| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
 Inviato: 30 Lug 2008 09:25 Oggetto: Se Skype ha la backdoor |
 |
|
Commenti all'articolo Se Skype ha la backdoor
Pare che all'interno del programma sia nascosto un sistema per consentire le intercettazioni delle conversazioni e delle chat.
|
|
| Top |
|
 |
{utente anonimo}
Ospite
|
| Inviato: 30 Lug 2008 12:44 Oggetto: l'alternativa: gizmo con zfone |
|
|
| Al posto di skype si potrebbe usare Gizmo, con il quale funziona un plugin chiamato Zfone (scritto da Philip Zimmermann) che crypta la conversazione. |
|
| Top |
|
|
{Marco}
Ospite
|
| Inviato: 31 Lug 2008 06:48 Oggetto: Non avevo dubbi |
|
|
| Non ho mai avuto dubbi sulla presenza in molti programmi ti tali backdoor... soprattutto, ma non solo, in quei sw freeware... certo è che oggi siamo spiati in tutto e siamo tutelati da nessuno. |
|
| Top |
|
|
{vecna}
Ospite
|
| Inviato: 31 Lug 2008 15:55 Oggetto: |
|
|
non servono "backdoor". hanno un sistema crittografico tale per cui skype ha le chiavi in grado di decifrare il traffico. si tratta di un sistema crittografico insicuro. e questo (il fatto che qualcuno possa controllare il traffico) e' l'effetto dell'insicurezza.
backdoor significa "porta sul retro" ed e' un termine che e' nato nell'ambiente hacker per riferirsi a delle modifiche fatte ad un sistema affinche' riaccedervi senza avere utente, senza lasciare tracce, o senza dipendere dal funzionamento dei servizi.
questo si skype invece si tratta di una rete di cui solo loro hanno il controllo, solo loro hanno le chiavi, il traffico transita tramite loro e loro possono dire "questo peer faccia passare il traffico da noi, grazie". e' un po' come MSN, e' una backdoor il fatto che possa essere sniffata da M$ ? no, del resto ci si appoggia ai loro server. e' una backdoor il fatto che freemail.it possa leggerti le email, se hai un account presso di loro ? no, del resto il server e' loro. vale cosi' per ogni rapporto client/server.
chi possiede la rete puo' effettuare attacchi di controllo/negazione/modifica, se l'utente provvede a dei sistemi di crittografia (ssh, https) puo' impedirli. nel caso di skype l'utente non provvede a questa protezione, per farlo dovrebbe usare dei plugin come adium+OTR che si attacca a skype:
http://seclists.org/fulldisclosure/2008/Jun/0223.html
| Citazione: | For all you OS X guys that like skype because of it's usability but are concerned about the lacks of and end-to-end message encryption system (a plug-in for skype).
Today i tried:
#1 Get and install Adium (I suggest portable adium in a separated filevault volume)
http://www.freesmug.org/portableapps/adium/
#2 Get and install Skype plug-in for Adium
http://myjobspace.co.nz/images/pidgin/
#3 Enable OTR encryption on Skype chat (trough Adium client)
http://www.cypherpunks.ca/otr/
Et voila, end-to-end deniable encryption for Skype chat messages.
The funny thing is that you can see the encrypted chat and key exchange
on standard Skype messaging window, so you can verify yourself that all
stuff are enciphered.
Now i feel myself more comfortable and will sleep +10minutes each night. |
per quanto riguarda il sistema crittografico di skype, nel 2006 fu presentato il paper:
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf | Citazione: |
Problems with Skype - The network view
From a network security administrator point of view:
* Almost everything is obfuscated (looks like /dev/random)
* Peer to peer architecture:
- many peers
- no clear identification of the destination peer
* Automatically reuse proxy credentials
* Traffic even when the software is not used (pings, relaying)
- Impossibility to distinguish normal behaviour from information
exfiltration (encrypted traffic on strange ports, night activity)
- Jams the signs of real information exfiltration
From a system security administrator point of view:
* Many protections
* Many antidebugging tricks
* Much ciphered code
* A product that works well for free (beer) ?! From a company
not involved on Open Source ?!
- Is there something to hide ?
- Impossible to scan for trojan/backdoor/malware inclusion
The Chief Security Officer point of view:
* Is Skype a backdoor ?
* Can I distinguish Skype's traffic from real data exfiltration ?
* Can I block Skype's traffic ?
* Is Skype a risky program for my sensitive business ? |
e dal titolo, parrebbe interessante anche:
http://www.ossir.org/windows/supports/2005/2005-11-07/EADS-CCR_Fabrice_Skype.pdf |
|
| Top |
|
|
zius
Dio minore
Registrato: 17/09/05 19:33
Messaggi: 626
Residenza: Mediterraneo
|
| Inviato: 31 Lug 2008 22:13 Oggetto: Re: Non avevo dubbi |
|
|
| {Marco} ha scritto: | | Non ho mai avuto dubbi sulla presenza in molti programmi ti tali backdoor... soprattutto, ma non solo, in quei sw freeware... |
in effetti, in questi casi è più comprensibile l'atteggiamento dei "talebani dell'open source" che non si accontentano che un prodotto sia aggratis ma vogliono averne a disposizione anche il codice.
Detto questo, il freeware non credo vada demonizzato: esistono tantissimi casi positivi 
@ vecna
grazie mille per il tuo intervento, assolutamente interessante ed esaustivo: una cosa (tra le tante) che ho letto nei documenti e che mi ha colpito è stata l'osservazione che il sftw in sè pesa un po' troppi MagaByte per essere un semplice programma di chat/voip...  |
|
| Top |
|
|
mobileprivacy
Comune mortale
Registrato: 02/08/08 22:46
Messaggi: 3
|
| Inviato: 02 Ago 2008 23:04 Oggetto: |
|
|
Modello di Attacco alle Conversazioni Skype
Il punto debole dei software VoIP cifrati (tutti, nessuno escluso) è il sistema operativo del computer o telefono cellulare su cui sono installati. Questo è un problema che non solo non troverà soluzione, ma è destinato a peggiorare con l'aumento della complessità dei sistemi operativi.
Per esempio è possibile introdurre un software di tipo Trojan in un PC con sistema operativo Windows non rilevabile dai programmi antivirus commerciali.
Il modello di attacco messo a punto dalle Forze di Polizia europee è progettato proprio in questo modo. Progettisti software scrivono dei codici di tipo Trojan che possono essere installati sia con accesso fisico al computer obiettivo (intrusione nei locali come per il piazzamento di microspie ambientali) oppure in modalità remota, per esempio con l'invio in allegato ad una e-mail (per un caso simile è stato attaccato in questo modo il computer dell'Amministratore Delegato Vittorio Colao del Corriere della Sera dal Tiger Team Telecom).
Una volta installato, il software spia si occupa di captare la voce dell'utilizzatore del computer su cui è installato prima che venga cifrata dall'algoritmo AES e quella dell'interlocutore dopo che è stata decifrata. Il software verosimilmente agisce fra la scheda audio del computer ed il software VoIP, captando le conversazioni digitalizzate ma in chiaro. Una copia della conversazione può così essere inviata presso la destinazione desiderata. Per altre info sulle intercettazioni e sistemi di difesa cliccare il testo. Per i sistemi disponibili per le intercettazioni idem. |
|
| Top |
|
|
zius
Dio minore
Registrato: 17/09/05 19:33
Messaggi: 626
Residenza: Mediterraneo
|
| Inviato: 03 Ago 2008 11:21 Oggetto: |
|
|
| mobileprivacy ha scritto: | | Per altre info sulle intercettazioni... |
Viva la coerenza!
Offrite con la stessa disinvoltura il diritto a tutelare la propria privacy come qualcosa di sacro e inviolabile (e ne fornite gli strumenti) e la possibilità di spiare le persone in qualunque modo e con qualunque mezzo, per qualsivoglia motivo (e ne fornite gli strumenti!).
In pratica al marito dite che se vuole avere una relazione extraconiugale sono affari suoi e nessuno deve permettersi di intrufolarsi nelle sue telefonate... e gli vendete "il kit per la privacy".
Alla moglie dite che ha diritto di sapere se suo marito la tradisce con qualcun altro... e le vendete "il kit per spiare"! 
Al di là del mio parere personale su privacy, diritto di informazione, eccetera, non credo di condividere un business basato sulla doppiezza nei confronti dell'utenza.  |
|
| Top |
|
|
mobileprivacy
Comune mortale
Registrato: 02/08/08 22:46
Messaggi: 3
|
| Inviato: 03 Ago 2008 16:04 Oggetto: |
|
|
| Si chiama libertà. La possibilità di agire come meglio si crede con unico limite il codice penale. Gli strumenti non sono buoni o cattivi di per se. Così come la tecnologia in generale. Dipende dall'uso che se ne fa. Le pare? Questo concetto di base dovrebbe essere ben chiaro ormai. Se uso uno Spy Phone per sorvegliare la mia casa quando sono assente perchè ho dei sospetti che qualcuno vi si introduca a mia insaputa, faccio un buon uso della tecnologia. Se uso lo stesso Spy Phone per spiare mia moglie, non solo ne faccio un uso in violazione del codice penale, ma probabilmente ho pure sbagliato a sposarmi.... |
|
| Top |
|
|
zius
Dio minore
Registrato: 17/09/05 19:33
Messaggi: 626
Residenza: Mediterraneo
|
| Inviato: 04 Ago 2008 13:23 Oggetto: |
|
|
| mobileprivacy ha scritto: | ...La possibilità di agire come meglio si crede con unico limite il codice penale...
Se uso uno Spy Phone per...
Se uso lo stesso Spy Phone per... |
infatti io non sono entrato nel merito di chi-fa-che-cosa, giusto/sbagliato, tecnologia-buona/cattiva.
Mi sono limitato a commentare il business di chi alimenta entrambi gli interessi, che sono palesemente in antitesi tra loro!  |
|
| Top |
|
|
al_pacino
Dio maturo
Registrato: 13/04/05 14:16
Messaggi: 1331
Residenza: Versilia
|
| Inviato: 09 Ago 2008 12:18 Oggetto: |
 |
|
| era logico aspettarsi che la notizia di qualche mese fa (skype non può essere decriptato) fosse a breve smentita... sennò si darebbe al mondo criminale un canale di comunicazione sicuro e gratuito... anzi, nn avrei mai dato questa notizia al pubblico, in modo tale da poter tracciare le loro conversazioni. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
