Hi,
grad was interessantes (und erschreckendes, wenns stimmt) bei slashdot.org gelesen:
slashdot.org hat geschrieben:

„Users of Skype for Linux have just found out that it reads the files /etc/passwd, firefox profile, plugins, addons, etc, and many other unnecessary files in /etc. This fact was originally discovered by using AppArmor, but others have confirmed this fact using strace on versions 1.4.0.94 and 1.4.0.99. What is going on? This probably shows how important it is to use AppArmor in any closed-source application in Linux to restrict any undue access to your files.“

Link: http://yro.slashdot.org/yro/07/08/26/1312256.shtml

Sollte sich rausstellen dass das tatsächlich stimmt wäre das einmal mehr ein Argument für eine der Schwächen von Closed Source.
Natürlich käme es in dem Falle dann auch nicht mehr auf meinen Rechner.

Ich bin ja mal gespannt. Manche andere Programme (wie Pidgin) greifen ja angeblich (hab den Code nicht gelesen) auch auf die Datei zu. Nur verstehe ich nicht wozu er die Firefox Addons / etc. ausliest.

grüße

Naja, die passwd ist OK, die wird ja ausgelesen, wenn man nur ls -la in ~ eingibt, oder wenn man in nem Programm das Home-Verzeichnis herausfindet (mit Python getestet).

Geht ohne Probleme mit

strace programmname > programmname.strace 2>&1

Und dann durch die Datei greppen (ist nen bissl zu groß um alles anzuschauen…)
Von Firefox finde ich in den Logs bei mir nix (hab aber mit Skype in der Zeit nicht viel gemacht)!

mfg

PS: In der passwd sind schon lange keine Passwörter mehr, die sind in /etc/shadow

Bin ja mal gespannt was dabei rauskommt.

Gab ja vorher schon einen Aufschrei wegen „Skype ließt Bios aus“.

Erst Kazza, dann Skype und der Joost Hype geht auch langsam schon los.

Besser

strace programmname -o programmname.strace

Dann wird das Schreiben der Aufzeichnung nicht aufgezeichnet

hellboy195 hat geschrieben:

Wie erst kürzlich bekannt wurde, greift die Linuxversion der beliebten VoIP-Software Skype auf Informationen zu den Nutzerkonten und auf andere Daten des Benutzers zu. Mithilfe der Sicherheitssoftware AppArmor konnte ein Zugriff von Skype auf die Daten festgestellt werden und wurde auch schon mit dem Debbugingtool strace bestätigt. Die betroffenen Versionen sind 1.4.0.94 und 1.4.0.99.

Der Zugriff betrifft im Detail Daten aus der /etc/passwd, sowie Profile, Erweiterungen und Plugins von Firefox. Der Zugriff auf /etc/passwd ist dabei normal bzw. nicht gefährlich, da hierin keine Passwörter mehr stehen, und selbst wenn, diese verschlüsselt wären. Im Forum von Skype häufen sich aber die Bestätigungen und Vorwürfe. Eine Reaktion des Herstellers wird erwartet bzw. von den Benutzern gefordert.

Die Erkenntnisse über die „Spionage“ wirft die Frage auf, ob es notwendig ist, auch eine Firewall unter GNU/Linux zu nutzen. In diesem Fall jedoch nicht, um Angriffe von außen abzuwehren, sondern um Closed Source-Software daran zu hindern,den eigenen Rechner auszuspionieren oder anderweitig unerwünschte Daten zu senden.

Sollte ein Nutzer nicht das Wissen und das Verständniss dazu haben, Programme wie AppArmor , welches aber der nächsten Ubuntu-Version Gutsy Gibbon bereits mitinstalliert wird, zu nutzen, sei geraten, fremde Paketquellen zu meiden und ausschließlich Open Source-Software zu nutzen, bei denen dieses Problem vielleicht nicht ganz vermieden werden kann, aber zumindest schneller gefunden wird.

Quelle: Slashdot

Ikhaya-Beitrag: Spioniert Skype uns aus?

Man sollte das Internet wieder abschaffen.
Mit Computern ist es manchmal fast wie mit den Frauen: Man braucht sie, um Probleme zu lösen, die man ohne sie gar nicht hätte

Aber im Ernst. Ich finde Linux allein schon deshalb so toll, weil man eben keine Firewall benötigt und weil es eben nicht (so häufig) von Viren befallen wird. Dieser Umstand gibt mir ein sicheres Gefühl.
Wenn jetzt aber Programme wie Skype schon sowas wie Spionage betreiben, warum soll ich dann dem Internet, bzw., Linux, noch trauen?

Schade, sehr schade, das alles. :

Bevor die grosse Panik ausbricht:

Mit diesem Artikel wird eigentlich nur Panik geschührt… Praktisch jedes Programm schaut sich die /etc/passwd an. Dort steht auch nichts böses drinnen. Euer Passwort steht verschlüsselt in der /etc/shadow. Und die darf ein Programm, das mit Benutzerrechten läuft, nicht auslesen. Dazu kommt noch dass Skype in den Profil Ordner von Firefox etwas sucht. Es gibt ein Plugin Für Skype von Firefox. Vermutlich wird genau das gesucht.

Die in

http://forum.skype.com/index.php?showtopic=95261

aufgeworfenen Fragen lassen sich also absolut plausibel erklären.

Dennoch bleibt halt wie immer der bittere Nachgeschmack der Unwissenheit bei Closed-Source Programmen. Speziell bei solchen, die schwer verschlüsselte Verbindungen zum Internet aufnehmen. *WAS* sie machen bleibt im verborgenen…

Tschuess
Christoph

WengoPhone… WengoPhone… nanana… WengoPhone
bitte in der Melodie von „Spider-Schwein“ vor sich hin summen

ob es notwendig ist, auch eine Firewall unter GNU/Linux zu nutzen. In diesem Fall jedoch nicht, um Angriffe von außen abzuwehren, sondern um Closed Source-Software daran zu hindern,den eigenen Rechner auszuspionieren oder anderweitig unerwünschte Daten zu senden.

Wenn man Skype einsetzt, um telefonieren zu können, was wohl alle mit Skype tun wollen, muss man die Kommunikation mit dem Inet zulassen. Alles andere wäre ziemlich sinnbefreit. Daher macht der Einsatz einer sog. Firewall gar keinen Sinn.

Die Frage sollte eher lauten: macht es Sinn Skype einzusetzen? Brauch ich ein Programm, dem ich net vertrau?

morgoth

Der Ikhaya-Artikel ist schon etwas dramatisch. Was da gefunden wurde, ist eigentlich kein Grund zur Aufregung.

Skype stehe ich trotzdem sehr skeptisch gegenüber:

Zum einen weil es ein proprietäres System ist und nicht offen. (Man stelle sich mal vor, z. B. mit Telekom-Anschlüssen könnte man plötzlich nicht mehr mit Arcor-Kunden telefonieren..)

Zum anderen, weil ein enormer Aufwand getrieben wurde, um zu verhindern, dass jemand herausfindet, was Skype genau macht.
(Der Netzwerkverkehr ist verschlüsselt, obfuscated und Skype kann eine Firewall austricksen. Netzwerkverkehr findet auch statt, wenn nicht telefoniert wird. Außerdem ist der Programmcode selbst sehr aufwändig gegen Debugger und Analyse-Tools gesichert, u. a. ist das Programm selbst verschlüsselt und nur einzelne Bestandteile werden zur Laufzeit entschlüsselt, um ausgeführt zu werden.
Details: A Silver Needle in the Skype)

Matthias hat geschrieben:

WengoPhone… WengoPhone… nanana… WengoPhone
bitte in der Melodie von „Spider-Schwein“ vor sich hin summen

http://bananaphone.andi-h.de/bananaphone.mp3

Hallo Matthias,

der Wikibeitrag WengoPhone und die Website des Anbieters scheinen schon vielversprechend zu sein. Aber was ist mit den vielen Skype-Kontakten? Kann ich auch kostenlos mit den ganzen Leuten telefonieren die Skype weiter benutzen? Wenn das geht, wo findet man eine (wenn möglich deutsche) Anleitung für die Einrichtung? Fragen über Fragen… :

Gruß
heubi

Ist doch genau das gleiche Problem wie mit ICQ und Jabber. Unzusteigen ist einfach, aber 60 Kontakte dazu zu bringen, umzusteigen, welche wiederum ihre Kontakte dazu bringen müssen, umzusteigen, und so weiter und so fort, ist schwierig.

Mit diesem Artikel wird eigentlich nur Panik geschührt…

Mit unserem? Rate mal, wieso da steht, dass der Zugriff auf die /etc/passwd normal ist? Zusätzlich ist bewußt nur in der Überschrift von Spionage (und da auch nur als Frage) zu lesen. Wer echt glaubt, Skype würde irgendwelche (sicherheitsrelevanten!) Daten erschnüffeln, der glaubt auch noch an andere Sachen.

Der Artikel soll er die Aufmerksamkeit auf Closed Source richten.

Gruß, Dee

Chrissss hat geschrieben:

Bevor die grosse Panik ausbricht:

Mit diesem Artikel wird eigentlich nur Panik geschührt… Praktisch jedes Programm schaut sich die /etc/passwd an. Dort steht auch nichts böses drinnen. Euer Passwort steht verschlüsselt in der /etc/shadow. Und die darf ein Programm, das mit Benutzerrechten läuft, nicht auslesen. Dazu kommt noch dass Skype in den Profil Ordner von Firefox etwas sucht. Es gibt ein Plugin Für Skype von Firefox. Vermutlich wird genau das gesucht.

@Chris:
ich musste auf meinem Laptop Vista „in Kauf“ nehmen. Brauche aber ein Windows für diverse Programme, die (leider [noch] nicht) unter Ubuntu laufen. Ich habe ungefär 4 Stunden damit verbracht, den ganzen Krempel zu deinstallieren, der von Haus aus an Bloatware drauf war und nachher eine anständige Firewall installiert. Die Vista eigene habe ich deaktiviert. Und siehe da: Alle 2 Minuten wollte irgendeine .dll oder sonstige Applikation irgendwas übers Internet melden. Die Vista eigene Firewall vewrhindert nämlich keinerlei ausgehenden Verkehr(!) Drum hab ich es auch anfangs nicht bemerkt.
Ich halte diese Systematik im hohen Maße für illegal, zumindest meinem Rechtsverständnis nach. Keine Software darf ohne mein Einverständnis Daten liefern, die nicht ausschließlich mit der Funktionsweise der Software zu tun hat.
Zu Skype:

Plugin für Firefox suchen? Da genügt ein kleiner Hinweis wie „Soll automatisch nach dem FF Plugin für Skype gesucht werden?“ nebst einem Einzeiler wofür das gut sein soll.

Ich hoffe du kriegst den Punkt: Wir wollen wissen, was Software macht. Wenn Ubuntu einen Crashreport sendet, so geschieht das meiner Meinung in vorbildlicher Weise. Man kann jederzeit die zu übermittelnden Daten kontrollieren und das „OK“ oder „Abbrechen“ wird respektiert.

Es ist diese unsägliche Arroganz von Firmen wie Microsoft, ebay und Konsorten, die diese basics nicht respektieren und wie erwähnt damit längst den Rubikon der Erträglichkeit überschritten haben.

Leider kenne ich keine Alternative zu Skype

All die Freunde in aller Welt (vor allem in Übersee) haben das auf ihren Macs, PCs und was weiss ich installiert.
Die bring ich nie im Leben zu wengo.
Ausser vielleicht, es gäbe einen Weg, die Skype Kontakte mit zwei Klicks zu wengo zu konvertieren.