Hallo,
nach Lektüre von http://www.secdev.org/conf/skype_BHEU06.handout.pdf und http://www.pagetable.com/?p=27 wollte ich mal fragen, ob hier noch jemand guten Gewissens skype einsetzt, und auf welcher Grundlage der Einsatz von Skype noch zu rechtfertigen wäre.
Gruß
Fritze
Hallo,
nach Lektüre von
http://www.secdev.org/conf/skype_BHEU06.handout.pdf und
http://www.pagetable.com/?p=27 wollte ich mal fragen, ob hier
noch jemand guten Gewissens skype einsetzt, und auf welcher
Grundlage der Einsatz von Skype noch zu rechtfertigen wäre.
Ich benutze noch Skype, wenn auch nicht mit Begeisterung. Gründe sind:
Aber ich achte schon darauf, Skype wirklich nur beim telefonieren an zu haben, und nicht die ganze Zeit im Hintergrund laufen zu lassen.
Grüße,
Moritz
Hallo,
Ich benutze noch Skype, wenn auch nicht mit Begeisterung.
Gründe sind:
- Ich benutze Linux, und ich glaube nicht, dass Skype da
einfach das BIOS auslesen kann. Hoffe ich zumindest
Du weisst es aber nicht, oder? Es ist auch für Experten nicht
möglich, den Code von Skype einem Review zu unterziehen, da er nicht
zur Verfügung steht und man sich verdammt viel Mühe gemacht hat,
Skype zu verschleiern (Siehe meinen ersten Link).
- Es ist sehr weit verbreitet und damit praktisch
Das ist sicher so, keine Frage.
- Ich habe hier (Schottland) nur ein ganz merkwürdiges
Telefon, bei dem es aus Deutschland über 10 Cent pro Minute
kostet, mich anzurufen. Da braucht man eine Alternative.
Wie wäre es mit
http://www.openwengo.org/ oder
http://www.gizmoproject.com/
Gruß
Fritze
Hallo Fritze,
nach Lektüre von
http://www.secdev.org/conf/skype_BHEU06.handout.pdf und
http://www.pagetable.com/?p=27 wollte ich mal fragen, ob hier
noch jemand guten Gewissens skype einsetzt, und auf welcher
Grundlage der Einsatz von Skype noch zu rechtfertigen wäre.
Hast du überhaupt verstanden, was skype da eigentlich macht ??
MfG Peter(TOO)
Heisse Luft…
Alles Blödsinn,
guckst du da:
http://www.winfuture.de/news,29956.html
oder da:
http://forum.meinskype.de/ftopic4147.html
Stefan
Hallo,
- Ich benutze Linux, und ich glaube nicht, dass Skype da
einfach das BIOS auslesen kann. Hoffe ich zumindestDu weisst es aber nicht, oder?
Richtig. Aber ich gehe einfach davon aus, dass Linux sicher genug ist, das nicht jedem Userspace-Programm ohne Root-Rechte zu haben.
Es ist auch für Experten nicht
möglich, den Code von Skype einem Review zu unterziehen, da er
nicht
zur Verfügung steht und man sich verdammt viel Mühe gemacht
hat,
Skype zu verschleiern (Siehe meinen ersten Link).
Aber man kann trotzdem noch syscalls via strace auswerten
Wie wäre es mit
Hat bei mir nicht funktioniert.
Sieht auf den ersten Blick nicht schlecht aus. Scheint aber auch kein Open Source zu sein (oder übersehe ich da was?).
Die deutsche Webseite sagt 1 US-Cent pro Minute, die englische zwei. Die Gebührenübersicht sagt 1 Cent für die USA, 1.6 für Deutschland.
Auf der „Call Out Gebühreninformation“ steht bei Deutschland 2 Cent. Hallo?
Und dann steht auch nicht da, ob man mit Euro zahlen kann…
Sprich: ich warte mit dem Umstieg noch ein bisschen…
Grüße,
Moritz
Hallo,
Hast du überhaupt verstanden, was skype da eigentlich macht ??
Bezieht sich Deine Frage auf den BlackHat Vortrag oder den
Blogeintrag „BIOS ID“? Da ich kein 64 Bit Windows zur Verfügung habe,
kann ich letzteres nicht nachvollziehen. Es fehlt mir auch die Zeit,
mich so intensiv, wie die Kollegen von EADS, mit Skype
auseinanderzusetzen. Ich muss mich also schon auf das verlassen, was
dort zu lesen ist. Folie 96 hat die „Bad Points“ zusammengefasst,
falls Du da was übersehen haben solltest …
Ich frage mich ernsthaft, warum man einen derartigen Aufwand
betrieben hat, die Interna von Skype zu verschleiern. So ist z.B. die
Behauptung, FIPS konformen AES zu verwenden nicht belegbar. Mag so
sein, weiss man aber nicht. Skype sagt: „Wir ham keine Spyware drin,
echt nich!“, kann man aber nicht nachprüfen. Ergo: Schlechte
Sicherheitslage. Auf Alternativen ausweichen. Nebenbei muss man einen
erheblichen Aufwand betreiben, um eine „no skype“ security policy
über die reine „Liebe Mitarbeiter, kein Skype mehr hier!“ Email
hinaus auch ernsthaft umzusetzen.
Und was wäre denn Deiner Meinung nach der Grund für die ominöse 1.com
Datei?
Gruß
Fritze
Hallo,
Aber man kann trotzdem noch syscalls via strace auswerten
Dazu nur soviel: „Linux: Skype refuses to run when run with ltrace.
Skype does run with strace. Unfortunately, Skype executable hides
the symbols making it quite difficult to reverse engineer.“
(http://www1.cs.columbia.edu/~salman/skype/)
Du wirst mit Deinem strace also nicht viel Freude haben. Aber ich bin
jetzt doch neugierig geworden. Werde mir morgen mal skype für Linux
runterladen und ein "strace -e trace=file … auf skype loslassen 
Hat bei mir nicht funktioniert.
In wiefern? Da lässt sich bestimmt eine Lösung finden.
Sieht auf den ersten Blick nicht schlecht aus. Scheint aber
auch kein Open Source zu sein (oder übersehe ich da was?).
Nein, ist richtig. Nutzt aber 08/15 SIP soweit ich weiss. Es ist
daher erheblich nachvollziehbarer, was passiert (und was nicht).
Die deutsche Webseite sagt 1 US-Cent pro Minute, die englische
zwei. Die Gebührenübersicht sagt 1 Cent für die USA, 1.6 für
Deutschland.
Auf der „Call Out Gebühreninformation“ steht bei Deutschland 2
Cent. Hallo?
Keine Ahnung. Ich dachte der Witz wäre, dass man kostenlos
telefoniert, indem beide Partner VoIP nutzen?
Gruß
Fritze
Hallo,
Alles Blödsinn,
Soso.
guckst du da:
http://www.winfuture.de/news,29956.html
Hmmja. Skype sagt: Wir nix Spyware. Zufällig findet eine findige
Userin unter Win64 spyware. Skype sagt: Hoppla. Ja nun, das ist ja
gar nicht unsere Software. Wir haben nur Software von
Drittherstellern eingebaut. Was die so tut, dafür können wir nix.
Ich nenne sowas Spyware. Blödsinn ist also die Aussage von Skype, in
der Software wäre keinerlei Spyware enthalten. Es ist unerheblich, ob
die enthaltene Spyware von Skype selbst, von der RIAA oder vom
Weihnachtsmann persönlich geschrieben wurde. Sie war (und ist
vermutlich noch immer, nur noch geschickter versteckt) vorhanden.
Die Leute dort haben offensichtlich nichtmal die das Originalposting
ganz zu Ende gelesen. Diese Datei war nur unter der 64 Bit Version
von Windows auffindbar, wenn es zum Programmabsturz kam. Ohne Absturz
war die Datei nur für einen Sekundenbruchteil „sichtbar“. Es war
daher kompletter Blödsinn, danach per Explorer „(versteckte
Systemdateien anzeigen aktiviert etc. …)“ überhaupt zu suchen.
Gruß
Fritze
Gottchen…
Hmmja. Skype sagt: Wir nix Spyware. Zufällig findet eine
findige
Userin unter Win64 spyware. Skype sagt: Hoppla. Ja nun, das
ist ja
gar nicht unsere Software. Wir haben nur Software von
Drittherstellern eingebaut. Was die so tut, dafür können wir
nix.Ich nenne sowas Spyware. Blödsinn ist also die Aussage von
Skype, in
der Software wäre keinerlei Spyware enthalten. Es ist
unerheblich, ob
die enthaltene Spyware von Skype selbst, von der RIAA oder vom
Weihnachtsmann persönlich geschrieben wurde. Sie war (und ist
vermutlich noch immer, nur noch geschickter versteckt)
vorhanden.
Definiere „Spyware“
In meinem Windowsverzeichnis sind 15955 Dateien und sich einzubilden, dass die da nix tun halte ich für verwegen.
Die Frage ist:
Was wenns stimmt und Skype Recht hat ?
Im Grunde mobbst du doch einfach bloss.
Die Leute dort haben offensichtlich nichtmal die das
Originalposting
ganz zu Ende gelesen. Diese Datei war nur unter der 64 Bit
Version
von Windows auffindbar, wenn es zum Programmabsturz kam. Ohne
Absturz
war die Datei nur für einen Sekundenbruchteil „sichtbar“. Es
war
daher kompletter Blödsinn, danach per Explorer „(versteckte
Systemdateien anzeigen aktiviert etc. …)“ überhaupt zu
suchen.
Grundgütiger.
Ich will dir deine Paranoia nicht nehmen.
Für mich ist das ganze nach wie vor nix weiter als „Heisse Luft“.
Stefan
Hallo,
Hat bei mir nicht funktioniert.
In wiefern? Da lässt sich bestimmt eine Lösung finden.
Vermutlich. Aber von einem Telefon erwarte ich, dass es funktioniert, nicht, dass man es vermutlich irgendwie zum funktionieren bringt. Hab damals eine Stunde dran rumgebastelt und dann aufgegeben.
Die deutsche Webseite sagt 1 US-Cent pro Minute, die englische
zwei. Die Gebührenübersicht sagt 1 Cent für die USA, 1.6 für
Deutschland.
Auf der „Call Out Gebühreninformation“ steht bei Deutschland 2
Cent. Hallo?Keine Ahnung. Ich dachte der Witz wäre, dass man kostenlos
telefoniert, indem beide Partner VoIP nutzen?
Das ist einer der Witze, aber z.Z. nicht der, den ich brauche.
Grüße,
Moritz
Hallo,
Keine Ahnung. Ich dachte der Witz wäre, dass man kostenlos
telefoniert, indem beide Partner VoIP nutzen?Das ist einer der Witze, aber z.Z. nicht der, den ich brauche.
Es soll ja Leute geben, die – nur um gratis telefonieren zu können – allerlei Schrott über sich ergehen lassen. Z.B. Werbeunterbrechungen im laufenden Gespräch etc. Hauptsache billig.
Da kann Dir geholfen werden:
http://www.peterzahlt.de/c2c-peterzahlt/index.do
Du musst nur zwei Telefonnummern eingeben und schwups kannst Du gratis telefonieren.
Gruß
Fritze
Hallo,
Definiere „Spyware“
Eine Software die ohne mein Wissen in konspirativer Weise Daten von meinem PC sammelt und an den Hersteller oder irgendwelche anderen Stellen sendet. Wie z.B. Skypes „1.com“.
In meinem Windowsverzeichnis sind 15955 Dateien und sich
einzubilden, dass die da nix tun halte ich für verwegen.
Keine Ahnung, was die so tun. Aber wenn sie in konspirativer Weise Daten von Deinem PC sammeln und an Microsoft oder irgendwelche anderen Stellen senden, dann ist das ebenfalls Spyware.
Die Frage ist:
Was wenns stimmt und Skype Recht hat ?
Du meinst, wenn Skype Spyware nur durch dritte in Skype einbauen lässt? Das fände ich umso schlimmer.
Im Grunde mobbst du doch einfach bloss.
Klar. Das arme Skype. Ich sollte einfach mal wieder ein bisschen blindes Vertrauen in eBay haben. Das sind die Guten.
Grundgütiger.
Ich will dir deine Paranoia nicht nehmen.
Tja, wenn’s fachlich nicht mehr reicht, dann eben „ad hominem“.
Für mich ist das ganze nach wie vor nix weiter als „Heisse
Luft“.
Für mich eben nicht. Überlassen wir mal den Lesern hier, sich selbst eine Meinung zu bilden. Dazu gehört, nicht nur das Marketinggewäsch von Skype Inc./eBay zu lesen, sondern vielleicht auch den einen oder anderen fundierten kritischen Bericht.
Gruß
Fritze
Eine Software sammelt ohne Wissen ihres Benutzers Daten von seinem Rechner und gibt diese nach aussen weiter. Aufgrund eines Designfehlers dieser Software fliegt dieses Verhalten auf, die fehlerhafte Komponente wird daraufhin zurückgezogen. Über den Umgang mit den Daten der Anwender, über das grundsätzliche Design, welches nach diesem Vorkommnis als sehr bedenklich betrachtet werden darf, wird hingegen kein Wort verloren.
Du meinst, Bedenken aufgrund dieses Vorfall mittels Angabe zweier in der Sache in keiner Weise aussagekräftiger Links als
Alles Blödsinn,
qualifizieren zu können? Nun, dein Titel, ‚Heisse Luft…‘ trifft’s auf den Punkt. Anders ist dein Beitrag nicht zu werten.
Sind wir ja gewohnt
Schorsch
Du nutzt (unterstelle ich mal) Windows, aber deswegen machst Du Dir
ins
Hemd?
lg-bt (skype btprivat)
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
Du nutzt (unterstelle ich mal) Windows, aber deswegen machst
Du Dir
ins
Hemd?
Zunächst einmal Danke für Deinen herzerfrischend kompetenten Beitrag.
Mit Unterstellungen ist das allerdings so eine Sache … sie treffen bereits per Definitionem nicht zu.
Ich entnehme Deiner Aussage, ich machte mir ins Hemd und der Angabe Deines Skype-Namens, dass Du meine Sorgen nicht teilst. Kannst Du das auch noch in irgend einer Weise sachlich begründen? Hältst Du die unterschiedlichen Berichte und den krassen Gegensatz von Skype’s Selbstbild (No Spyware) und Realität (Doch Spyware) ebenfalls für heiße Luft?
Mit anderen Worten, das Risiko, Teil eines Botnets zu werden oder des Verlustes Deiner Privatsphäre wägst Du gegen die enormen Vorteile, die Skype Dir bietet, ab und befindest es für leichter?
Gruß
Fritze
Hallo,
Du nutzt (unterstelle ich mal) Windows, aber deswegen machst
Du Dir
ins
Hemd?
: Zunächst einmal Danke für Deinen herzerfrischend kompetenten
: Beitrag.
Hab ich doch gern gemacht
:Mit Unterstellungen ist das allerdings so eine Sache … sie
:treffen bereits per Definitionem nicht zu.
Sieh an.
:Ich entnehme Deiner Aussage, ich machte mir ins Hemd und der
:Angabe Deines Skype-Namens, dass Du meine Sorgen nicht teilst.
:Kannst Du das auch noch in irgend einer Weise sachlich
:begründen? Hältst Du die unterschiedlichen Berichte und den
:krassen Gegensatz von Skype’s Selbstbild (No Spyware) und
:Realität (Doch Spyware) ebenfalls für heiße Luft?
Ich kann nicht beurteilen, ob Skype spyware enthält oder nicht. Ich
denke aber, daß das für Benutzer von Betriebssystemen, die schon ab
Werk solche enthalten und während des Betriebs auf unterschiedlichen
Wegen immer noch mehr dazubekommen, auf eine mehr oder weniger auch
nicht mehr ankommt. Ausserdem gibt es jede Menge SW, um spyware zu
finden und zu entfernen?
:Mit anderen Worten, das Risiko, Teil eines Botnets zu werden
: oder des Verlustes Deiner Privatsphäre wägst Du gegen die
: enormen Vorteile, die Skype Dir bietet, ab und befindest es
: für leichter?
Jegliches Risiko ausschliessen geht nur durch Stecker ziehen. Mit ein
wenig Aufmerksamkeit bemerkte man es, wäre man Teil eines Botnetzes?
Sind dafür evtl. nicht alle gleich gefährdet? Wenn Du mir nachweisen
kannst, daß man in meinen Rechner / meine Privatsphräre eindringen
kann, denke ich neu darüber nach. Meinen skype - Namen hast Du, was
brauchst Du noch dafür? IP? Soll ich Dir eine eMail schicken, da
dürftem alle relevanten Daten im Header stehen.
Und was genau kann man jetzt mit der Seriennummer Deines Mainboards
anfangen?
: Gruß
:Fritze
Auch Gruß bt
Hallo,
Ich kann nicht beurteilen, ob Skype spyware enthält oder
nicht.
Die Frage ist doch längst geklärt. Bis zur Version 3.0.0.216 hat es Skype öffentlich zugegeben. http://www.heise.de/security/news/meldung/85050 Damit ist die Aussage, „no spyware, no adware, no malware“, widerlegt.
Ausserdem gibt es jede Menge SW, um spyware zu finden und
zu entfernen?
Das Problem ist, dass sich Skype an keinerlei Regeln hält, die Übertragung verschlüsselt und der Code verschleiert ist. Darum kann man überhaupt keine Aussage darüber machen, was es tut, und was nicht. Bisher haben die User blind darauf vertraut, dass es nichts böses macht. Nun wurde zufällig nachgewiesen, dass es mindestens eine Spywarefunktion enthält.
Skype sagt zwar, die wäre jetzt entfernt, prüfen kann man das aber nach wie vor nicht. Die einzige richtige Konsequenz daraus wäre, auf die Software in Zukunft zu verzichten.
Jegliches Risiko ausschliessen geht nur durch Stecker ziehen.
Es geht nicht darum, jegliches Risiko auszschließen, sondern um eine sinnvolle Einschränkung des Risikos.
Mit ein wenig Aufmerksamkeit bemerkte man es, wäre man
Teil eines Botnetzes?
Wenn Du Teil eines Skype-Botnets wärst, hättest Du genau Null Möglichkeiten, das zu bemerken. Siehe dazu auch Folien 86-95 des bereits mehrfach zitierten Vortrags http://www.secdev.org/conf/skype_BHEU06.pdf, „biggest botnet ever“.
Sind dafür evtl. nicht alle gleich gefährdet?
Alle Rechner die Skype am Start haben, sind gleich gefährdet. Das ist richtig.
Wenn Du mir nachweisen kannst, daß man in meinen Rechner/meine Privatsphräre
eindringen kann, denke ich neu darüber nach.
Siehe die eben genannten Seiten. Es wird vorgeführt wie man mit Hilfe von Skype einen heap overflow provoziert und damit einen shell-Zugang erhält. Es wird ebenfalls ausdrücklich darauf hingewiesen, dass dies auch unter Windows XP, SP2 möglich ist. Einen offiziellen Patch für diesen Exploit hat es bisher nicht gegeben.
Gruß
Fritze
Hallo Fritze,
Und was wäre denn Deiner Meinung nach der Grund für die
ominöse 1.com
Datei?
Also, da werden die die ersten 64KB, der BIOS ausgelesen und das letzte Byte des BIOS-ROM.
Da ist mitnichten die Seriennummer abgelegt.
Für mich sieht das nach einem Gebastel aus. Entweder will da jemand BIOS-Routinen direkt, unter Umgehung der normalen Eintrittsvektoren, aufrufen oder es ist ein gräulicher Bugfix, bei einem bestimmten BIOS.
MfG Peter(TOO)
Nachtrag
Hallo Fritze,
Ist schon lange her, dass ich mit BIOS-Routinen gearbeitet habe.
16 Bytes vor ROM-Ende befindet sich der Reset-Einsprung, bei den 80x86. Normalerweise steht dort ein Sprungbefehl.
Das letzte Byte wurde für die Prüfsumme verwendet.
Es wurden einfach alle Bytes der BIOS-ROMs addiert. Das Resultat Modulo 256 Muss dann 0 ergeben. Das letzte Byte im ROM, wird dazu verwendet, dass die Summe 0 ergibt …
… ist halt schon lange her, dass ich BIOSe modifiziert habe.
MfG Peter(TOO)