защита PGP/GPG от Skype


Вопрос абсурдный, но условия таковы, что не могу отучить многих партнеров по бизнесу от "удобной системы связи Скайп", поэтому возникает вопрос: насколько безопасно юзеру на одной машине, под одной ОС (конечно же это винды) и общими правами доступа одновременно использовать Скайп и средства для шифрования типа PGP? Вопрос тут больше к знатокам-дебаггерам Скайпа, на предмет того не является ли Скайп кейлоггером ВСЕГО что набирается на машине (тут сразу безопаснее предположить ответ: ДА но для меня это слишком расточительно) и каким образом можно защититься от скайповского шпионажа за другими приложениями (буфер обмена вместо набора кнопок, виртуальные клавиатуры, Sandbox от COMODO и т.п.) ?
Спасибо.

Комментарии
Гость (11/02/2013 20:31)   
виртуальные клавиатуры машины
Гость (11/02/2013 23:48)   
песочница наверно тоже может изолировать.
Гость (12/02/2013 17:12)   
песочница наверно тоже может изолировать


в "песочнице" Скайп не захочет работать, если туда криптософт это будет достаточно?
Гость (12/02/2013 23:06)   
портабельный 100% работает. проверено на comodo. sanboxie наверно то же. а криптософт то зачем? его то как раз лучше изолировать от Скайп.
Гость (15/02/2013 03:38)   
под одной ОС (конечно же это винды) и общими правами доступа одновременно использовать Скайп и средства для шифрования типа PGP?

Запускайте скайп под одним непривелегированным юзером, а всё остальное делайте под другим, тоже непривелегированным. Под привелегированным, который может инсталлить софт и т.п., выполняйте только задачи администрирования (создание/удаление юзеров, установку/снос софта и т.д.).

Даже если у скайпа есть встроенный (или подгружаемый через модуль удалённо) кейлоггер, вряд ли у него в нагрузку к нему есть ещё и эксплоит на локальное повышение привелегий, потому предложенное решение должно помочь. PGP шифруется же под административным (привелегированным) аккаунтом? Если да, то всё ок, скайпа это касаться не будет.
Гость (30/04/2013 19:52)   
А как "отмониторить" Скайп ?

Т.е. необходимо под XP установить и запустить Скайп на одной рабочей машине с минимумом вреда и утечки инфы.
Лучше ли использовать старые версии Скайпа ? (проверено – работает)
На компе стоит COMODO что ему разрешить/запретить для безопасности? Реально ли использовать в песочнице ?
Чем лучше мониторить соединения? Сниффером? Не объясните "на пальцах" что именно смотреть и какие соединения тревожные, а какие – норма ?
Если будет принудительный ВПН, что сделать, чтобы Скайп гарантированно не лез мимо ВПН и не выдавал внутренний IP ?
Гость (01/05/2013 01:21)   
Про skype и кейлогер всего – паранойю надо лечить.
Или же переходить на sip-телефонию. Заменив skype тем sip-клиентом, исходники которого открыты
Гость (01/05/2013 02:50)   

У вас ошибка в предложении, там должно было начинаться, как
Т.е. необходимо XP снести
или
Т.е. необходимо под Linux установить
И вопрос о COMODO сам собой отпадёт.


Настройкой правил firewall'а и фильтрацией по исходящем трафику юзеров ПК или по виртуальным машинам.
Гость (01/05/2013 03:14)   

В случае скайпа это не параноя, а то, что легко может оказаться зловещей реальностью. Так считают реверсеры, к коим у меня больше доверия, чем к вам.
— For_The_Love_Of_Big_Brother (14/06/2013 18:30)   
для начала я бы посоветовал старые версии скайпа (до-микрософтовские). у меня 3.8

тут месяц назад проскочило в новостях что микрософтовские боты ходят по всем ссылкам, которые
передавались в чате. я сделал такую уникальную ссылку, отправил нескольким знакомым. боты не зашли.
у меня подозрение, что этот "полезный функционал" появился в новых версиях made in MS.

на манер китайского скайпа, который слова "тибет, тянь-ань-мынь, etc" отсылает куда надо.

может на днях поэкспериментирую с другими версиями.
Гость (16/06/2013 04:04)   
я бы посоветовал старые версии скайпа (до-микрософтовские). у меня 3.8

Даже если и так, то надо, чтобы старые версии стояли и у всех клиентов, что малореалистично. Я заметил, что когда у меня был старый Skype, сообщения часто не доставлялись адресатам, всё глючило, приходилось по нескольку раз мне и им входить/выходить в онлайн/оффлайн, прежде чем сообщения доставятся. После обновления конкретно эти глюки исчезли, но появились другие:

  • Skype начал надругиваться над X-сервером, из-за чего буквы в терминале под другим юзером стали ехать как попало в некоторых местах (приходится рестартить X-сервер, чтобы пофиксить).
  • Skype стал неоправданно часто и много жрать процессор.
  • В /tmp начал появляться от Skype'а мусор, которого там раньше не было.
  • Сайт Skype был исправлен так, что теперь нельзя ничего поменять в профиле, не вписывая туда какие-то имя, фамилию и страну.

Старайтесь не пользоваться этой гадостью, пересаживайте людей на jabber+gpg.
Гость (16/06/2013 04:30)   
P.S. Новая версия, о которой шла речь — 4.0.0.x
— sentaus (17/06/2013 23:01)   
я сделал такую уникальную ссылку, отправил нескольким знакомым. боты не зашли.

Там боты тупые, ходят только по https-ссылкам с валидными сертификатами. Если сертификат не валидный, то до http HEAD-запроса дело не доходило.
— Вий (23/06/2013 20:24)   
Я нередко рекомендую кому это интересно sippoint от sipnet.ru. Правда только под винду, но приложение весьма удобное с возможностью чата на основе jabber, аудио и видеозвонков и конечно звонков на телефоны. Если нужен клиент по Linux, думаю найдете, под SIP их немало.
Предложите своему партнеру, может заинтересуется.
Гость (23/06/2013 21:10)   
PSI вроде тоже может осуществлять видеозвонок + корректная работа с gpg.
— makkarpov (24/06/2013 00:50, исправлен 24/06/2013 00:51)   

Skype можно запускать в SELinux sandbox, например, тогда он ничего украсть не сможет (будут изменены /home и /tmp директория, доступ к оригинальным будет запрещен). Кроме того, у него будет свой буфер обмена, и даже если там окажется что-то важное, то перехват снова будет невозможен.

Гость (24/06/2013 03:27)   
Skype можно запускать в SELinux sandbox, например, тогда он ничего украсть не сможет

А информацию о железе, на котором он запущен? О названиях сетевых интерфейсов и IP-адресах на них? О содержимом системных директорий? О дате модификации системных файлов? Всё это вместе позволит уникальным образом идентифицировать машину и ОС или нет? Если да, то Skype, как минимум, несовместим с анонимностью (на той же ОС и железе нельзя использовать неанонимный профиль).
— makkarpov (24/06/2013 11:30)   
Изначальный вопрос был в том, чтобы скайп не смог украсть ключи PGP, перехватить буфер обмена и нажатия клавиш на клавиатуре
Гость (24/06/2013 12:49)   
поэтому возникает вопрос: насколько безопасно юзеру на одной машине, под одной ОС (конечно же это винды)

Не доверяешь Microsoft Skype, но доверяешь Microsoft Windows – где логика?
Гость (24/06/2013 22:52)   
Изначальный вопрос был в том, чтобы скайп не смог украсть ключи PGP, перехватить буфер обмена и нажатия клавиш на клавиатуре

Хорошо, но это можно сделать и без SELinux'а, запустив Skype в других иксах под другим пользователем, остаётся только вопрос удобства. Последний тоже можно решить, если присобачить к Skype'у специальный клиент-обёртку, пользуясь тем, что у Skype открытое API (это позволит работать со Skype из-под основного пользователя).
— makkarpov (24/06/2013 22:58, исправлен 24/06/2013 23:00)   

Вам проще изучить скайпово апи, написать и присобачить отдельный клиент, назаводить кучу пользователей – это новый вид мазохизма такой что-ли?

Гость (24/06/2013 23:09)   
такое ощущение, что все обсуждение крутится вокруг одного и того же: чтобы пользоваться Скайпом, его нужно изолировать. Инструменты каждый выбирает сам.
Гость (25/06/2013 01:47)   
Вам проще изучить скайпово апи, написать и присобачить отдельный клиент, назаводить кучу пользователей

Если забить на удобство и скайповое API, то да, это сделать намного проще, чем разобраться с SELinux так, чтобы быть полностью уверенным в том, что всё на 100% защищено, а то как бы ни получилось так, что неумелое использование SELinux приведёт к dog sign security.
Гость (25/06/2013 17:19)   
Вот ещё один[link1] набор сомнительных костылей на тему «как сделать Skype безопасным».

При старте Skype создаёт вот такие файлы:
$ ls -la /tmp/q*
srwxr-xr-x 1 USER USER 0 2013-XX-XX XX:XX /tmp/qtsingleapp-homeUSER-XXX-XXX=
-rw-r--r-- 1 USER USER 0 2013-XX-XX XX:XX /tmp/qtsingleapp-homeUSER-XXX-XXX-lockfile
Может, я дурак, но как Skype создаёт суидные файлы? Это же только root может сделать, или я не прав?
— makkarpov (25/06/2013 17:23)   
Не прав. Это может сделать кто угодно, но суид будет на того, кто этот файл создал.
Гость (25/06/2013 17:27)   
суид будет на того, кто этот файл создал.

А зачем Skype'у нужен такой suid? Обмен данными между разными пользователями на одном ПК? Мирное принуждение к утечкам инфы из одного профиля/пользователя в другой?
— Boris (02/05/2014 23:00)   
sandbox, но только не от comodo. Не знаю, в тему ли мой совет, но попробуйте вот так.
http://masterpro.ws/forum/28-b.....etke-selinux-sandbox[link2]
— ОляВедьма (09/06/2016 21:51)   


"403: Доступ запрещён
Множество запросов (Автоблокировка)"

Со всех IP с которых я пробовала из под Тор! (
Не появилось ли за два года более простых решений кроме "песочниц" и нескольких пользователей?
— просто_Гость (09/06/2016 21:59)   
Детект! Проверка на троллинг

Ссылки
[link1] https://wiki.archlinux.org/index.php/Skype#Securing_Skype

[link2] http://masterpro.ws/forum/28-bezopasnost/4594-skype-v-kletke-selinux-sandbox