Хакер #305. Многошаговые SQL-инъекции
Ученые разработали незаметный и недорогой способ отслеживания IP-адресов
десятков тысяч пользователей Skype и связывания этой информации с их онлайн
деятельностью, такой как обмен файлами через BitTorrent.
Метод, который представлен в недавно опубликованной научной статье, работает
даже когда пользователи настраивают свои аккаунты в Skype на прием звонков
только от людей, находящихся в их списке контактов. Он также работает против
пользователей Skype, которые в текущий момент находятся вне системы, при
условии, если они использовали VoIP программу в последние три дня. Техника
позволяет связывать отдельного пользователя Skype с особой
BitTorrent-активностью, даже если он разделяет с другими IP-адрес в локальной
сети, которая использует NAT.
"Мы продемонстрировали, что для злоумышленника с небольшими ресурсами
возможно определить текущий IP-адрес выбранного пользователя Skype (если
пользователь в текущий момент активен)", - сообщается
в статье. "В случае с Skype, даже если выбранный мишенью пользователь
использует NAT, злоумышленник может определить публичный IP-адрес пользователя.
Такая атака может быть использована для реализации многих вредоносных целей,
включая наблюдение перемещения человека или установление связи идентификационной
информации с использованием интернета".
Ученые обнаружили, что достаточно несложно найти ID большинства пользователей
Skype, когда их email-адреса и имена известны злоумышленнику. Дополнительная
информация, такая как город, в котором проживает жертва, ее пол или возраст,
обеспечивает лучшее выполнение задачи.
Затем, при помощи кастомизированной системы, которая отправляет
модифицированные, специально сформированные пакеты, совершается звонок на
выбранный аккаунт в Skype. Изучив заголовки возвращенных данных, злоумышленники
с легкостью могут определить IP-адрес человека. Поскольку ученые не
устанавливают полное соединение с жертвой, она не догадывается, что за
Skype-аккаунтом ведется слежка. Ученые создали систему таким образом, что она
может отслеживать 10 000 людей где-то за $500 в неделю.
После изучения IP-адресов отдельных личностей, ученые обращаются к BitTorrent
сайтам для отслеживания адресов загрузок, находящихся в их базе данных. Даже
если один из IP-адресов был общим для многих пользователей в одной сети, метод
позволяет установить связь с определенным пользователем Skype по загрузке,
и помимо прочих вещей собрать из BitTorrent сетей идентификаторы, известные как
инфохеши.
Ученые сообщили, что Google Talk, MSN Live и другие приложения для общения в
режиме реального времени могут также быть уязвимы перед этой техникой, но они
выделили Skype за то, что тот содержит "крупнейшую уязвимость
конфиденциальности".
Эдриан Эшер, директор по информационной безопасности Skype, сделал следующее
заявление: "Мы дорожим приватностью наших пользователей и считаем своим долгом
сделать наши продукты на столько безопасными, насколько это возможно. Также как
и в случае с типичным ПО для интернет-коммуникации, пользователи Skype,
установившие соединение, могут определять IP-адреса друг друга. В ходе
исследований и разработок мы продолжим усовершенствовать наше ПО".
Исследовательская статья под названием "I Know Where You are and What You are
Sharing" (Я знаю где ты и чем ты делишься), содержит некоторые рекомендации по
улучшению способности Skype скрывать идентификационные данные своих
пользователей.
"Одно из решений, которое потребует долгого пути, заключается в разработке
VoIP системы таким образом, чтобы IP-адрес вызываемого не раскрывался до тех
пор, пока пользователь не примет звонок", - гласит статья. "При таком раскладе
Элис не сможет незаметно позвонить Бобу. Более того, если Элис - незнакомка (не
находится в списке контактов Боба), и Боб настроит свой клиент, так, чтобы тот
не принимал звонки от незнакомцев, то это будет препятствовать его отслеживание
незнакомцами каким-либо образом ".