+ Responder ao Tópico



  1. 30-07-2006, 19:34 #1
    jweyrich
    jweyrich está desconectado
    Avatar de jweyrich
    Ingresso
    Jul 2004
    Posts
    355

    Padrão Silver Needle in the Skype

    Será que o eBay já entrou na competição contra o Google e a Microsoft para dominar o mundo?

    http://blackhat.com/presentations/bh...-biondi-up.pdf

    Bom, o conteúdo deste PDF não tem nada a ver com isto.
    Mas vejam o que os criadores foram capazes de implementar no conhecido e amplamente utilizado software Skype:
    - binary packing
    - code obfuscation (harcoded-key xored code, encrypted code areas)
    - partial IAT (import address table) replacement
    - checksumers a.k.a. code integrity checkers (polymorphic, with random execution, randomized operators, random length, dummy mnemonics)
    - network traffic (protocols) obfuscation
    - anti-debugging technics
    - and so on...

    Após ver isto, e tendo em mente que o software não é open-source e que a empresa é sua própria certificadora, como podemos simplesmente acreditar e utilizá-lo? Segundo o CSO da Skype, Kurt Sauer, não há backdoors ou qualquer tipo de "trigger" (backdoors e afins) para que a polícia ou qualquer um consiga contornar a criptografia do software. (ref - http://www.networkingpipeline.com/bl...ty_pro_sk.html)

    Bem, de acordo com a politica de privacidade do software (ref - http://www.skype.com/intl/pt/company...y_general.html), podemos ver o seguinte:

    Código :
    "Salvo como disposto abaixo, a Skype não venderá, alugará, trocará nem transferirá de 
outra forma Dados Pessoais e/ou de Tráfego, nem Conteúdo de Comunicações, a terceiro 
algum sem Sua autorização explícita, a menos que seja obrigada a fazê-lo segundo a 
legislação aplicável ou por ordem de autoridades competentes."

    Mas, logo abaixo segue:

    Código :
    A Skype sempre exigirá que esses terceiros tomem as medidas organizacionais e técnicas 
adequadas a fim de proteger seus Dados Pessoais e Dados de Tráfego e respeitem a 
legislação relevante. Observe que, não obstante o acima mencionado, caso uma autoridade 
competente designada solicite que a Skype, ou um parceiro local da Skype responsável 
perante tal autoridade, retenha e forneça tais Dados Pessoais e/ou de Tráfego, ou instale 
equipamento de espionagem telefônica a fim de interceptar comunicações, a Skype e/ou seu 
parceiro local fornecerá toda assistência e informação necessárias para atender tal 
solicitação.
 
As informações coletadas no Website podem ser armazenadas e processadas em qualquer 
país onde a Skype tenha instalações. A esse respeito, ou para fins de compartilhar ou 
divulgar dados de acordo com este artigo 4, a Skype reserva o direito de transferir 
informações fora do país do usuário. Ao usar o Software Skype ou o Serviço de VoIP, Você 
consente com qualquer transferência de informação fora de seu país. Conforme a Skype 
continua a desenvolver seus negócios, a empresa pode vender ou comprar subsidiárias ou 
unidades comerciais. Em tais transações, bem como no caso de a Skype ou substancialmente
 todos os seus ativos sejam adquiridos por terceiros, as informações pessoais dos usuários 
do Skype serão geralmente um dos ativos comerciais transferidos. Reservamo-nos o direito 
de incluir Suas informações pessoais, coletadas como um ativo, em qualquer transferência a 
terceiros.

    Ou seja, se todos ativos da Skype forem *comprados* por terceiros, *TODAS* informações pessoais serão parte dos *ATIVOS COMERCIAIS* transferidos.
    Qual será o preço para comprar o Orkut ou o Skype? Ambos tem milhares (já se faz necessária uma unidade maior para contabilizar) de usuários.
    Questões:
    - Que tipo de dados essas empresas possuem?
    - Quem pagaria por esses dados?
    - Por quê pagaria por estes dados?
    - Quais e que tipos de riscos um usuário corre ao ter seus dados expostos?

    E conforme a EULA da Skype (ref - http://www.skype.com/intl/pt/company/legal/eula/):

    Código :
    2.3 Não é permitido fazer modificações. Você não realizará, causará, permitirá, nem
autorizará a modificação, criação de trabalhos derivados, tradução, engenharia reversa,
decompilação, desmontagem, nem hacking do Software Skype nem de qualquer parte do
mesmo.

    Qual a tradução deste termo?
    Você está de acordo?
    Afinal, nossos dados estão seguros?
    Qual seria o resultado de um exploit in-the-wild? Imaginem..

    Podemos ir bem longe numa grande discussão, pois as perguntas e as suposições são praticamente infindáveis.
    Mas não estou aqui para gerar polêmica, muito menos para criticar a Skype. Só quero saber a opinião de cada um. Leiam o PDF, comprovem cada detalhe do mesmo se necessário, e compartilhem sua opinião.

    Mas podemos concordar em duas coisas *positivas*:
    O software é maravilhoso e funciona perfeitamente. (pelo menos até agora)

    "Só haverá segurança no momento em que o fator humano não estiver presente."
    Citação Citação
  2. 31-07-2006, 01:20 #2
    Fusion
    Visitante

    Padrão Re: Silver Needle in the Skype

    show
    talk.google.com
    ahahaha!
    Citação Citação



« Tópico Anterior | Próximo Tópico »