Protokół Skype złamany, wersja open source do ściągnięcia

Efim Bushmanov, niezależny (i nieznany wcześniej) badacz, opublikował na swoim blogu kod mający być dowodem rozpracowania przez niego zamkniętego protokołu Skype.

Bushmanov pisze, że jego celem jest dostarczanie otwartej wersji programu Skype. Na razie jednak udało mu się tylko podmienić oficjalną binarkę elimujując z niej część umożliwiającą twórcom programu kontrolę nad procesem, a także udostępnić program dający możliwość wysyłania wiadomości tekstowych przez Skype. Obecnie pracuje nad kompletnym rozpracowaniem protokołu i umożliwieniem wszystkim użytkownikom Internetu korzystania z wolnego Skype’a również do rozmów głosowych.

Efim pisze, że Skype, którego protokół jest ściśle tajny i pozostawał do teraz nierozpoznany, korzysta z wielu typów szyfrowania, m.in. z AES i RSA oraz z infrastruktury z kluczem publicznym.

Kod możecie obejrzeć na github lub ściągnąć przez Bittorrent.

Polecamy również poczytać dyskusję na temat tego wydarzenia na Hacker News.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

64 odpowiedzi na „Protokół Skype złamany, wersja open source do ściągnięcia”
  1. Awatar I_Voyager
    I_Voyager

    ja nie wiem jak to jest, ale czy Ms ma takie zezowate szczescie czy jak ale ledwo zdzyli kupic skype, a juz go ktos zlamal:/ do konca nie rozumiem lamania skypa, gdyz jest on za darmo na wszystkie platformy(no przynajmniej wiekszosc) i kazdy moze z niego korzystac – fakt ze wersja linuksowa jest duzo bardziej uboga niz windowsowa nie wiem jak to jest z Mac'ami bo nie mialem mozliwosci korzystac), ale nie zmienia faktu ze jest.

    1. Awatar psmicz
      psmicz

      Skype jest darmowy, ale nie open source. Tego geeki nie lubią.

      1. Awatar recarep
        recarep

        protokol juz dawno byl przeanalizowany, nawet prace na ten temat pisalno: http://sieci-p2p.eprace.edu.pl/73,Skype.html

    2. Awatar herr
      herr

      skype to doskonale zabezpieczony i szyfrowany produkt MS… Pokusa była widać zbyt silna 😉

      1. Awatar o_O
        o_O

        To nie produkt MS. Tylko od bardzo niedawna ich własność.
        Nawet nie zdążyli jeszcze wydać żadnej wersji pod swoim szyldem.

    3. Awatar wwhh
      wwhh

      > fakt ze wersja linuksowa jest duzo bardziej uboga niz windowsowa nie wiem jak to jest z Mac'ami bo nie
      > mialem mozliwosci korzystac

      To nie jest wystarczający powód? Generalnie nowy Skype (już nie taki nowy) na Windowsie jest mulasty jak na mnie. Dodatkowo tak dobrze obsługiwane przesyłanie dźwięków i plików byłoby miło wykorzystywać do czegoś więcej niż tylko IM.
      Jakiś już dłuższy czas temu Skype miał w planach otworzyć kod frontendów na każdą platformę i dać zamkniętą libkę protokołu. To by na pewno obniżyło wartość łamania protokołu – nie całkiem ale zawsze.

      Swoją drogą ostatnio się zastanawiałem, kiedy wreszcie złamią protokół, bo przecież wszystko jest do złamania.

    4. Awatar rivia
      rivia

      oficjalny Skype, przysłania mi "pół" ekranu 😉 jak wyjdzie dzięki temu wersja light, z chęcią zaczne korzystać

    5. Awatar Wizard
      Wizard

      No bez jaj, jakie większość platform? Zdaje się, że jeszcze da się to uruchomić na os x/ppc, a poza tym same jakieś przedpotopowe x86 albo śmieszne telefony. Ja się pytam – gdzie jest wersja na Haiku i MorphOS? 😛
      I od razu odpowiadam sam sobie – jest zbędny. Mizernie udaje możliwości protokołu XMPP, który jest otwarty, można go implementować do woli, bez łamania protokołu, szyfrowania, czego tam jeszcze.

      1. Awatar Tomasz Woźniak
        Tomasz Woźniak

        Zwłaszcza rewelacyjnie pod XMPP działają wideokonferencje.

        1. Awatar konski_pytong
          konski_pytong

          a ZU działają?

          1. Awatar Tomasz Woźniak
            Tomasz Woźniak

            kurde- mam ci tagować ironię?

          2. Awatar konski_pytong
            konski_pytong

            jak widać przyda się 😉

    6. Awatar Sant0n
      Sant0n

      Łamanie Skype jest po to, aby można go było dodać do innych multikomunikatorów jak Miranda, Nimbuzz, Pidgin oraz zrobić wersję webową dla biznesu, służącą do bezpośredniego zadzwonienia z poziomu strony jednym kliknięciem bez znajomości nicka ani bez instalowania niczego dodatkowego poza flashem np.

  2. Awatar troll
    troll

    Kiedyś (~2006) Chińczycy twierdzili, że złamali protokół Skype, ale okazało się to nieprawdą – tzn. jedyne, co pokazali, to screenshoty swojego klienta, po czym sprawa ucichła.

    1. Awatar lort
      lort

      Teoria spiskowa mówi, że ci Chińczycy podpisali umowę NDA z rządem chińskim. 😛

  3. Awatar NomadDemon
    NomadDemon

    moze i darmowy, ale skad wiesz jaki śmiec w nim siedzi? otwarty protokol + otwarty klient i wszystko jasne.

    1. Awatar konski_pytong
      konski_pytong

      dobrze, że wiemy co siedzi w jedzeniu i sprzęcie AGD ;]

      1. Awatar NomadDemon
        NomadDemon

        sprzet agd akurat moge sobie rozebrac i podejrzewac czy ma nadajnik czy inne cos

        jedzenie dobrze wszyscy wiemy ze nie ma w sklepach juz NORMALNEGO jedzenia, bez dodatkow

        to niech chociaz programy nam zostana normalne bez smieci, chociaz na to mamy wplyw

        1. Awatar jarek
          jarek

          "sprzet agd akurat moge sobie rozebrac i podejrzewac czy ma nadajnik czy inne cos"

          Oh naprawde? I co wyniknie z tego jak sobie popatrzysz na scalaki w swoich urzadzeniach
          elektronicznych? Przeswietlisz je oczami na wskros i przeanalizujesz dokladnie co sie w nich dzieje?

          "to niech chociaz programy nam zostana normalne bez smieci, chociaz na to mamy wplyw "

          Manie kodu zrodlowego nie definiuje czy program jest zasmiecony czy nie.
          Apache, Mozilla, kernel, samba, X'y, itd – wszystkie maja kupe smiecia w sobie.

          1. Awatar Druedain
            Druedain

            Manie? Posiadanie 😉

          2. Awatar konski_pytong
            konski_pytong

            nie czepiaj się gwary

        2. Awatar moro
          moro

          A jak zgrasz soft z zabezpieczonych mikroprocesorów ze sprzętu AGD ? Jak sprawdzisz czy na płytce nie siedzi scalak który ma w sobie kompletny tor RF? Pewnie masz analizator widma do dyspozycji?

    2. Awatar mariusz
      mariusz

      Rozumiem, ze zanim zainstalowales ubuntu to starannie audytowales caly kod? ;>

      1. Awatar Trinollan
        Trinollan

        Operowanie skrajnościami to bardzo słaby merytorycznie argument. Koledze powyżej zapewne wystarczy, że ktoś – ktokolwiek na świecie – może kod oglądnąć przy okazji wprowadzania poprawek i poinformować opinię publiczną o ewentualnych ciemnych sprawkach.
        Zaczepka żartobliwa, ale nie widzę nic skrajnego ani przejaskrawionego w domaganiu się otwartoźródłowości, zwłaszcza w przypadku programu, który od ponad pięciu lat jest (i dalej będzie) w posiadaniu amerykańskiej firmy, a więc obejmują go takie faszystowskie twory jak Patriot Act…

        1. Awatar mariusz
          mariusz

          Skrajnosciami to operuje wlasnie kolega wyzej twierdzac, ze otwarte == bezpieczne. Nie mowie, ze open source jest zle, tez bym sie ucieszyl z otwarcia Skype. Zly jest poglad wielu uzytkownikow open source dotyczacy bezpieczenstwa. Backdoora mozna tak napisac, ze na pierwszy rzut oka malo kto sie zorientuje, ze cos jest nie tak, pomijajac juz fakt, ze security buga w kodzie moze zauwazyc niekoniecznie osoba majaca dobre zamiary. Jak sie nie robi czesto aktualizacji to takze sam fakt mozliwosci sledzenia dodanego kodu jest zagrozeniem — wystarczy, ze pojawi sie aktualizacja poprawiajaca bledy, przegladniecie diffa to nie problem.

  4. Awatar Garhuy
    Garhuy

    A nikt nie wspomina, że wygodniej jest korzystać z empathy, pidgin, mirandy ze skype jako protokołu, a nie z pluginu jako protezy z uruchomionym skype.

  5. Awatar Xaveri
    Xaveri

    But why it takes 100MB of RAM when doing nothing ?!

    1. Awatar konski_pytong
      konski_pytong

      5 razy tyle bierze KDE 🙂

      1. Awatar Trinollan
        Trinollan

        Koński, dwa komentarze i mam wrażenie, że naprawdę wierzysz w kontrargumenty pt. "nie przejmujcie się tym w ogóle i nic nie róbcie, gdzieś indziej i tak jest gorzej".

      2. Awatar herr
        herr

        A to już zależy od tego ile masz ramu. Na moim desktopie kde wcina 500 mega, ale już na (też moim) netbooku zadowala się 200 mega.

        Gdyby ograniczyć ilość dostępnej pamięci jakimś końskim procesem to kde zajmuje naprawdę skromną lość pamięci (gołe kde, pewnie coś koło 150 mega).

        Nie siej czarnego PR 😛

        1. Awatar o_O
          o_O

          > Nie siej czarnego PR 😛

          Za to mu płacą. Wcześniej były wybory prezydenckie, teraz standardowy etat w microsofcie, a niedługo zacznie się trolowanie na rzecz po z okazji wyborów.

  6. Awatar Pawel
    Pawel

    Bardzo dobrze by bylo, by skype zostal rozlozony na czynniki pierwsze. To zapewne jakis bug, ale Fedora 15 3 razy zablokowala skypa, bo skubaniec chcial uzyskac dostep do jakiegos rodzaju pamieci a nie ma takich uprawnien. Sprawdzilem w necie, ze to jakis bug…ale mimo wszystko cos musi byc na rzeczy.

    1. Awatar aix_Wolna_Glupota
      aix_Wolna_Glupota

      Pewnie hakerzy chcieli Ci wykraść ile razy byłeś na pornhub.com. :-).

    2. Awatar SeeM
      SeeM

      SELinux czasem przesadza. Niestety oprogramowanie spoza repozytorium Fedory nie zawsze uwzględnia, że masz SEL i czasem trzeba się trochę napocić, żeby umożliwić mu działanie.

  7. Awatar borizm
    borizm

    Kiedyś Skype hakował w systemie i nawet BIOS sczytywał.

    1. Awatar Trinollan
      Trinollan

      Ja myślałem, że to jakiś trolling albo zabawny komentarz, a to prawda. 😮 http://www.pagetable.com/?p=27

      1. Awatar aix_Wolna_Glupota
        aix_Wolna_Glupota

        Potrzebowali ID procka żeby realizować DRM. Ale zrezygnowali z tego.

        1. Awatar Trinollan
          Trinollan

          Taaa, to oficjalne tłumaczenie – i zarazem śmieszne w swojej naiwności.
          link w tym artykule zawierającym też omówienie: http://snapvoip.blogspot.com/2007/02/skype-gives-…
          Dziwne jednak, że zrezygnowali dopiero po tym, jak czytanie BIOSa i wysyłanie na serwer wyszło na jaw. Skoro to taka bardzo ważna i potrzebna funkcja…? 😉

          1. Awatar aix_Wolna_Głupota
            aix_Wolna_Głupota

            Nie podniecaj się tak. Wywlekasz jakieś stare, przebrzmiałe śmiecie i robisz z tego aferę.

            Bardziej cenne są w tej chwili dane geo oraz o WiFi gromadzone przez Androida. BTW zostały odnalezione nie poprzez analizę kodu (tak hołubionej metody na tym forum) tylko przez standardowe przyglądanie temu co dzieje się podczas runtime – jak zwykle :-).

          2. Awatar Trinollan
            Trinollan

            Niczym się nie podniecam, niczego nie wywlekam – ktoś inny to zrobił – ale przede wszystkim nie zmieniam tematu. Nie rozumiem tylko czemu się tak identyfikujesz ze Skype'em, że jest to dla Ciebie temat niewygodny. Nie rozumiem też czemu poczuwasz się w obowiązku bycia adwokatem twórców tego programu…
            Sprawa miała miejsce, warto było o niej przypomnieć w ramach rozmowy o tym, co może się kryć pod maską programu oraz w ramach przejęcia programu przez Microsoft.
            To, że Skype grzebie w BIOSie zostało odkryte przez błędy na jednej z architektur, również nie przez czytanie kodu źródłowego.

          3. Awatar aix_Wolna_Głupota
            aix_Wolna_Głupota

            "Sprawa miała miejsce, warto było o niej przypomnieć w ramach rozmowy o tym, co może się kryć pod maską programu (…)."

            Może się kryć chęc odczytania rodzaju CPU po to zeby dobrać zoptymalizowane biblioteki kodeków :-).

            "To, że Skype grzebie w BIOSie zostało odkryte przez błędy na jednej z architektur, również nie przez czytanie kodu źródłowego. "

            Dlatego zawsze śmiechem reaguję na argument, że otwarty kod podnosi bezieczeństwo. BTW Brak tej bilioteki to nie błąd tylko celowe działanie – zerwanie bezpośredniej kompatybilności z ms dos na rzecz Virtual PC / XP Mode pod Windowsami x64.

  8. Awatar ssk
    ssk

    To już po Skype hahaha

  9. Awatar NomadDemon
    NomadDemon

    wlasnie cos w tym stylu mialem na mysli, niestety nie obralem tego tak w slowa.

    w programie zamknietym doslownie WSZYSTKO moze byc, wszystko moze sie identyfikowac jako program.majac zrodla mozesz spojrzec sobie, cos znajdziesz, zglos to gdzies publicznie, nawet nie wiesz jak im sie po dupie dostanie za takie numery. zamknieci niestety moga wszystko.

    bloga nieswiadomosc

    1. Awatar jarek
      jarek

      "w programie zamknietym doslownie WSZYSTKO moze byc,"

      Bredzenie.
      Nie mozesz nawet w programie closed-source upchac WSZYSTKO na chama.
      Sa sniffery, debuggery, disassemblery. I sa ludzie, ktorzy umieja ich uzywac.

      1. Awatar NomadDemon
        NomadDemon

        to zdeasembluj windowsa.

        w kod mozna zajrzec, wystarczy znac troche jezyk

        1. Awatar jarek
          jarek

          "to zdeasembluj windowsa."

          Jak taki uparciuszek, skad myslisz cracki sie pojawiaja
          w pare godzin po premierze. Masz link pare postow ponizej,
          spusc troche z tonu i przyjmij do wiadomosci to, ze jesli Ty
          nie potrafisz (ani ja) nie znaczy, ze nie ma ludzi ktorzy nie
          dlubia w bebechach windy.

          "w kod mozna zajrzec, wystarczy znac troche jezyk"

          W kod mozna zajrzec nawet nie znajac kompletnie jezyka.
          I niewiele z tego wyniknie w przytlaczajacej wiekszosci
          przypadkow, tak jak niewielka ilosc ludzi umie dlubac SoftIce'm
          w Windows tak i niewielka ilosc ludzi ogarnia cos sie dzieje
          w zrodlach kernela linucha.

        2. Awatar el.pescado
          el.pescado

          w kod mozna zajrzec, wystarczy znac troche jezyk

          Dwie rzeczy:

          Po pierwsze, poczytaj o Underhanded C Code Contest, żeby uświadomić sobie ile można upchnąć w kodzie źródłowym.

          Po drugie, rozumiem, że wszystko kompilujesz ze źródeł. Ineczej, jak możesz mieć pewność że binarka, której używasz jest skompilowana z dokładnie tego samego tarballa leżącego na stronie projektu, bez żadnych złośliwych dodatków?

          1. Awatar Trinollan
            Trinollan

            I to jest dalej to samo wałkowanie tego samego wątku. Myślę, że wszyscy się zgodzimy, iż zaglądnięcie pod maskę programu, który w swojej historii próbował wtargnąć do informacji zapisanych w BIOSie i wysyłać je na serwer, jest jak najbardziej wskazane i pożyteczne.
            Nie oznacza to jednak, że zaraz trzeba atakować tego, komu otwartoźródłowość się podoba również z idei.

            Odnośnie jeszcze Twojego komentarza, konkurs na najbardziej niezrozumiały kod źródłowy nie jest najlepszym porównaniem do programu, który piszą i rozwijają całe zespoły, a więc jego kod źródłowy musi być zrozumiały – w przeciwieństwie do kodów źródłowych "ciekawostek" z tego konkursu.

          2. Awatar el.pescado
            el.pescado

            konkurs na najbardziej niezrozumiały kod źródłowy

            Pomyliło Ci się z IOCCC. Ja pisałem o Underhanded C Contest:

            We hereby announce the fifth annual contest to write innocent-looking C code implementing malicious behavior. In many ways this is the exact opposite of the Obfuscated C Code Contest: in this contest you must write code that is as readable, clear, innocent and straightforward as possible, and yet it must fail to perform at its apparent function. To be more specific, it should do something subtly evil.

          3. Awatar el.pescado
            el.pescado

            Poza tym, warto przypomnieć sobie sprawę z rzekomym backdoorem umieszczonym w OpenBSD. Całość okazała się, co prawda, kaczką dziennikarską (najprawdopodobniej), niemniej jednak fakt, że Theo nie uznał tego za z gruntu nieprawdopodobne daje do myślenia.

          4. Awatar jarek
            jarek

            "której używasz jest skompilowana z dokładnie tego samego tarballa leżącego na stronie projektu, bez żadnych złośliwych dodatków?"

            Przyklad BerliOS pokazuje, ze nawet oryginalne zrodla projektu moga
            byc skompromitowane. No ale tutaj jak widze wszyscy robia audyt kodu
            zanim zrobia 'make install'. Malo tego, wszyscy maja umiejetnosc pozwalajace
            im na analize zrodel idacych w setki tysiecy linii kodu.

    2. Awatar aix_Wolna_Glupota
      aix_Wolna_Glupota

      "w programie zamknietym doslownie WSZYSTKO "

      Pierdoły pociskasz. Kupując samochód czy mieszkanie trzeba je zlustrować pod kątem podsłuchów, bomb i innych świństw bo być może CIA oraz SWR współpracowało z Boschem i założyli do ESP możliwość zdalnej blokady kół.

      "majac zrodla mozesz spojrzec sobie"

      Jest to tylko teoretyczna możliwość. W rzeczywistości nikt tam nie zagląda. Kiedy ostatnio analizowałeś pod kątem bezpieczeństwa kod Open Office'a. Open Source daje nowe możliwości fabrykowania softu – wkompilowujesz trojany i backdory prosto w jądro systemowe i taki system wstawiasz na torrenty lub inne p2p, p2m czy warezy. Jedyną możliwą obroną przed tym jest zaufanie do marki (jak do VW, Mercedes, Fiat, Adidas, Giant, Shimano, IBM, Intel, Microsoft, Skype, Nvidia, Nokia itd.), a nie przeglądanie i analiza produktów (zanim wykonasz telefon lustrujesz kod central telefonicznych, ruterów, satelit itd.??). Nawet we własnym kodzie błędów szuka się w runtimie, a nie przeglądając go.

      "zamknieci niestety moga wszystko"
      Nie rozumiesz, że nie da się przejrzeć dużych projektów (przejrzyj całego źródła Suse, zamim zainstalujesz na serwerze). To jest fizycznie nie wykonalne.

      Nie zapominaj, że narzędzia Redhata czy Novella do zarządzania enterprise są również zamknięte i co z tym zrobisz?? Napiszesz własne?

      Pozostaje tylko analiza ruchu sieciowego – bardzo tania i bardzo skuteczna.

      1. Awatar marcinsud
        marcinsud

        akurat historia pokazuje, że zamknięte systemy rozprowadzane na torrentach też miały świństwa i to dość głęboko zaszyte. Ogólnie ściąganie softu z niepewnych źródeł czy to open source czy closed source nie jest rozsądne.

  10. Awatar NomadDemon
    NomadDemon

    o ile dobrze wiem, to zmiana protokolu = update klienta, starsi klienci nie wejda na nowszy serwer.
    no to ładnie skype został załatwiony.

    1. Awatar o_O
      o_O

      Dlaczego załatwiony? Zaczną po prostu konkurować na rynku komunikatorów zgodnych z protokołem Skype.

      Chociaż teraz właścicielem jest microsoft, a oni o konkurencji nie mają bladego pojęcia… no to Skype faktycznie jest załatwiony…

      1. Awatar NomadDemon
        NomadDemon

        phoronix juz pisal, ze SKYPE odpowiada na "zlamanie protokolu" = cos kombinuja z nim

        1. Awatar NomadDemon
          NomadDemon

          znowu trolasy troluja
          wejdz sobie na phoronix, poczytaj, ciagle na tytulowej jest link do informacji.

          zastanow sie 2 razy zamiast dawac minusa, dajesz minusa, odpisz.

          to ze ktos napisze cos, czego nie chcesz przyjac do wiadomosci, nie znaczy, ze zle napisal

  11. Awatar leppakaklifoth
    leppakaklifoth

    Podobny artykuł ,z tym , że opublikowany rok wcześniej można znaleźć pod tym adresem – http://niebezpiecznik.pl/post/algorytm-szyfrujacy…

  12. Awatar Idothisformyself
    Idothisformyself

    No i dobrze. Świat powinien być cały open source.

  13. Awatar Szef szed
    Szef szed

    Gadka szmatka, będzie to miało znaczenie dopiero jak ktoś zaimplementuje to w kliencie.

  14. Awatar Maciej
    Maciej

    Tu jest artykuł z 2006: http://www.distributed-systems.net/index.html/dat…

  15. Protokół Skype złamany, wersja open source do ściągnięcia « POST VIDEO ART

    […] Bushmanov pisze, że jego celem jest dostarczanie otwartej wersji programu Skype.Show original […]

  16. Awatar Paweł
    Paweł

    Jeżeli Skype rzeczywiście stanie się kompletnym programem OpenSource, to Microsoft dużo straci.

  17. Awatar borizm
    borizm

    Projekt skypeopensource został chyba uznany za łamiący prawa autorskie Microsoft, bo został zdjęty w 2012 roku z github.com: "Repository unavailable due to DMCA takedown"

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *