pro ně samotné.

Vy jste fakt ujetej. Nařiďte všem IPv6 a do doby nasazení jim zakažte používat Internet. A běžte se bodnout i se svými teoriemi.

Není to pořád ještě rozumnější rozhodnutí, než skákat na jedné ruce se zavázanýma očima? ;-)

Bodnout ne, ale raději se půjdu vykoupat. :-)

Jak se již zde psalo, existuje něco jako firewall, a proto je vaše poznámka irelevantní.

Jen zdánlivě. Firewall jsou ty zavázané oči, když softwaru nemůžu říct, aby se nedíval. Přijde mi to velice schizofrenní, na počítači zároveň vědomě provozovat software a zároveń témuž softwaru bránit v provozu. Jestli tohle je běžné uvažování, přestávám se smát vtipu o matematikovi a rychlovarné konvici, protože ho překonalo cosi reálnějšího. ;-)

Co porad operujete s tim firewallem?

Pokud chcete Skype (libovolnou sitovou aplikaci) pouzit, musite ho prece skrz firewall pustit.
Pak uz je to jen otazka toho jestli povolite pouze komunikaci iniciovanou od vas, nebo taky iniciovanou zvenci, ale na pouziti Skype minimalne jedno z toho musite povolit.

Vzhledem k tomu ze skype se samovolne pripojuje na spoustu ruznych adres (t.j. spojeni iniciovane od vas!) kvuli sdileni vaseho pripojeni pro dalsi uzivatele skype, tak bohate staci aby se pripojil k nekomu kdo mu podstrci ty data dle popisu v tom exploitu, a uz muze ziskat nad vasim pocitacem kontrolu (muze nastat klidne bez toho ze by jste vy zrovna v te chvili skype primo pouzivali k telefonovani).
A to nemluvim o pripade kdyz vas primo vyzve nejakym jinym kom. kanalem, aby jste mu zavolali pres skype.

Firewall by pomohl jenom v pripade ze by jste zakazali komunikaci na portech pro skype (resp. na aplikaci "skype.exe"). Ale pak by skype nefungoval.

Podle člověka, ktrý se v tom šťoural, se Skype nestane supernodem, když jste za firewallem, takže ani nesdílí vaše spojení (je to logické, protože klienti potřebují prostředníka s veřejnou IP adresou). Ta "spousta" spojení slouží k udržení přehledu o online uživatelích a možnosti se vám dovolat. A řekl bych, že díky uzavřenéu protokolu a šifrování bude dost obtížné pro útočníka se k vám programově dostat, tj. napadení všech počítačů je nepravděpodobné, zejména když uživatelé migrují na novější (a opravené) verze a síť je distribuovaná.

"A řekl bych, že díky uzavřenéu protokolu a šifrování bude dost obtížné pro útočníka se k vám programově dostat"

Smells like "security through obscurity"... ;-)

To těžko. Někteří tady naznačovali, že může dojít k ovládnutí celé sítě, což jsem se pokusil vyvrátit. I když posadíte Skype na tlustou linku, nestáhnete na sebe všechny klienty najednou, nebudete moct jednoduše cíleně ovlivnit chod sítě. Teoreticky byste mohl otrávit tu síť postupně tím, že byste nechal červa šířit. Ovšem překážkou budou aktualizovaní klienti a odlišné podmínky jednotlivých uzlů. Antivirové společnosti pracují s pastmi na takové věci, takže bysme se to záhy dozvěděli. V zásadě je to stejná hrozba, jako jakýkoliv jiný remote exploit. To je nepříjemné, ale jistě ne fatální a výjimečné. Může to potkat jakoukoliv jinou serverovou aplikaci. Není to první ani poslední problém.

Vzhledem k tomu že Skype firewall tuneluje a že ten malicious paket jde po tom zpětném kanálu který si Skype už na tom firewallu otevře, tak je firewall proti tomuhle exploitu platný jak mrtvému zimník.

Zablokovat tenhle exploit znamená zablokovat Skype jako takové.

ano...nocni mura mnoha spravcu...docetl jsem se v pdfku neceho takoveho

iptables -I FORWARD -p udp -m length --length 39 -m u32 --u32 ’27&0 x8f=7’ --u32 ’31=0 x527c4833 ’ -j DROP

nejsem takovej iptables fr34k abych tomuto rozumel... vidim pouze matchovani podle delky packetu a u32, zbytek je pro me spanelska vesnice, nechcete to nekdo vyzkouset jestli to funguje a ma to i nejakou budoucnost fungovani ? :)

Jenze hned pod tim v clanku psali, ze to nestaci, protoze skype pak zacne pouzivat TCP a to se tak snadno neda poznat. Jinak tohle neni zadna iptables vychytavka, to je jen pravidlo, ktere chytne pakety uricte delky s urictymi bajty/bity nejak nastavenymi... Samozrejme je to masterovina, zjistit, ktere bajty/bity jsou ve vsech packetech stejny a tak, ale to se netyka iptables...

Radek

http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf

tu je to pekne krasne :) od originalneho zdroja :)

Ach ano...spatne jsem si to precetl...omlouvam se...
Myslim si ale ze by minimalne takhle slo spojeni zachytit resp. od teto chvile(poslani tohoto packetu) lze s urcitou jistotou rici ze je pouzivan skype a nejakym zpusobem predikovat chovani a zabranit operativne dalsim krokum. Dovedl bych si predstavit pokud by na tomto principu pracoval projekt l7...pokud uz tak v tomto pripdade nefunguje.

A co takhle update Skype, když je to stará záležitost? To jsem zmiňoval již na začátku... Hm... A firewall také kvuli supernode, že...