In den vergangenen Tagen gab es in einigen IT-Publikationen im Netz Schilderungen, wie Skype das BIOS auslesen würde. Kurt Sauer, seines Zeichens Sicherheitschef bei Skype kommentiert im Security-Blog diese Berichte. Der englischsprachige Artikel kurz zusammengefasst: Diese Funktion wurde in der Vergangenheit für die Rechteverwaltung des Extra-Managers unter Windows genutzt. Seit Version 3.0.0.216 kommt allerdings eine andere Methode zum Einsatz.
Kommentare
Haha mußte gerade echt schmunzeln, direkt unter dem Eintrag: Skype und dein BIOS der Eintrag: Schatz so glaub mir doch...
Naja vor Spiogenten ist man eh' nie ganz sicher.
knetbruderandreas | Sonntag, 11. Februar
Claudius, mit Verlaub, das war nix!
Ich weiß nicht, wie ausführlich sich Kurt Sauer zum Thema eingelassen hat, und ich möchte es auch nicht auf den englischsprachigen Seiten nachlesen. Aber wer schon auf seiner Startseite mit "No Malware, no Spyware ..." wirbt und sich dann für so eine dämliche Funktion wie das DRM für die Extras des Handwerkszeug dieser Mal- und Spywaresachen bedient, sollte die Berichte dazu etwas ernster nehmen.
Skype hat durch die Berichte über das Auslesen des BIOS einen merklichen Schaden an seiner Reputation genommen und es wäre einen ausführlicheren Artikel wert gewesen, dazu Stellung zu nehmen. Von entsprechenden Hinweisen auf der Startseite mal ganz abgesehen, die einen ganz anderen Eindruck hinterlassen hätten, als er jetzt hängenbleibt.
Zusammenfassen: Skype hat nicht nur in der Qualitätskontrolle seiner Software versagt (diese 1.com hätte niemals ausgeliefert werden dürfen, das würde ich dem verantwortlichen Programmierer aber so was von um die Ohren hauen), sondern auch in Krisen-PR. Schwaches Bild ...
m.wedemeyer | Mittwoch, 14. Februar
Malware verändert ungefragt Daten auf der Festplatte.
Spyware leitet ungefragt Daten weiter. Beides war und ist bei Skype nicht der Fall. Meiner Meinung nach ist diese BIOS-Geschichte viel eher ein Beispiel für das Aufbauschen einer faktisch sehr einfachen Geschichte durch das Einbringen sensitiver Schlagwörter durch Technikfremde.
grille_chompa | Samstag, 17. Februar
Ganz deiner Meinung Claudius. Man muss zwar nicht alles was von Skype kommt gleich mögen aber in dem Fall ist der Medienrummel ein wenig, naja, übertrieben ... milde gesagt!
florian_matusek | Sonntag, 18. Februar
Hey,
nein, es ist nicht falsch, die Bios Informationen wurden inkl. der Seriennummer ausgelesen und dazu verwendet eindeutig identifizierbar zu sein, damit dieses scheiss DRM durchgesetzt werden kann.
Es ist auch nicht klar ob diese Infos an EasyBits Software zur Identifizerung, Überprüfung, etc. weitergeleitet bzw. gesendet werden, da wie gesagt alles bei Skype geschlossen und proprietär ist.
Dann wird es noch verschleiert und gesichert.
Dort könnte theoretisch alles mögliche unbemerkt mitgeschickt/versendet/weitergeleitet werden..(vom eigenen privaten Computer..)
Weil ihr Skype Limited genauso wie die Musik- und Filmindustrie aber irgendwie nicht kapieren, dass DRM einfach schrott und nicht brauchbar ist und nur die zahlenden Kunden und Benutzer gängelt und verärgert und ihnen die Rechte wegnimmt bzw. einschränkt, zählt irgendwie nicht..
Ihr konntet nichtmal selbst so einen Plugin-Manager namenens Extras-Manager in Skype 3.0 entwickeln und integrieren.
Nein ihr musstet eine externe dritte Firma anwerben und darauf ansetzen, welche zweifelhafte Methoden dafür einsetzt.
Ihr könnt mir auch nicht erzählen, dass ihr nicht den Sourcecode dafür bekommen habt, um alles zu überprüfen und dann in Skype 3.0 zu integrieren.
Alles andere wäre ja einfach nicht zu halten und dumm.
Daher wusstet ihr auch schon vorher von diesem Spywareverhalten des Plugin-Managers, habt es aber weder erwähnt, noch darüber die Öffentlichkeit, eure Kunden und Benutzer informiert, noch es beseitigt und korrigiert.
Erst als es öffentlich wurde und der Druck der Medien kam, habt ihr es gefixt.
Aber was ihr jetzt genau geändert habt und welche neue Methode zum Einsatz kommt, dass erwähnt ihr wieder nicht und lässt den Benutzer und Kunden im unklaren.
Das ist eine Frechheit so mit der Öffentlichkeit umzugehen!
Desweiteren könnt ihr mir nicht erzählen und weißmachen, dass eure Entwickler so "doof" sind und nicht andere, viel bessere und einfachere Methoden kennen und hätten benutzen können um nur die Seriennummer des Motherboards auszulesen.
Es gibt ja unter anderem WMI, etc.
Also redet ihr nur Bullshit und es wird eurem Ruf und Ansehen schaden, dass steht fest!
Leider lassen viele Leute sich verarschen oder von solchen Schwachen Statements abspeisen, weil sie es nicht besser wissen..
Ich verweise auf mein Kommentar im englischen Securityblog bei Skype hier:
http://share.skype.com/sites/security/2007/02/skype_extras_plugin_manager.html#comment-14324
Und hier wird auch auf die Quelle verwiesen, die den Vorfall identifiziert und überprüft hat:
http://share.skype.com/sites/security/2007/02/skype_extras_plugin_manager.html#comment-14201
Dort steht auch welche besseren Alternativen zur Verfügung stehen und was ich nun benutzen werde, da Skype nicht dazulernt, nix ändert, weiterhin Heimlichkeiten betreibt und ihren Quelltext nicht zum überprüfen offenlegt wie dies z.b. PGP macht.
Daran sieht man auch, dass es Skype Limited damit nicht ernst ist und das es auch anders geht, denn PGP verkauft auch ihre Software und man darf den Sourcecode für nix anderes außer zur Überprüfung und Verifizierung benutzen/verwenden..!
Gute Alternativen sind z.b. OpenWengo (WengoPhone) http://www.openwengo.org
Und die offenen Protokolle SIP und RTP, welche durch SIPS und SRTP gesichert und verschlüsselt werden können und Philip Zimmermann dies mit seinem ZRTP Protokoll einfach verwirklicht: http://www.zfoneproject.com
MfG
iNsuRRecTiON
insurrection-02 | Montag, 19. Februar