Vlákno názorů k článku
Popis vzdáleného exploitu pro Skype klienta
od Milan Keršláger - Averze vůči Skype je zde velká. Možná proto,...
-
jard (neregistrovaný)Neda mi nereagovat. Skuste si este raz precitat, co ste napisali a zamyslite sa, ako funguje Skype. Napisali by ste to este raz ? Dost silne pochybujem...
A mimochodom, software by mal byt pouzitelny vsetkymi ludmi bez ohladu na schopnost nainstalovat a nakonfigurovat firewall a/alebo ine security nastroje. Ci chceme pocitace len pre vyvolenych ??? -
Kdyby neexistoval Skype, měli bysme prd. Pokud se vám nelíbí, nekafrejte a nepoužívejte. Pokud chcete mermomocí SW s otevřeným kódem, začněte programovat. Vsadím se, že v něm nasekáte chyb spíše více, než méně (ani opensource neznamená bez chyb). Ve Skype alespoň máte předlohu, co všechno lze. Kdyby nebyly rozumné firmy, jako Skype, používali bysme dodnes edlin (víte-li vůbec, co to je). Většina lidí potřebuje výplatu, například vaši rodiče (abyste tady mohl bezuzdně zaujatě kafrat). -
Kdyby neexistoval Skype, měli bychom SIP. ;-) Je Vám jasné, že free software si takovýhle model fungování, jako je zneužívání klientských strojů, dovolit prostě nemůže, protože by to téměř nikdo dobrovolně nedělal? Co mají mí rodiče společného s tím, že si na bezuzdné zaujaté kafrání sám vydělávám?
Vy zase mluvíte, jako kdybyste pro Skype dělal placený PR. Co mám říct zase já, že ve Skype tvrdě makají, aby vám mohli platit za bezuzdné kafrání? :-D :-D -
Neznám nic, co by bylo tak dobré a fungovalo plně ve většině případů. Bohužel. BTW: Vy jste nikdy nebyl mladý a závislý na rodičích, že? Vy jste nikdy neživil své děti, že? Vy jste nikdy skutečně nedělal neco zadarmo a něco za peníze, že?
Skype nezneužívá počítače. Jste-li za NAT, potřebujete někoho s veřejnou IP, abyste mohl hovořit nebo posílat soubory. Jednou jste to vy, kdo pomůže, jindy je to někdo jiný. Pokud pomáhat nechcete, plaťte si za SIP server operátora. Pokud neumíte být solidární, na advokáta FreeSW si jen hrajete.
A opakuji - pokud nemáte Skype rád, nepoužívejte ho a neotírejte se o něj. Je to dobrý kus SW. Je to dobrý příklad, co všechno se dá udělat. Do té doby, než byl on, všichni svorně tvrdili, že "to nejde". Nexistoval spolehlivý průchod přes nejrůznější NAT, neexistovaly komerční P-t-P friendly NAT přístroje (DSL modemy, WiFi routery etc.), neexistovaly opensource projekty, které by se ho snažily alespoň v kvalitě napodobit, neexistovaly distribuované sítě s podporou NAT klientů (zkuste a zamyslete se nad možnostmi IRC a podobných). -
vegetta (neregistrovaný)vazeny pane.
videt ze sa do toho viacmenej nerozumiete.
skype realne pouziva bandwidth strojov na to aby rozlozil zataz komunikacie. avsak toto pouzitie je neeticke bez toho aby vobec o tom dany uzivatel vedel.
nevraviac o bugoch v skype - exploit je len prvy velky problem.
skype ma zamerne zamrseny kod aby branil "revers inzinirigu" a pritom tam je chyb ze z toho az hlava boli. opravy su pomale a skoro vobec nedochadza k aktualizacii. nevraviac o verzi 1.4 v linuxe - ktora ma problemy s dbusom, zvukovkou, atd atd.
s technologii skype delam na trosku odbornejsi urovni a vim co to je za prasarna.
na to aby ste mohli komunikovat cez NAT sa da i bez aktivnej ucasti tretej strany - staci bootstrap tretia strana - viz hamachi.cc
a este drobnost, super-nodes su z velkej casti stroje provozovane prave tvorcami skype - i ked svoju technologiu prezentuju ako p2p, je to SIP kombinovany s p2p (ono to p2p je vicemene diskutabilni). ak chcete o p2p - kuk pastry.
k p2p - prosim vas, nechapem ako mozete o technologii o ktorej badatelne nemate velke zdanie, takto pisat. projekty na tuto temu su a nie jeden. A skype v ziadnom pripade neodstartoval p2p revoluci. Skuste sa trosku zamyslet vobec o com pisete a trosku sa pozret do hisotrie. Skype prisiel davno po tom ako doslo k samotnej revolucii na poli p2p.
a uplne sa divim ako pisu ludia, co na skype pouzivaju len stlacanie tlacitok - aky je to super kus sw. -
Je vidět, že plkáte. Zrojový kód viděli lidi, kteří tomu rozumí a nevyjadřovali se nijak špatně. Možná tedy jste borec světového formátu a ty zdrojáky máte na stole nebo studujete pomocí debuggeru úplně všechno. Chyby jsou v každém SW a Skype není výjimkou. Pro průchod NAT - NAT potřebujete v každém případě externí stroj pro zprostředkování. Pokud NAT neumožňuje UDP punching, nespojíte se bez třetí strany a to je právě chvíle, kdy vám pomůže externí stroj s relayem. Jinak si neškrtnete. Zkuste porozumět TCP/IP a něco si o tom přečíst. Kdyby neexistovaly rozložené supernody, musel byste zpoza NAT využít někoho, kdo bandwith má, ale ten někdo ho musí platit. Proto se účastníci stávají supernody a pomáhají si navzájem. Je to solidární obchod, jak jsem již psal. A jesli jste takový zapepřenec, že ostatním nepomůžete a sám byste ostatní chtěl využívat, tak si zapněte firewall. Za ním se ze Skype supernode nestane. A co se týká sítě Skype, existuje několik supernodů, na které se provádí inicializační přístup. Dále je to už P2P síť, jinak by nápor uživatelů dotyčné stroje těžko zvládaly. Kromě toho Skype respektuje vaše přenosové možnosti.
A nakonec - dokud nebyl Skype, masivně se průchody skrz NAT do jiné NAT nepoužívaly. Zkuste se porozhlédnout v P2P a VoIP projektech a po článcích, které se zbývaly tím, jak je možné, že to se Skype funguje a s jinými nástroji ne (i když teoretické práce existovaly již dříve, reálné a všeobecně funkční nasazení s propojením na P2P je skutečně úspěch Skype).
A uvědomte si, že já vám nenutím jednoduchý Skype a neodmítám jakékoliv jiné varianty. Já se pozastavuji nad tím, jak může být někdo na něco tak zbytečně vysazený, když se od něj může leda tak něco přiučit (s uživatelskou přítulností je to v opensource stále více, než bídné). Tím pádem dále na vaše teorie mimo mísu nemá smysl odpovídat. -
Exisuje něco, co je mnohem lepší a funguje to ve všech případech. Říká se tomu "neošizené připojení". Že to někteří musejí obcházet, to je smutné, ale nasazovat jim do počítačů software pod podmínkou částečného přenechání kontroly nad počítačem je asi tak stejně "svobodné", jako bylo členství v SSM pro studium na vysoké škole. Kromě toho, řešit následky a ne příčiny...to byste byl dobrým lékařem. ;-)
A ano, nemusím. Raději si zaplatím pořádnou a přesto poměrně levnou službu, než že bych přistoupil na podmínky, které považuji za pro mě napřijatelné. To nemění nic na tom, že proprietární protokol plus síťový efekt vytvářejí něco, co není daleko od diktatury proletariátu: Dobrovolně se poddej, nebo ti to stejně vnutíme. Skype není o nic lepší než Microsoft Word. Ještě, že aspoň tohle mi nehrozí. S komunikačními prostředky, které mám, jsem spokojen a mohlo by mi to být do značné míry jedno. Přesto myslím, že čím méně lidí bude Skype používat, tím lépe pro ně samotné. -
Jen zdánlivě. Firewall jsou ty zavázané oči, když softwaru nemůžu říct, aby se nedíval. Přijde mi to velice schizofrenní, na počítači zároveň vědomě provozovat software a zároveń témuž softwaru bránit v provozu. Jestli tohle je běžné uvažování, přestávám se smát vtipu o matematikovi a rychlovarné konvici, protože ho překonalo cosi reálnějšího. ;-)
-
Co porad operujete s tim firewallem?
Pokud chcete Skype (libovolnou sitovou aplikaci) pouzit, musite ho prece skrz firewall pustit.
Pak uz je to jen otazka toho jestli povolite pouze komunikaci iniciovanou od vas, nebo taky iniciovanou zvenci, ale na pouziti Skype minimalne jedno z toho musite povolit.
Vzhledem k tomu ze skype se samovolne pripojuje na spoustu ruznych adres (t.j. spojeni iniciovane od vas!) kvuli sdileni vaseho pripojeni pro dalsi uzivatele skype, tak bohate staci aby se pripojil k nekomu kdo mu podstrci ty data dle popisu v tom exploitu, a uz muze ziskat nad vasim pocitacem kontrolu (muze nastat klidne bez toho ze by jste vy zrovna v te chvili skype primo pouzivali k telefonovani).
A to nemluvim o pripade kdyz vas primo vyzve nejakym jinym kom. kanalem, aby jste mu zavolali pres skype.
Firewall by pomohl jenom v pripade ze by jste zakazali komunikaci na portech pro skype (resp. na aplikaci "skype.exe"). Ale pak by skype nefungoval. -
Podle člověka, ktrý se v tom šťoural, se Skype nestane supernodem, když jste za firewallem, takže ani nesdílí vaše spojení (je to logické, protože klienti potřebují prostředníka s veřejnou IP adresou). Ta "spousta" spojení slouží k udržení přehledu o online uživatelích a možnosti se vám dovolat. A řekl bych, že díky uzavřenéu protokolu a šifrování bude dost obtížné pro útočníka se k vám programově dostat, tj. napadení všech počítačů je nepravděpodobné, zejména když uživatelé migrují na novější (a opravené) verze a síť je distribuovaná.
-
To těžko. Někteří tady naznačovali, že může dojít k ovládnutí celé sítě, což jsem se pokusil vyvrátit. I když posadíte Skype na tlustou linku, nestáhnete na sebe všechny klienty najednou, nebudete moct jednoduše cíleně ovlivnit chod sítě. Teoreticky byste mohl otrávit tu síť postupně tím, že byste nechal červa šířit. Ovšem překážkou budou aktualizovaní klienti a odlišné podmínky jednotlivých uzlů. Antivirové společnosti pracují s pastmi na takové věci, takže bysme se to záhy dozvěděli. V zásadě je to stejná hrozba, jako jakýkoliv jiný remote exploit. To je nepříjemné, ale jistě ne fatální a výjimečné. Může to potkat jakoukoliv jinou serverovou aplikaci. Není to první ani poslední problém.
