Kémkedik a Skype?

VoIP

Lehet, inkább a biztonsághoz tartozó téma. A jelenség az volt, hogy a Skype beszélgetés közben megevett 132 % CPU időt. Értelemszerűen a 100 % egy magra vonatkozik. Keresgéltem a neten, az alábbi megoldást találtam:

Solved - finally!
The subprocess which went crazy was called "FallbackConnMan" and using strace -ff I finally found the cause: I had a symbolic link cycle inside my Mozilla profile - for whatever reason Skype is looking in there! It tried to read /home/USERNAME/.mozilla/USERNAME-mozilla/USERNAME-mozilla/USERNAME-mozilla/... and so on and got into an endless loop. After removing the link, Skype behaves normally again.És valóban! Használom a pofile sync daemon-t, ez a használat idejére a böngésző profilokat - esetemben firefox és midori - RAM-ba teszi, majd a gép leállításakor visszaírja háttértárra. Ugyanakkor trükköztem felhasználókkal, ezért maradt szimbolikus link hurok benne. A Skype pedig be akarta járni a Firefox profil könyvtárát, de végtelen mélységű alkönyvtár struktúrával találkozott.

Miután eltávolítottam két felesleges szimbolikus linket, a Skype CPU idő „fogyasztása” visszaesett 30 % körülire.

A kérdésem éppen ezért nem az, hogy hogyan oldhatom meg a magas CPU idő terhelést a Skype esetében, mert az megvan. Sokkal inkább azt kérdezem, mit keresett a Skype a Firefox profil könyvtárában? Továbbá milyen konténer megoldást javasoltok - lehetőleg gyakorlati útmutatóval, mert még nem használtam egyiket sem - a Skype szűk keretek közé szorításához?

  • 7366 megtekintés

( FBK | 2015. 11. 01., v – 13:35 )

sajnalatos modon nem elkepzelhetetlen, emlekezzunk csak vissza arra a kb 1 eves sztorira, hogy barmilyen linket masolsz be skype-on, erdekes mod valamelyik MS szerver egy oran belul meglatogatja, ezek utan azt hiszem ez mar nem is lenne meglepo :(

--
FBK

"Heise Security was skeptical of that explanation." En is a LOL partjan vagyok, ill. a cikk konkluziojaval sem ertek egyet...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Igazából, számomra az a kérdés mi értelme van a SmartScreen miatt head-et küldeni, bár lehet, hogy gondolatolvasók szűrnek a Microsoftnál (értsd nincs a válaszban olyan info ami alapján ítélni lehetne). :P 


HTTP/1.1 200 OK
Server: nginx
Date: Mon, 02 Nov 2015 07:35:49 GMT
Content-Type: application/pdf
Content-Length: 176198 //SHOULD use this field to indicate the transfer-length of the message-body
Last-Modified: Thu, 18 Dec 2014 08:36:38 GMT
Connection: keep-alive
ETag: "54929216-2b046" //The use of ETags in the HTTP header is optional
Accept-Ranges: bytes

> Ehhez természetesen jogod van, bár akkor kíváncsi lennék a te elméletedre: mi oka lehet a Microsoftnak HEAD-et küldeni bizonyos URL-ekre, ha nem a SmartScreen miatt?

Nekem pont itt sántít a dolog. Ha HEAD kérést küld, akkor visszakapja a HTTP fejléceket mint rendes GET kérés esetén, de a megjelenített (body) rész nélkül. Ha meg pont a tartalom hiányzik, akkor mi alapja van bármilyen döntésnek, normál vagy támadó oldalról van-e szó? Ad2, többi böngésző (FireFox és Chrome) _központi_ listát tart nyílván a jelentett és ellenőrzött támadó oldalakról. Itt meg ha jól értem (nem használok Skype-ot) maga a kliens néz rá a felhasználó által beírt URL-ekre.

( Takaya | 2015. 11. 01., v – 13:38 )

Megneztem most procmonnal es tenyleg...

Eloszor belenez /appdata/roaming/mozzila/firefox/profiles.ini-be utanna meg cookies.sqlite es cookies.sqlite-shm.

--

"You can hide a semi truck in 300 lines of code"

Hogyan oldanád meg azt, hogy akár a natív appot, akár a webes felületet használod, legyen szinkronban a session? A "sehogy/nem kell/ne kelljen" jellegű válaszok nem fogadhatók el. Nos? Igen, felvet(het) problémákat, de gondolom, a Linux kernelt, a böngészőt, az openssl-t és még a soho routered firmware-ét is átnézted, hogy biztosan nincs benne még a lehetősége sem annak, hogy adatot/információt szivárogtasson olyan irányba, amerre nem szeretnéd.

A "sehogy/nem kell/ne kelljen" jellegű válaszok nem fogadhatók el.

miert is nem? De pl. el lehetne tarolni szerver oldalon, amit indulaskor kiolvas akar az x11 app, akar a webes kliens. A kernel, brozer, etc dolgoknak meg eppen semmi koze a topikhoz...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Te sem fejlesztettél még felhasználói igények alapján... :-P Szerver oldalon eltárolásra kerül a session infó - hiszen a szervernek tudnia kell róla :-P
Kliens oldalon kell megoldani azt, hogy ugyanazt a session infót, noch dazu ugyanazt a session-t (bejelentkezve, tok-vonó) lássa mindkét alkalmazás. A natív is, meg a böngésző is.

Te sem fejlesztettél még felhasználói igények alapján... :-P

ha te mondod...

Szerver oldalon eltárolásra kerül a session infó - hiszen a szervernek tudnia kell róla :-P Kliens oldalon kell megoldani azt, hogy

OK, akkor magyarazd mar plz el, hogy miert is megoldhatatlan az, hogy ne helyben tarold, hanem a szerverrol kerdezd le? Mert az x11 app ugyan meg tudja tenni, hogy kutakodik a filerendszerben, es kihamozza a webes kliens allapotat pl. a mozilla file-okbol, de szerinted a webes kliens is ki tudja szedni a ~/.Skype alol, ami neki kellene?

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Milyen adatokat kérjem le a szerverről a session-t, ha nem akarom, hogy a usernek a vastagkliensben is be kelljen külön jelentkezni? Ha a szerverre auth/session adat nélkül megy a kliens (bármelyik!), akkor azt minek tekintse a szerver? Új session-nek, vagy a legutóbbi folytatásának? Meddig lehessen folytatni a session-t?
van a session-höz tartozó adathalmaz, szerintem ezt használja megosztottan a webes felület és a vastagkliens - természetesen féloldalasan, azaz a webes felület (ami funkcionálisan butább, ha jól tévedek) nem tud a vastagkliensről, ami - kényelmi funkciókánt- tudja használni a böngésző által tárolt rá vonatkozó sütiket, illetve a böngészőben beállított proxy-t is.

Milyen adatokat kérjem le a szerverről a session-t,

hogy tetszik mondani?

ha nem akarom, hogy a usernek a vastagkliensben is be kelljen külön jelentkezni?

mar miert kene belepni a skype app-pal is?

Ha a szerverre auth/session adat nélkül megy a kliens

mar hogy menne nelkule? 1. lepes az authentikacio, onnan tudja ki vagyok, es akkor a valaszban le tudja kuldeni, hogy hol tartottam legutoljara.

van a session-höz tartozó adathalmaz, szerintem ezt használja megosztottan a webes felület és a vastagkliens

pont errol beszelek

ami - kényelmi funkciókánt- tudja használni a böngésző által tárolt rá vonatkozó sütiket, illetve a böngészőben beállított proxy-t is.

ez csak a te elmeleted. Btw. akkor miert kell az Advanced / Connection menube proxy beallitas opcio (hiszen ott van a brozerben)? Es ha van mozilla es chrome is, akkor melyik proxy beallitasait veszi figyelembe? Vagy akkor melyiket, ha az app-ban mas proxy beallitas van? Egy szo, mint szaz, nagyon buzlik ez a dolog...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Milyen adatokat küldjön a vastagkliens a szervernek, hogy a felhasználó authentikálása megtörténjen, ha a kliensnek saját adatkuapcában nincs ilyen információ eltárolva? Az első lépés az authentikáció - igen, ezt lehetne akár megspórolni azzal, hogy a böngésző sütijei között matat.

Anno a skype Widows-on szépen össze tudta vakarni, hogy épp milyen kijáraton tud kimenni a nagyvilágba - linugzon erre ugye ahány app, annyiféle megoldás van, úgyhogy...

Persze az is lehet, hogy reklámokhoz keres sütiket - csillió éve nem használtamaktívan a skype-ot, nem tudom, csinál-e ilyesmit.

Ha meg bűzlik, ne használd - az irc amúgy is o'an kúúúl :-P

Na most ha _automatikusan_ böngészőből be akarja léptetni (amit valaki kipróbálhatna, hogy így működik-e), akkor is legyen már valahol egy checkbox, ahol ezt a viselkedést lehet kapcsolgatni. Mert szerintem kényelem ide vagy oda, egy chat programnak semmi köze egy másik program belső vackaihoz.

Szerintem: Alapfeltevés legyen az, hogy a Skype kliens tárolja pl. a legutolsó session azonosítóját. Bejelentkezel a böngészőből. Aztán elindítod a Skype klienst. A kliens elküldi a legutolsó session azonosítóját a szervernek, ami ellenőrzi, hogy az ahhoz az azonosítóhoz tartozó session melyik felhasználóé volt. Ha azé, aki ugyanarról az IP-ről a böngészőből is be van jelentkezve, akkor a szerver egyből be tudja léptetni a Skype klienst is. Ennek egy kicsivel biztonságosabb változata, ha a Skype csak akkor lépteti be a felhasználót, ha a megfelelő jelszó is tárolva van a Skype kliensben.

:)

A session egy kapcsolathoz tartozik, nem adják körbe egymásnak a különböző kliensek. Jelen esetben egyébként nem olyan butaságra gondoltam, hogy valami webes skype felület sessionjét lopná el a program változat, hanem például más tetszőleges weboldal sessionjét ellophatja, vagy például a linkek próbálgatásánál a felhasználó nevében intézhet hívásokat a kiszolgálók felé. Ez pedig bűncselekmény kategória az itteni jog szerint.

Ezt te így látod. Az r=1 felhasználó meg örül, hogy egy gépen egyszer belép, és akár böngészőből, akár az alkalmazásból használja a szolgáltatást, mőködik, azonos session, azonos felhasználóként - nem pedig külön belépésként. Fapad webes SSO... :-P
A "mit tehetne még..."-re kérlek, hogy mutass példát, hogy megteszi. Amíg ilyen nincs, addig -ezen a vonalon továbbmenve- minden férfit megvádolhatsz nemi erőszakkal - a lehetősége ugyanis megvan rá :-D

Ugye a skype tud olyat, hogy eltárolja a jelszót. Szinte minden user úgy indítja a skype-ot, hogy kattint az ikonon, majd az elindul és belép. Mármint a 2. alkalomtól kezdve, mert először van a belépés.
Nem kell ehhez semmiféle SSO, meg egyéb nyavalya.

Plusz: mi van, ha a skype-ban el van tárolva X user, böngészőben pedig Y user van belépve? És mi van akkor, ha a különböző böngészőkben más-más néven van (vagy volt) belépve a user?

Értem én, de mondjuk így spec nem szívesen oldanám meg, mert nagyon szar ügynek hangzik. :) Ezer féle böngésző, meg mi van ha több van, esetleg be is van jelentkezve kettőbe, vagy a böngészőbe kellene belegyártani a natív kliens sessiönjét, bleh.

Akkor már inkább egy seamless skype plugin, amiből el lehet érni a korrekt helyre letett sessiont, vagy ilyesmi.

Csak feltételezésről van szó, de ha én csinálnám, akkor eszembe jutna, hogy a kliens indulásakor körülnézzen, van-e az adott usernek az adott gépen élő/valid session-adata, és akkor azzal (fapad SSO) authentikálnék a szerveren - és hogy ez új session, vayg épp a régi "átvétele" vagy párhuzamos elérése, az most irreleváns.

Az a baj ezekkel, hogy próbál okos lenni, aztán összes corner caseben (igazából inkább az összes nem teljesen alapvető esetben) majd valami faszság fog történni, beletesszük magunkat a gyerek sessionjébe, vagy egyéb ilyen baromság. Minden ilyesmi eredendően taknyolás, ha még kontrollálhatatlan is, az elég idegesítő.

(A hasonló okosabb vagyok nálad csimbasszója a kitalálom a nyelved, főleg, mikor annyira magabiztos vagyok benne, hogy még egy dropdownt se hagyok neked)

Csak feltételezésről van szó, de ha én csinálnám, akkor eszembe jutna, hogy a kliens indulásakor körülnézzen, van-e az adott usernek az adott gépen élő/valid session-adata, és akkor azzal (fapad SSO) authentikálnék a szerveren - és hogy ez új session, vayg épp a régi "átvétele" vagy párhuzamos elérése, az most irreleváns.

( gemnon v | 2015. 11. 01., v – 13:49 )

Proxy-t (azaz a beállításait), és a strings (remélem ez nem számít visszafejtésnek) azt mondja nem csak ott. :P Egyébként van benne egy észt telefonszám is, valószínűleg valamelyik eredeti fejlesztőé. :P 


.mozilla
prefs.js
network.proxy.ssl_port
network.proxy.ssl
.kde
kioslaverc
httpsProxy=http://
.opera
opera6.ini
HTTPS Server=
http_proxy

( Som-Som | 2015. 11. 01., v – 18:46 )

A megbízhatatlan programokat minimum Docker konténerben futtatja az ember, ahonnan eleve nem éri el a teljes fájlrendszert. Ez pár pillanat alatt megoldható: http://fabiorehm.com/blog/2014/09/11/running-gui-apps-with-docker/ (Esetleg "xhost +local:" is kellhet.)

De a Skype egy olyan progi, amit én még a saját gépemre vagy telómra sem mernék feltenni, nemhogy céges gépre.

Az szép. Mondjuk 2 baj van vele:
1. Nem feltétlenül bízom meg más docker image-ében. Dockerfile-ban még csak-csak, ha elolvasom. Nem mintha bármelyik disztró olyan megbízható volna.
2. A frissítések (pl. böngészőnél az igen fontos) problémásak. A legjobb talán minden új verziónál vagy naponta crontabból újragyártani az image-et. Ha a konténert soha nem töröljük (rm), viszont futtatáskor (exec) mindig frissítéssel kezdi (pl. apt-get upgrade), akkor... Akkor lassan indul, úgyhogy inkább a cuccal párhuzamosan kéne frissíteni... Na jó, akkor inkább crontab. Van valami jobb módszer, amíg a desktop disztók nem lépnek?

( mraron | 2015. 11. 01., v – 19:53 )

Fene a pofájukat! Skype frissítés nuku, oszt' még kémkednek is... :D

( BaT | 2015. 11. 01., v – 19:53 )

Szerintem csak a proxybeállításaidat keresi, bár elég ronda megoldás. Ugyanakkor az is igaz, hogy Linuxon nincs standard helye a proxybeállításoknak (szemben pl. Windows-zal).

( md | 2015. 11. 01., v – 20:02 )

Hello!

Szerintem még jó megoldás lehet, ha valami, a disztron fent lévő mac rendszerrel korlátozod.

Pl. ubi-hoz itt egy valaki által elkészített app-armor profil:
https://gist.github.com/AgentME/5640268

sudo aa-enforce /path/to/skype_profile

Érdekes, ebbe explicite deny-ra van rakva a ~/.mozzila

( zrubi v | 2015. 11. 02., h – 10:05 )

Sokkal inkább azt kérdezem, mit keresett a Skype a Firefox profil könyvtárában?

Elolvastad az EULA-t?? :

abban konkrétan le van írva, hogy MINDENT amit csak a gépeden talál begyűjt, elolvas, felhasznál, és akár másoknak elad/kiad.

https://www.microsoft.com/en-us/privacystatement/default.aspx

Továbbá milyen konténer megoldást javasoltok - lehetőleg gyakorlati útmutatóval, mert még nem használtam egyiket sem - a Skype szűk keretek közé szorításához?

uninstall.

Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion

--
zrubi.hu

abban konkrétan le van írva, hogy MINDENT amit csak a gépeden talál begyűjt, elolvas, felhasznál, és akár másoknak elad/kiad.

majd gelei elmagyarazza, miert jo ez neked...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Idézetek innen:

https://www.microsoft.com/en-us/privacystatement/default.aspx

"As part of providing these features, Microsoft collects usage data about your communications that includes the time and date of the communication and the numbers or usernames that are part of the communication. We may share or disclose data with other Microsoft-controlled subsidiaries and affiliates that may each, independently, use this data"

...

"In order to provide this computing experience, we collect data about you, your device, and the way you use Windows."

Számomra ez valójában MINDNE adatot jelent. Egy jogász meg amúgy is bármilyen szövegből bármilyen értelmet kicsikar - ez a dolga ;)

--
zrubi.hu

"As part of providing these features, Microsoft collects usage data about your communications that includes the time and date of the communication and the numbers or usernames that are part of the communication. We may share or disclose data with other Microsoft-controlled subsidiaries and affiliates that may each, independently, use this data"

Ez egyáltalán nem MINDEN, csak minden ami a kommunikációval kapcsolatos. Elvileg csak az időbélyegek, partnerek száma és usernevei. Persze ha leírod, hogy mit hol robbantanál fel bekopog nálad az NSA, de nem az EULA alapján. :)

"In order to provide this computing experience, we collect data about you, your device, and the way you use Windows."

Szerintem ebbe is nehezen fér bele, hogy áttúrja a bármilyen alkönyvtáramat főleg nem Linux alatt. A megfogalmazás erősen azt sugallja, hogy felhasználói szokásaimról, használt eszközömről és Windowsomról van szó.

?conspiracy on?
Nyilván mivel egy zárt szar, és pont azért vette meg a Microsoft, hogy az NSA belenézhessen az addig előtte P2P-en továbbított kódolt üzenetekbe, ezért azt csinál amit akar.
?conspiracy off?

Más kérdés, hogy ha olyasmit talál ami "csak" üzleti titok azzal még a Microsoft sem valószínű, hogy kezdene bármit is, mert ha kiderülne úgy széjjelperelnék, hogy nem maradna belőle semmi.

ha olyasmit talál ami "csak" üzleti titok

en meg mindig ott vagyok fennakadva, hogy hogy egyaltalan talalhat ilyet? Megnezi a scanner, vagy bela a microsoftnal, aztan, aha, ez uzleti titok, probaljuk elfelejteni, lassuk a kovetkezo file-t? De a legrosszabb az, hogy nincs leirva, mit es miert csinalnak, vo. a head snoop-ra is a nemetek *jottek ra*. Erre *meg* nem jottek ra. Lehet, hogy azert, mert nem igy csinaljak, de az is lehet, hogy idovel ez is ki fog derulni...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( sj | 2015. 11. 02., h – 10:19 )

ha a csetelesnel nem kell tobb, akkor a webes betajukat is kiprobalhatod...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Valamit elronthattam, mert ha terminálból indítom a normál felhasználómmal, akkor működik a linken leírt alias, és skype felhasználóval indul el a Skype.
Ha azonban "magától" indul újraindítás után, vagy KDE-ben ALT+F2-vel indítom, akkor a normál felhasználómmal fut.
Létrehoztam skype felhasználót és csoportot, beírtam a skype felhasználó ~/bashrc-jébe a 

export DISPLAY=":0.0"

sort, a felhasználóm (és a root) ~/.bashrc-jében beállítottam az aliast, ki-, majd visszajelentkeztem.
Hangom sincs most Skype alatt, de nem is hiányzik. :)

Mit kellene még beállítanom, vagy mit hagyhattam ki?

(Jól álcázott sub.)

Egyrészt a normál felhasználód nem fogja látni a root .bashrc-jében definiált aliast, miért is látná? Másrészt meg ha ott lenne is, szerintem a kde alt+f2-je szintén szarik a .bashrcre (bár ezt csak érzésre mondom). Csinálj neki valahova egy shellscriptet az alias helyett, és azt indítgass.

A hangra meg voltak utalások extra groupokra.

Elnézést, legközelebb gif-et csinálok. :)

Arra akartam kilyukadni, hogy bármikor is ránézek a feladatkezelőre a skype biztos azok között van, aki nagyon minimálisan is, de folyamatosan használja a disket. Íme egy mostani állapot

---------------------------------------
Devmeme - fejlesztői pillanatok

Valóban érdekes jelenség, őszintén szólva nem tudom mi rá a magyarázat, és hirtelen tippelni sem tudnék, ugyanis sem Linux desktopot, sem Firefoxot nem használtam már egy ideje. :(

Ami talán logikusan hangzott, hogy a proxybeállítások kereséséhez lehet köze, de megint csak nem tudom, hogy a Linux hol tárolja el a proxy elérési útját, vagy hogy van-e erre központi megoldás egyáltalán.

Csak ezt a két fájlt piszkálja?

szerk: még csak hasonlót sem találtam hirtelen a neten

( Fisher v | 2015. 11. 04., sze – 18:02 )

Szerintem valahol itt lehet a magyarázat:

"17:20:22,1636157","Skype.exe","5792","RegQueryValue","HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice\ProgId","SUCCESS","Type: REG_SZ, Length: 24, Data: FirefoxHTML"

Később mintha betöltené a ff-ot is, de ezt majd megnézi az, akit tényleg érdekel.