image

Корпорация Microsoft наконец решила проблему с IP адресами в своем мессенджере Skype. Еще четыре года назад было известно, что уязвимость в VoIP мессенджере позволяла злоумышленнику получать IP адреса пользователей в сервисе. Несмотря на то, что Microsoft относительно недавно предоставила возможность пользователям скрывать свой IP, только сейчас эта опция стала дефолтной.

Тяжелее всего приходилось геймерам и стримерам (и тем более геймерам-стримерам). Противники игрока всегда могли вычислить его IP, и осуществить DDoS атаку, выбрасывая геймера из системы. Изначально злоумышленнику нужен был Skype ID, после чего этот идентификатор при помощи сервиса резолвился в IP.

Действия Microsoft, безусловно, нельзя назвать быстрыми. Тем не менее, стоит помнить, что компания приобрела Skype в 2011 году, когда это был преимущественно peer-to-peer мессенджер. С тех пор корпорация работала над тем, чтобы сменить платформу на собственную, на Messenger. При этом необходимо было беспокоиться еще и о том, чтобы сервис оставался в рабочем состоянии, и миллионы пользователей не испытывали проблем (хотя и такое случалось).

Последние версии Skype с фиксом можно найти здесь.

Комментарии (29)


  1. GraDea
    22.01.2016 14:16
    +1

    Прочитав заголовок, не понял, что это за «IP адреса по умолчанию» и зачем их скрывать.


    1. istui
      22.01.2016 14:57

      Давно пора!

      Отвечая на ваш вопрос — у скайпа долгое время была возможность определить IP-адрес абонента, включенная по умолчанию для всех (а не только для контакт-листа абонента). На Хабре этот вопрос обсуждался много раз, поэтому заголовок ИМХО большинство аудитории корректно разобьет на лексемы «скрывать IP адреса» и «начал по умолчанию» :)


  1. Just_Wah
    22.01.2016 15:00

    про Messanger не уловил, если честно. Этот проект закрыт, насколько я помню.


  1. Eklykti
    22.01.2016 15:31
    +2

    1. Кидаем юзеру ссылку.
    2. Ждём, пока он по ней сходит.
    3. Читаем IP из логов веб-сервера.


    1. istui
      22.01.2016 17:19
      +4

      я не кликну, например, и много еще кто :) плюс сообщения от незнакомых можно блокировать.
      А тут все утекало без участия пользователя.


    1. istui
      22.01.2016 17:20

      я не кликну, например, и много еще кто + прием сообщений от незнакомых контактов можно отключить.
      А тут все утекало без участия пользователя.


    1. scumware
      22.01.2016 21:43
      +1

      А зачем ходить по какой-то левой ссылке, тем более от малознакомого человека.


      1. Eklykti
        22.01.2016 21:44

        Ну это тебе кажется, что «зачем», а обычный неподготовленный юзер вполне себе сходит.


        1. terryP
          23.01.2016 01:14
          +3

          Обычный неподготовленны юзер и на фишинговой странице сам все свои данные введет и лично загрузит троян, дав ему права админа. Если кто-то очень «хочет» чтобы его хакнули, никакая защита не спасет. Переход по подозрительной ссылке уже относится к категории «сам себе злобный буратино».


    1. Mark29
      23.01.2016 11:12

      1. По вашей логике — не «юзеру», а «лопуху».
      2. Юзеры отписались с пояснениями вам ниже :)
      3. Опыт — он тоже стОит. Кому-то рубль, кому-то миллион.


  1. SergeyGrigorev
    22.01.2016 17:07
    +11

    Поддержка скайпа в Linux просто ужасна. Мне когда присылают картинки в общий чат, то приходится переходить по ссылке на веб-версию, чтобы ее увидеть. Причем там красуется надпись, что надо обновить версию скайпа на более новую. Но у меня и так она самая свежая, которая только есть на сайте Microsoft (((


    1. terryP
      23.01.2016 01:21

      Логично, что Microsoft старается что с Linuxовым скайпом получается как с ежиками и кактусом. Радует что хотя бы web версия скайпа везде работает одинаково, а не только в IE нормально.


    1. justaguest
      23.01.2016 12:22

      А вы пробовали плагин к pidgin skype-for-web? Я правда не пытался с картинками, но во-первых pidgin более общий мессенджер с кучей протоколов, во-вторых ест меньше памяти, в третьих там есть фича, отсутствующая в оригинальном скайпе — можно форматировать сообщения. Причем по последнему: что интересно, в скайпе форматирование отображается корректно.


      1. Askon
        23.01.2016 12:45
        +1

        Там ещё и OTR нормально работает.


  1. IRainman
    22.01.2016 17:12

    Интересно, а с этим скрытием адресов ничего нигде не отвалилось? Просто я более чем уверен, что так долго этот «баг» оставляли потому что он был «фичей» и для чего-то был нужен самому сервису. Возможно, конечно, что это просто наследие p2p архитектуры и не более.


    1. istui
      22.01.2016 17:22

      «прямой» ip нужен для прямой передачи трафика от абонента к абоненту минуя серверы скайпа. Просто сейчас по умолчанию ваш адрес будет доступен только вашему контакт-листу. Незнакомые контакты не смогут узнать ip без вашего участия (про «социнжиниринг» написали выше)


      1. IRainman
        23.01.2016 13:15

        Это понятно, в общем верно ниже написали, похоже это следствие полного отказа от p2p.


  1. shifttstas
    22.01.2016 18:47
    +7

    Читать данную новость нужна следующим образом: SKype полностью отказался от распределенной структуры, пользователям предлагаю пройти в wireshark и проверить это, есть подозрение что даже простые P2P операция перенесли на сервер.


    1. tyderh
      23.01.2016 01:02
      +1

      Понятно, почему он начал безбожно рвать коннект.

      //Перешел на firefox hello — качество связи лучше.


    1. Gorily
      23.01.2016 10:19
      +1

      Skype не менял архитектуру, просто установил по умолчанию галочку, которая раньше была снята и ставилась опционально. По идее, для вас и вашего списка контактов ничего не поменялось и коннект должен проходить как и раньше — напрямую.
      Функция скрытия IP адреса для абонентов не из списка контактов существует давно, как и проброс звонков не напрямую, а через их сервера.
      Другое дело, что:
      1. Когда ещё все клиенты обновятся? Многие умышленно сидят на древних версиях скайпа, которые их полностью устраивают. Опять же, читал в других источниках о том, что те же встроенные в телефоны (которые Skype-фоны), телевизоры и прочее железо версии обновятся не скоро или вообще больше не поддерживаются.
      2. Выше был вариант со ссылкой, но и просто отправив с неизвестного аккаунта запрос на добавление в друзья с хорошо продуманной фразой с высокой долей вероятности даст хороший результат.
      Сейчас для большинства пользователей эта новость будет звучать так: «обнови скайп -> тебя нельзя будет вычислить по IP и набить...» На самом деле новость звучит так: «поставь галочку в настройках и не добавляй в контакты левые личности».


    1. d7s2di
      25.01.2016 10:43

      >SKype полностью отказался от распределенной структуры
      Не удивительно. Микрософт действует по принципу «embrace, extend and extinguish».


  1. nikitasius
    22.01.2016 20:22
    +4

    Время ставить Tox!
    Там ваш IP узнает только ваш друг, как и прочитает переписку. У нас там уютный чатик.
    А то, что вы пишите доступно только вам и собеседнику, а ни Паше, ни Билли, ни Мейлору, ни бравому милицейскому!


    1. symbix
      23.01.2016 15:31
      +1

      Я-то поставил, вот только беседовать в нем получится только с друзьями-гиками. :( Бизнес-партнеров и заказчиков на него не переведешь.


      1. nikitasius
        23.01.2016 17:38
        +1

        С чего это?

        Я вообще не понимаю, зачем нужны какие доводы, когда есть:

        • Вашу переписку читаете только ВЫ и никто более.
        • О Факте вашей переписке знаете только ВЫ (спасибо onion).

        Неужели всем насрать на свою приватность, pardonne-moi?


        1. Lure_of_Chaos
          23.01.2016 18:23

          Да.
          1. Мне нечего скрывать
          2. Владельцы не знают\не читают\не отдадут историю переписки
          3. Зачем мне N+1 мессенжер только для одного контакта? У тебя дешевые понты!
          4. Не знаю и не хочу знать.

          Основным аргументом, конечно, всегда является лень (п.3): у меня есть все, но нет Этого, не хочу ничего устанавливать, пошли «там» пообщаемся!


          1. nikitasius
            24.01.2016 02:23

            Дык, создавать новые стандарты. Никакого общения в публичных чатиках и путь клиенты под это пляшут.
            С партнерами — тут уже смотря на серьезность переговоров и масштаб компании. Я к тому, что можно и видео конференцию провести через внутренний сервер и секьюрность не пострадает.


            1. symbix
              24.01.2016 05:36
              +1

              Если вы можете себе позволить обходиться только теми клиентами, которые согласятся «плясать» под ваши условия, я вам искренне завидую!

              Если бы я попробовал так сделать, я бы, наверное, уже помер с голодухи :-)


              1. nikitasius
                24.01.2016 21:56

                Так клиент соглашается на условия, договор, и т.д.

                Вообще вопрос секьюрности вы сами и должны диктовать, и клиент должен понимать, по роду деятельности.

                Если у вас там миллиарды, а сейчас голодных ртов все больше и больше, то и ежу понятно, что надо или через внутренний сервер или через токс.

                Если вы фломастеры продаете или картошку — можно и в аське висеть.


  1. gospodinmir
    25.01.2016 11:01

    Без мнения zhovner не разобраться.