[Flug][OT] SKYPE OGGI Summer Day = 20 minuti di telefonate GRATIS!
leonardo
billtorvalds1@yahoo.it
Ven 11 Ago 2006 14:39:10 CEST
--- Marco Ermini <markoer@markoer.org> ha scritto:
rispondo ad un paio di questioni poi basta perche' mi
interessa il giusto.
>
> Solo su una cosa non sono d'accordo: io lo trovo
> *assolutamente
> geniale*. Lo è. E' praticamente imbloccabile, perché
> non presenta
> patter chiaramente riconoscibili e bloccabili nel
> traffico rete.
Il punto e' che se un protocollo e' chiuso non e'
tanto difficile fare una cosa del genere, visto che lo
puoi cambiare come ti pare. Un esempio banale, prova a
prendere un flusso come IPSec, senza sapere che roba
e' e trovarci dei pattern.
Si chiama security through obscurity, o in questo
caso, "aggiramento di firewall through obscurity".
Funziona fino a quando qualcuno piu' furbo di te
riesce a fare del reverse engeneering.
giusto per la cronaca, lavoro in un laboratorio di
telecomunicazioni, prima che tu mi risponda che non so
di cosa sto parlando.
> purtroppo gli altri programmi Open Source (o meno)
> che ci sono in
> giro, non gli legano nemmeno le scarpe. Non ci
e questo e' diretta conseguenza di quanto detto.
Ma, se il protocollo e' chiuso (e quindi lo e' anche
il sorgente) ti porti appresso una serie di svantaggi,
tra cui i seguenti...
> talvolta non trovo
> che sia così male poter "sfuggire" al controllo del
> tuo amministratore
> di rete per poter comunicare come diavolo ti pare e
> a chi ti pare
> senza essere controllato.
... a parte i progettisti di skype, the non ti dicono
come funziona l'algoritmo di cifratura (snake oil?).
> (http://secunia.com/advisories/17305).
>
> Bah, questa è una francamente una idiozia (DoS?
> dimmi *chi* NON ne è
> affetto... hanno semplicemente trovato il modo di
> applicarlo, e
> comunque si riferisce a versioni preistoriche di
> Skype).
Se tu leggessi fino in fondo, magari scopriresti che
forse non e' proprio una grande idiozia:
3) An integer overflow error exists when allocating
memory in response to certain received Skype client
network UDP packet. This can be exploited to cause a
heap-based buffer overflow via a specially-crafted UDP
packet.
Successful exploitation crashes the Skype client. It
has been reported that the vulnerability is also
exploitable via TCP and allows arbitrary code
execution via overwritten function pointers on the
heap.
> mesi di ritardo. Ma non lo vedo un grande argomento
> contro Skype in
> particolare, ma contro il sw closed source in
> generale.
E qui si ritorna al punto di partenza. Perche' skype
ti piace tanto? perche' ha delle caratteristiche che
sono conseguenza diretta dell'essere closed source, ma
come ben sappiamo questo si porta dietro parecchi
problemi.
giusto per finire, se proprio non ti fidi di me cerca
in rete l'opinione di Phil Zimmerman su skype.
ciao,
leonardo.
Chiacchiera con i tuoi amici in tempo reale!
http://it.yahoo.com/mail_it/foot/*http://it.messenger.yahoo.com
Maggiori informazioni sulla lista
flug