Monday, April 07, 2008
Skype: insecure by default ?
Последние 4 месяца, я был активным пользователем skype, окошко видео конференции висит у меня на одном из виртуальных рабочих столов постоянно в течение всего рабочего дня. Я хочу рассказать о 2-х инцидетах один из которых произошел со мной, а второй я наблюдал собственными глазами. Случаи на мой взгляд иллюстрируют что в skype в реализации передачи сообщений есть серьезные проблемы с безопасностью.
Придя однажды на работу и включив skype, я получил запрос на открытие чата, причем была видна стория всей вчерашней переписки. Замечу и я и мой собеседник использовали разные клиенты skype в этот день и на кануне, на разных компьютерах и более того на разных OS (на работе — linux, дома — windows). Интересно, где в течении минимум 8 часов хранилась история нашего разговора и как она была защищена в это время.
Второй случай произошел не со мной, но я был его непосредственным свидетелем. Обычно skype не позволяет регистрироваться с использованием одной учетной записи с разных компьютеров, но в результате какого то сбоя было запущено 2 клиента с одной учетной записью и снова на разных OS. В результате с обоих клиентов был доступ в текстовый чат, оба клиента получали сообщения и могли писать туда, абонент на другой стороне чата получал сообщения от всех.
В первым случае еще есть сомнения, возможно что тоже имел место запуск 2-х клиентов с одной учетной записью и тогда я мог получить историю чата с клиента с которым соединялся на кануне. Второй же инцидент явно показывает что параметры шифрование сессии в текстовом чате привязаны учетной записи, их можно воспроизвести на другом компьютере и значит теоретически перехватить.
Обсуждение и комментарии есть на форуме openPGP в России
Придя однажды на работу и включив skype, я получил запрос на открытие чата, причем была видна стория всей вчерашней переписки. Замечу и я и мой собеседник использовали разные клиенты skype в этот день и на кануне, на разных компьютерах и более того на разных OS (на работе — linux, дома — windows). Интересно, где в течении минимум 8 часов хранилась история нашего разговора и как она была защищена в это время.
Второй случай произошел не со мной, но я был его непосредственным свидетелем. Обычно skype не позволяет регистрироваться с использованием одной учетной записи с разных компьютеров, но в результате какого то сбоя было запущено 2 клиента с одной учетной записью и снова на разных OS. В результате с обоих клиентов был доступ в текстовый чат, оба клиента получали сообщения и могли писать туда, абонент на другой стороне чата получал сообщения от всех.
В первым случае еще есть сомнения, возможно что тоже имел место запуск 2-х клиентов с одной учетной записью и тогда я мог получить историю чата с клиента с которым соединялся на кануне. Второй же инцидент явно показывает что параметры шифрование сессии в текстовом чате привязаны учетной записи, их можно воспроизвести на другом компьютере и значит теоретически перехватить.
Update:Резюмируя небольшое обсуждение, ссылка на которое приведена ниже. В первом случае, скорее всего действительно было запущено 2 клиента skype с одной учетной записью, один из них и отправил историю переписки. Второй случай так же не является чем то экстраординарным и такое поведение описано в нескольких местах на форуме skype например здесь
Нельзя назвать это серьезными проблемам, скорее это особенности реализации. Тем не менее выводы о степени защиты сделать можно.
Обсуждение и комментарии есть на форуме openPGP в России
Labels: chat, cryptography, linux, p2p, security, skype, windows
¶ 12:05 PM
Comments:
Links to this post:
<< Home
История переписки хранится на клиентских компьютерах, причем, если хотя бы один из них в сети, он отправит эту историю на другие.
Почему же, клиенты скайп легко запускаются в любом количестве. У меня постоянно висит один на домашнем "сервере", как раз для того, чтобы "собирать" историю :)
Post a Comment
Почему же, клиенты скайп легко запускаются в любом количестве. У меня постоянно висит один на домашнем "сервере", как раз для того, чтобы "собирать" историю :)
Subscribe to Post Comments [Atom]
Links to this post:
<< Home
