защита PGP/GPG от Skype
Вопрос абсурдный, но условия таковы, что не могу отучить многих партнеров по бизнесу от "удобной системы связи Скайп", поэтому возникает вопрос: насколько безопасно юзеру на одной машине, под одной ОС (конечно же это винды) и общими правами доступа одновременно использовать Скайп и средства для шифрования типа PGP? Вопрос тут больше к знатокам-дебаггерам Скайпа, на предмет того не является ли Скайп кейлоггером ВСЕГО что набирается на машине (тут сразу безопаснее предположить ответ: ДА но для меня это слишком расточительно) и каким образом можно защититься от скайповского шпионажа за другими приложениями (буфер обмена вместо набора кнопок, виртуальные клавиатуры, Sandbox от COMODO и т.п.) ?
Спасибо.
виртуальные
клавиатурымашиныпесочница наверно тоже может изолировать.
в "песочнице" Скайп не захочет работать, если туда криптософт это будет достаточно?
портабельный 100% работает. проверено на comodo. sanboxie наверно то же. а криптософт то зачем? его то как раз лучше изолировать от Скайп.
Запускайте скайп под одним непривелегированным юзером, а всё остальное делайте под другим, тоже непривелегированным. Под привелегированным, который может инсталлить софт и т.п., выполняйте только задачи администрирования (создание/удаление юзеров, установку/снос софта и т.д.).
Даже если у скайпа есть встроенный (или подгружаемый через модуль удалённо) кейлоггер, вряд ли у него в нагрузку к нему есть ещё и эксплоит на локальное повышение привелегий, потому предложенное решение должно помочь. PGP шифруется же под административным (привелегированным) аккаунтом? Если да, то всё ок, скайпа это касаться не будет.
А как "отмониторить" Скайп ?
Т.е. необходимо под XP установить и запустить Скайп на одной рабочей машине с минимумом вреда и утечки инфы.
Лучше ли использовать старые версии Скайпа ? (проверено – работает)
На компе стоит COMODO что ему разрешить/запретить для безопасности? Реально ли использовать в песочнице ?
Чем лучше мониторить соединения? Сниффером? Не объясните "на пальцах" что именно смотреть и какие соединения тревожные, а какие – норма ?
Если будет принудительный ВПН, что сделать, чтобы Скайп гарантированно не лез мимо ВПН и не выдавал внутренний IP ?
Про skype и кейлогер всего – паранойю надо лечить.
Или же переходить на sip-телефонию. Заменив skype тем sip-клиентом, исходники которого открыты
У вас ошибка в предложении, там должно было начинаться, как или И вопрос о COMODO сам собой отпадёт.
Настройкой правил firewall'а и фильтрацией по исходящем трафику юзеров ПК или по виртуальным машинам.
В случае скайпа это не параноя, а то, что легко может оказаться зловещей реальностью. Так считают реверсеры, к коим у меня больше доверия, чем к вам.
для начала я бы посоветовал старые версии скайпа (до-микрософтовские). у меня 3.8
тут месяц назад проскочило в новостях что микрософтовские боты ходят по всем ссылкам, которые
передавались в чате. я сделал такую уникальную ссылку, отправил нескольким знакомым. боты не зашли.
у меня подозрение, что этот "полезный функционал" появился в новых версиях made in MS.
на манер китайского скайпа, который слова "тибет, тянь-ань-мынь, etc" отсылает куда надо.
может на днях поэкспериментирую с другими версиями.
Даже если и так, то надо, чтобы старые версии стояли и у всех клиентов, что малореалистично. Я заметил, что когда у меня был старый Skype, сообщения часто не доставлялись адресатам, всё глючило, приходилось по нескольку раз мне и им входить/выходить в онлайн/оффлайн, прежде чем сообщения доставятся. После обновления конкретно эти глюки исчезли, но появились другие:
Старайтесь не пользоваться этой гадостью, пересаживайте людей на jabber+gpg.
P.S. Новая версия, о которой шла речь — 4.0.0.x
Там боты тупые, ходят только по https-ссылкам с валидными сертификатами. Если сертификат не валидный, то до http HEAD-запроса дело не доходило.
Я нередко рекомендую кому это интересно sippoint от sipnet.ru. Правда только под винду, но приложение весьма удобное с возможностью чата на основе jabber, аудио и видеозвонков и конечно звонков на телефоны. Если нужен клиент по Linux, думаю найдете, под SIP их немало.
Предложите своему партнеру, может заинтересуется.
PSI вроде тоже может осуществлять видеозвонок + корректная работа с gpg.
Skype можно запускать в SELinux sandbox, например, тогда он ничего украсть не сможет (будут изменены /home и /tmp директория, доступ к оригинальным будет запрещен). Кроме того, у него будет свой буфер обмена, и даже если там окажется что-то важное, то перехват снова будет невозможен.
А информацию о железе, на котором он запущен? О названиях сетевых интерфейсов и IP-адресах на них? О содержимом системных директорий? О дате модификации системных файлов? Всё это вместе позволит уникальным образом идентифицировать машину и ОС или нет? Если да, то Skype, как минимум, несовместим с анонимностью (на той же ОС и железе нельзя использовать неанонимный профиль).
Изначальный вопрос был в том, чтобы скайп не смог украсть ключи PGP, перехватить буфер обмена и нажатия клавиш на клавиатуре
Не доверяешь Microsoft Skype, но доверяешь Microsoft Windows – где логика?
Хорошо, но это можно сделать и без SELinux'а, запустив Skype в других иксах под другим пользователем, остаётся только вопрос удобства. Последний тоже можно решить, если присобачить к Skype'у специальный клиент-обёртку, пользуясь тем, что у Skype открытое API (это позволит работать со Skype из-под основного пользователя).
Вам проще изучить скайпово апи, написать и присобачить отдельный клиент, назаводить кучу пользователей – это новый вид мазохизма такой что-ли?
такое ощущение, что все обсуждение крутится вокруг одного и того же: чтобы пользоваться Скайпом, его нужно изолировать. Инструменты каждый выбирает сам.
Если забить на удобство и скайповое API, то да, это сделать намного проще, чем разобраться с SELinux так, чтобы быть полностью уверенным в том, что всё на 100% защищено, а то как бы ни получилось так, что неумелое использование SELinux приведёт к dog sign security.
Вот ещё один[link1] набор сомнительных костылей на тему «как сделать Skype безопасным».
При старте Skype создаёт вот такие файлы:
Не прав. Это может сделать кто угодно, но суид будет на того, кто этот файл создал.
А зачем Skype'у нужен такой suid? Обмен данными между разными пользователями на одном ПК? Мирное принуждение к утечкам инфы из одного профиля/пользователя в другой?
sandbox, но только не от comodo. Не знаю, в тему ли мой совет, но попробуйте вот так.
http://masterpro.ws/forum/28-b.....etke-selinux-sandbox[link2]
"403: Доступ запрещён
Множество запросов (Автоблокировка)"
Со всех IP с которых я пробовала из под Тор! (
Не появилось ли за два года более простых решений кроме "песочниц" и нескольких пользователей?
Детект! Проверка на троллинг