SlideShare a Scribd company logo

Казьмірчук Р.Р. (06.03.2012)

Download as PPTX, PDF
G
garasym
Education
1 of 14
• Skype — це програмне забезпечення з закритим кодом, і має не стандартизований протокол, а приватний, що викликало підозру і потягло за собою деяку критику від розробників програмного забезпечення і користувачів. • Інтерфейс користувача у середовищі Windows був розроблений на Pascal використовуючи Delphi, версія Linux була написана на C++, а для Mac OS на Objective- C та Cocoa. Частини клієнту використовують Internet Direct (Indy) як бібліотеку з відкритим програмним кодом для комунікації сокетів.
Головна відмінність між Skype та іншими клієнтами VoIP є те, що Skype діє на моделі peer-to-peer, замість більш традиційної моделі клієнт-сервер. Довідник користувачів Skype повністю децентралізований і розповсюджується серед вузлів в мережі, що означає, що мережа може зростати до великих розмірів дуже легко (на початок 2010 — понад 500 мільйонів користувачів) без ускладнень та дорогої централізованої інфраструктури. Skype також перенаправляє виклики через інші Skype у мережі, щоб полегшити обхід Symmetric NAT та брандмауерів.
Skype використовує тип шифрування AES (Advanced Encryption Standard), також відомий як Rijndael. Skype користується 256-бітовим шифруванням, яке забезпечує 1,1 x 1077 можливих ключів, для шифрування даних дзвінків і повідомлень. Skype використовує 1024 бітний RSA для підпису симетричних AES ключів. Публічні ключі користувачів сертифікуються сервером Skype при підключенні до мережі 1536 або 2048-бітними RSA сертифікатами. Всі дані профілю в загальній директорії мають цифровий підпис. Цифровий підпис оснований на використанні двох ключів - публічному і приватному. Публічний використовується для шифрування даних (скремблювання), так що тільки користувач з правильним приватним ключем зможе їх прочитати.
Skype не так легко зламати. Після дослідження VoIP та інших модулів Skype v5.x.x було знайдено декілька вразливостей нульового дня. Щоб визначити подібні вразливості, порушник повинен знайти певні вузли програмного забезпечення, де виконуються скрипти або команди. Після визначення бага, порушник повинен перевірити, чи може цей баг використовуватися віддалено (багато з подібних вразливостей можуть бути використані тільки локально). • Знайти / визначити уразливість • проаналізувати уразливість • Перевірити уразливість (віддалено здійсненне / локально здійсненне) • використовувати уразливість
В результаті тестувань було виявлено такі вразливості в останніх версіях програми: • Skype v5.3.x v2.2.x v5.2.x - відмова в обслуговуванні (локально і віддалено) (Linux, Windows, Mac) *Середній *-] • Skype 5.3. X 2.2.x 5.2.x - програмний баг (локальний і віддалений) (Linux, Windows, Mac) *Високий *-] • Skype v5.2.x and v5.3.x - компрометація пам'яті (Local) (Linux, Windows, Mac) *середній+ • Skype v5.3.x - переповнення буферу (віддалено) (Windows) *високий+ • Skype 5.3.x 2.2.x 5.2.x - вразливість XSS профілю (локально і віддалено) (Linux, Windows, Mac) *високий+ З них платформонезалежними є чотири.
Уразливість дозволяє порушнику віддалено виконувати скрипти через поля введення в профілі користувача. Її використання може призвести до крадіжки сесійного інформації користувача або виконання шкідливого скрипта при огляді активних користувачів. Схема роботи: Установка => Вхід => зміна значення номера телефону (Script Code HTML / JS) => збереження => оновлення сторінки з даними користувача PoC: "> <iframe src='' onload=alert('mphone')>
Необхідно в режимі групового дзвінка, після того як співрозмовник відключив свій мікрофон в Skype, відключити підключення до Інтернет. Потім, коли з'явиться повідомлення «Hold on while we try to get the call back» потрібно повернути підключення до Інтернет і дочекатися відновлення дзвінка. Після цього можна буде чути розмову співрозмовника, причому він не буде знати, що його мікрофон включений і передає всі звуки. При звичайному парній розмові перед відключенням від Інтернет у вікно чату можна ввести команду /add echo123, тоді розмова стане груповою і з'являється можливість експлуатації вразливості.
Інформація всіх профілів скайпу разом з листуванням зазвичай зберігається тут: • C: Documents and Settings Администратор Application Data Skype ..... Для того, щоб прочитати переписку іншого профілю необхідно: 1) при вимкненому скайпі потрібно скопіювати всі файли з чужого профілю в свій профіль; 2) при запуску скайпу зі своїм (вже зміненим) профілем потрібно в момент відкриття вікна скайпу встигнути відключити мережевий кабель інтернету. Якщо підключення до інтернету через Wi-Fi то відповідно треба встигнути відключити Wi-Fi модем, тоді ваш профіль який зберігається на сервері Skype не встигне оновитися і ви побачите всі контакти і листування чужого профілю!
Витяг з ліцензійних умов користування: • 5.3 Updates to the Sofware: You may be required to enter into an updated version of these Terms to be able to download or otherwise take advantage of any Updates. Skype has no obligation to make available any Updates. However, Skype may in its sole discretion require you to automatically download and install Updates from time to time in order to allow you to use the Software and you agree to accept such Updates subject to these Terms.
Казьмірчук Р.Р. (06.03.2012)

Recommended

Angket validasi bahan ajar
Angket validasi bahan ajarAngket validasi bahan ajar
Angket validasi bahan ajarHanna Nurfarida
 
proposal
proposalproposal
proposaltonysasmita123
 
Bab i,v
Bab i,vBab i,v
Bab i,vkautsareka
 
Angket validasi bahan ajar
Angket validasi bahan ajarAngket validasi bahan ajar
Angket validasi bahan ajarHanna Nurfarida
 
Skype
SkypeSkype
SkypeVictoria Melnichuk
 
Skype
Skype Skype
Skype Anastasia Kotyash
 
Skype microsoft power point
Skype microsoft power pointSkype microsoft power point
Skype microsoft power pointAnastasia Kotyash
 
Aspnet core
Aspnet coreAspnet core
Aspnet coreeleksdev
 

Recommended

Angket validasi bahan ajar
Angket validasi bahan ajarAngket validasi bahan ajar
Angket validasi bahan ajarHanna Nurfarida
 
proposal
proposalproposal
proposaltonysasmita123
 
Bab i,v
Bab i,vBab i,v
Bab i,vkautsareka
 
Angket validasi bahan ajar
Angket validasi bahan ajarAngket validasi bahan ajar
Angket validasi bahan ajarHanna Nurfarida
 
Skype
SkypeSkype
SkypeVictoria Melnichuk
 
Skype
Skype Skype
Skype Anastasia Kotyash
 
Skype microsoft power point
Skype microsoft power pointSkype microsoft power point
Skype microsoft power pointAnastasia Kotyash
 
Aspnet core
Aspnet coreAspnet core
Aspnet coreeleksdev
 
служби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнямислужби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнямиЛеся Загдай
 
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХ
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХ
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХVinnytsia Regional Universal Scientific Library named after Valentin Otamanovsky
 
Урок 1
Урок 1Урок 1
Урок 1Andrey Podgayko
 
8 клас урок 7
8 клас урок 78 клас урок 7
8 клас урок 7Александр Карпук
 
.NET Platform. C# Basics
.NET Platform. C# Basics.NET Platform. C# Basics
.NET Platform. C# Basicseleksdev
 
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Lesia Sobolevska
 
10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнями10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнямиStAlKeRoV
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)Anatoliy Okhotnikov
 
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Ukraine
 
6
66
6maksi100
 
Jenkins CI (ukr)
Jenkins CI (ukr)Jenkins CI (ukr)
Jenkins CI (ukr)Anatoliy Okhotnikov
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded Systemitconnect2016
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...Oleksandr Drach
 
Мови програмування
Мови програмуванняМови програмування
Мови програмуванняAlyona Tribko
 
вашенюк
вашенюквашенюк
вашенюкOleg Nazarevych
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk Fwdays
 
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для CamundaСвятослав Надозирний
 
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програмістаAnatoliy Odukha
 
програміст (1)
програміст (1)програміст (1)
програміст (1)123467890qq
 
GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014garasym
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013garasym
 

More Related Content

Similar to Казьмірчук Р.Р. (06.03.2012)

служби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнямислужби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнямиЛеся Загдай
 
.NET Platform. C# Basics
.NET Platform. C# Basics.NET Platform. C# Basics
.NET Platform. C# Basicseleksdev
 
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Lesia Sobolevska
 
10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнями10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнямиStAlKeRoV
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)Anatoliy Okhotnikov
 
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Ukraine
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded Systemitconnect2016
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...Oleksandr Drach
 
Мови програмування
Мови програмуванняМови програмування
Мови програмуванняAlyona Tribko
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk Fwdays
 
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програмістаAnatoliy Odukha
 
програміст (1)
програміст (1)програміст (1)
програміст (1)123467890qq
 

Similar to Казьмірчук Р.Р. (06.03.2012) (20)

служби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнямислужби миттєвого обміну повідомленнями
служби миттєвого обміну повідомленнями
 
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХ
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХ
ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА В МЕСЕНДЖЕРАХ
 
Урок 1
Урок 1Урок 1
Урок 1
 
8 клас урок 7
8 клас урок 78 клас урок 7
8 клас урок 7
 
.NET Platform. C# Basics
.NET Platform. C# Basics.NET Platform. C# Basics
.NET Platform. C# Basics
 
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7
 
10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнями10 клас.Урок 25. Служби миттєвого обміну повідомленнями
10 клас.Урок 25. Служби миттєвого обміну повідомленнями
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)
 
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
 
6
66
6
 
Jenkins CI (ukr)
Jenkins CI (ukr)Jenkins CI (ukr)
Jenkins CI (ukr)
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded System
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
 
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
 
Мови програмування
Мови програмуванняМови програмування
Мови програмування
 
вашенюк
вашенюквашенюк
вашенюк
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
 
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для Camunda
 
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програміста
 
програміст (1)
програміст (1)програміст (1)
програміст (1)
 

More from garasym

GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014garasym
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013garasym
 
GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013garasym
 
GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013garasym
 
GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013garasym
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013garasym
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013garasym
 
E government ukraine-v05_ay
E government ukraine-v05_ayE government ukraine-v05_ay
E government ukraine-v05_aygarasym
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_aygarasym
 
список учасників 2013
список учасників 2013список учасників 2013
список учасників 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...garasym
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXПуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXgarasym
 
Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)garasym
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)garasym
 
Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)garasym
 
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)garasym
 
Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)garasym
 

More from garasym (20)

GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013
 
GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013
 
GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013
 
GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013
 
E government ukraine-v05_ay
E government ukraine-v05_ayE government ukraine-v05_ay
E government ukraine-v05_ay
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ay
 
список учасників 2013
список учасників 2013список учасників 2013
список учасників 2013
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
 
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXПуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
 
Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)
 
Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)
 
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
 
Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)
 

Recently uploaded

О.Духнович - пророк народної правди. Біографія
О.Духнович - пророк народної правди. БіографіяО.Духнович - пророк народної правди. Біографія
О.Духнович - пророк народної правди. БіографіяAdriana Himinets
 
Хімічні елементи в літературних творах 8 клас
Хімічні елементи в літературних творах 8 класХімічні елементи в літературних творах 8 клас
Хімічні елементи в літературних творах 8 класkrementsova09nadya
 
Відкрита лекція на тему «Біологічний захист рослин у теплицях»
Відкрита лекція на тему «Біологічний захист рослин у теплицях»Відкрита лекція на тему «Біологічний захист рослин у теплицях»
Відкрита лекція на тему «Біологічний захист рослин у теплицях»tetiana1958
 
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»tetiana1958
 
Р.Шеклі "Запах думки". Аналіз оповідання
Р.Шеклі "Запах думки". Аналіз оповіданняР.Шеклі "Запах думки". Аналіз оповідання
Р.Шеклі "Запах думки". Аналіз оповіданняAdriana Himinets
 
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...Принципові відмінності досконалої (повної) конкуренції від інших форм організ...
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...JurgenstiX
 
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdf
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdfupd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdf
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdfssuser54595a
 

Recently uploaded (10)

О.Духнович - пророк народної правди. Біографія
О.Духнович - пророк народної правди. БіографіяО.Духнович - пророк народної правди. Біографія
О.Духнович - пророк народної правди. Біографія
 
Хімічні елементи в літературних творах 8 клас
Хімічні елементи в літературних творах 8 класХімічні елементи в літературних творах 8 клас
Хімічні елементи в літературних творах 8 клас
 
Віртуальна виставка «Аграрна наука України у виданнях: історичний аспект»
Віртуальна виставка «Аграрна наука України у виданнях: історичний аспект»Віртуальна виставка «Аграрна наука України у виданнях: історичний аспект»
Віртуальна виставка «Аграрна наука України у виданнях: історичний аспект»
 
Її величність - українська книга презентація-огляд 2024.pptx
Її величність - українська книга презентація-огляд 2024.pptxЇї величність - українська книга презентація-огляд 2024.pptx
Її величність - українська книга презентація-огляд 2024.pptx
 
Віртуальна виставка нових надходжень 2-24.pptx
Віртуальна виставка нових надходжень 2-24.pptxВіртуальна виставка нових надходжень 2-24.pptx
Віртуальна виставка нових надходжень 2-24.pptx
 
Відкрита лекція на тему «Біологічний захист рослин у теплицях»
Відкрита лекція на тему «Біологічний захист рослин у теплицях»Відкрита лекція на тему «Біологічний захист рослин у теплицях»
Відкрита лекція на тему «Біологічний захист рослин у теплицях»
 
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»
Відкрита лекція на тему «Контроль бур'янів в посівах соняшника»
 
Р.Шеклі "Запах думки". Аналіз оповідання
Р.Шеклі "Запах думки". Аналіз оповіданняР.Шеклі "Запах думки". Аналіз оповідання
Р.Шеклі "Запах думки". Аналіз оповідання
 
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...Принципові відмінності досконалої (повної) конкуренції від інших форм організ...
Принципові відмінності досконалої (повної) конкуренції від інших форм організ...
 
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdf
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdfupd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdf
upd.18-04-UA_REPORT_MEDIALITERAСY_INDEX-DM_23_FINAL.pdf
 

Казьмірчук Р.Р. (06.03.2012)

  • 1.
  • 2. • Skype — це програмне забезпечення з закритим кодом, і має не стандартизований протокол, а приватний, що викликало підозру і потягло за собою деяку критику від розробників програмного забезпечення і користувачів. • Інтерфейс користувача у середовищі Windows був розроблений на Pascal використовуючи Delphi, версія Linux була написана на C++, а для Mac OS на Objective- C та Cocoa. Частини клієнту використовують Internet Direct (Indy) як бібліотеку з відкритим програмним кодом для комунікації сокетів.
  • 3. Головна відмінність між Skype та іншими клієнтами VoIP є те, що Skype діє на моделі peer-to-peer, замість більш традиційної моделі клієнт-сервер. Довідник користувачів Skype повністю децентралізований і розповсюджується серед вузлів в мережі, що означає, що мережа може зростати до великих розмірів дуже легко (на початок 2010 — понад 500 мільйонів користувачів) без ускладнень та дорогої централізованої інфраструктури. Skype також перенаправляє виклики через інші Skype у мережі, щоб полегшити обхід Symmetric NAT та брандмауерів.
  • 4. Skype використовує тип шифрування AES (Advanced Encryption Standard), також відомий як Rijndael. Skype користується 256-бітовим шифруванням, яке забезпечує 1,1 x 1077 можливих ключів, для шифрування даних дзвінків і повідомлень. Skype використовує 1024 бітний RSA для підпису симетричних AES ключів. Публічні ключі користувачів сертифікуються сервером Skype при підключенні до мережі 1536 або 2048-бітними RSA сертифікатами. Всі дані профілю в загальній директорії мають цифровий підпис. Цифровий підпис оснований на використанні двох ключів - публічному і приватному. Публічний використовується для шифрування даних (скремблювання), так що тільки користувач з правильним приватним ключем зможе їх прочитати.
  • 5. Skype не так легко зламати. Після дослідження VoIP та інших модулів Skype v5.x.x було знайдено декілька вразливостей нульового дня. Щоб визначити подібні вразливості, порушник повинен знайти певні вузли програмного забезпечення, де виконуються скрипти або команди. Після визначення бага, порушник повинен перевірити, чи може цей баг використовуватися віддалено (багато з подібних вразливостей можуть бути використані тільки локально). • Знайти / визначити уразливість • проаналізувати уразливість • Перевірити уразливість (віддалено здійсненне / локально здійсненне) • використовувати уразливість
  • 6. В результаті тестувань було виявлено такі вразливості в останніх версіях програми: • Skype v5.3.x v2.2.x v5.2.x - відмова в обслуговуванні (локально і віддалено) (Linux, Windows, Mac) *Середній *-] • Skype 5.3. X 2.2.x 5.2.x - програмний баг (локальний і віддалений) (Linux, Windows, Mac) *Високий *-] • Skype v5.2.x and v5.3.x - компрометація пам'яті (Local) (Linux, Windows, Mac) *середній+ • Skype v5.3.x - переповнення буферу (віддалено) (Windows) *високий+ • Skype 5.3.x 2.2.x 5.2.x - вразливість XSS профілю (локально і віддалено) (Linux, Windows, Mac) *високий+ З них платформонезалежними є чотири.
  • 7.
  • 8.
  • 9. Уразливість дозволяє порушнику віддалено виконувати скрипти через поля введення в профілі користувача. Її використання може призвести до крадіжки сесійного інформації користувача або виконання шкідливого скрипта при огляді активних користувачів. Схема роботи: Установка => Вхід => зміна значення номера телефону (Script Code HTML / JS) => збереження => оновлення сторінки з даними користувача PoC: "> <iframe src='' onload=alert('mphone')>
  • 10.
  • 11. Необхідно в режимі групового дзвінка, після того як співрозмовник відключив свій мікрофон в Skype, відключити підключення до Інтернет. Потім, коли з'явиться повідомлення «Hold on while we try to get the call back» потрібно повернути підключення до Інтернет і дочекатися відновлення дзвінка. Після цього можна буде чути розмову співрозмовника, причому він не буде знати, що його мікрофон включений і передає всі звуки. При звичайному парній розмові перед відключенням від Інтернет у вікно чату можна ввести команду /add echo123, тоді розмова стане груповою і з'являється можливість експлуатації вразливості.
  • 12. Інформація всіх профілів скайпу разом з листуванням зазвичай зберігається тут: • C: Documents and Settings Администратор Application Data Skype ..... Для того, щоб прочитати переписку іншого профілю необхідно: 1) при вимкненому скайпі потрібно скопіювати всі файли з чужого профілю в свій профіль; 2) при запуску скайпу зі своїм (вже зміненим) профілем потрібно в момент відкриття вікна скайпу встигнути відключити мережевий кабель інтернету. Якщо підключення до інтернету через Wi-Fi то відповідно треба встигнути відключити Wi-Fi модем, тоді ваш профіль який зберігається на сервері Skype не встигне оновитися і ви побачите всі контакти і листування чужого профілю!
  • 13. Витяг з ліцензійних умов користування: • 5.3 Updates to the Sofware: You may be required to enter into an updated version of these Terms to be able to download or otherwise take advantage of any Updates. Skype has no obligation to make available any Updates. However, Skype may in its sole discretion require you to automatically download and install Updates from time to time in order to allow you to use the Software and you agree to accept such Updates subject to these Terms.