※ [本文轉錄自 B85205XXX 看板] 作者: foolman (郁生) 看板: B85205XXX 標題: [心得] Skype Security Concern 時間: Wed Nov 17 18:06:12 2004 前言： 有人向我老闆推薦了Skype及Yahoo Messenger，老師很喜歡，逢人推薦這兩個， 然後隨時等著被老師打電話騷擾...幸好我只裝卻不用:) 上面當然不是重點，是今天老師收到一個"有技術背景"的廣告信，如下， 我就奉命調查，因為還蠻有用的，把結果貼給大家看看 ------------------------------------------------------------------------------ [討論]Skype後遺症，你不可不知 　 Skype很好用，但或許你不知道Skype可會為你的PC帶來危機。 Skype是利用User的電腦資源和網路頻寬來建立通信平台；簡單的說，只要你開啟Skype 軟體，你就可能成為Skype的平台（SuperNode），來幫助其他User提供通話的服務。 當你成為Super Node時，你可能會面臨CPU資源被佔用和Internet頻寬阻塞的情況；同時 ，更危險的是，你還有被駭客入侵的危機，您的PC可能會在完全不知情的情況下中毒或 被竊取機密資料。 另外，如果你不是Super Node時，你的隱私權就有可能會被侵犯；當你使用Skype時，你 的通話紀錄及基本資料等私人訊息有可能會在Super Node居心不良的情況下全然曝光。 最讓人非議的是，Skype的用戶協議書全是英文，當你下載安裝時只要按下”同意”，即代 表你同意成為Skype的Super Node，日後如果你有任何損失，Skype將概不負責。 根據了解，目前有許多企業已明令禁止員工在PC上安裝Skype軟體，其原因何在，請你三思 。 ------------------------------------------------------------------------------- 上述說的有一半是對的，要建立Skype的連線，當然會需要Clients的電腦資源和頻寬， 但是否要成為SuperNode（用來幫忙Relay其他通話雙方都在NAT後方無法直接連線的Skype 連線）卻不一定，Skype本身沒有公開挑選成為SuperNode的algorithm，但由他的說明及 網路上找的資料來看有： * have "Public IP" * enough memory * fast network connectivity * long running time * connected to theo other supernodes 我想最重要的是Public IP，以實驗室來講在Client在Firewall後方，應無法成為 SuperNode，也可以實際看下列檔案知道目前在Servicing的SuperNode： C:\Documents and Settings\All Users\Application Data\Skype\shared.xml 但若真的成為SuperNode，會佔用多少電腦資源和網路頻寬目前尚不知道， 大多只提到SuperNode服務一百到數百個Clients，但它隱私權政策提及 "並不會影響平時的作業"。 http://skype.pchome.com.tw/policy.htm 而SperNode本身是否會有Security concern，比較少人在討論，多數只說 SuperNode就像hub一樣，如果是一手data進，一手data出，沒有處理內容， 或許較少顧慮。 較多人討論的是有惡意的SuperNode對Clients的影響，當然官方的解釋 資料均有加密過，不會有疑慮，http://skype.pchome.com.tw/qa4.htm ------------------------------------------------------------------------ PChome-Skype 使用 AES(Advanced Encryption Standard) - 也稱做 ''Rijndel" - 被美國政府用來保護敏感資料. PChome-Skype 使用 256 位元 加密, 總共有 1.1 x 1077 組合針對 PChome-Skype 通話及文字簡訊進行加密. PChome-Skype 使用 1536 到 2048 位元 RSA 來取得 AES 對稱鑰匙. 使用者在登入 PChome-Skype 時即取得 公共鑰匙的認證。 ----------------------------------------------------------------------- 但有人會Chanllenge "協調"加密過程時key phase 會不會被SuperNode 擷取等問題，主要是因為Skype沒有文件詳述這個過程及它是個Close-source 軟體。 總結，上面的東西看看就好，用P2P軟體就是會多一些風險， 有興趣的人可以看下面的技術文章： http://www.netlab.hut.fi/opetus/s38030/F03/Report-p2p-spam-2003.pdf http://www.geocities.com/bergstromdennis/Skype_Analysis_1_3.pdf ---------------------------------------------------------------------------- 重點是這是另外一個VoIP發出的廣告信，他們用這些內容Challenge Skype， 但卻沒有說出他們比Skype好的地方，難道是要用有"技術背景"的誇大敘述 嚇使用者換一個"沒有技術背景"的網路電話？ 邏輯有問題. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.64.247.100 ※ 編輯: foolman 來自: 203.64.247.100 (11/17 18:47) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 65.87.180.83