LINUX.ORG.RU

Изоляция Skype

 , , , ,


10

5

Не хочу повторяться, тут всё написано. Мне показался самым простым и быстрым способом создание отдельного пользователя для этой говнопрограммы во избежание проникновения в мою систему плохих дядь и тёть. Чего и вам желаю, если у вас всё ещё не дошли до этого руки.

Может быть ещё какие нибудь советы знаете? Я залез под пользователем skype и проверил, вроде никакие носители ему не доступны и всякие /etc/shadow разумеется тоже.

ЗЫ этот топик относится к тем, кому по той, или иной причине приходится пользоваться сей дырой в безопасности, у кого таких причин нет могут данную тему проигнорировать.

★★★★★

emissar, иди читай.

Хотя бы это. И это статья за 2007 год, сейчас дела обстоят куда хуже.

soko1 ★★★★★
() автор топика
Ответ на: комментарий от awesomenickname

Думаю, вариант. Хотя идея с отдельным пользователем мне тоже очень понравилась.

soko1 ★★★★★
() автор топика
Ответ на: комментарий от soko1

Кроме SELinux есть и другие системы принудительного контроля доступа. Тут кто-то вроде выкладывал готовый профиль для skype под TOMOYO.

Gotf ★★★
()

Еще стараюсь пользоваться как можно более старой версией.

segfault ★★★★★
()
Ответ на: комментарий от tazhate

4.7 Флуд (-2)

Нет.
soko1

Хотя бы это. И это статья за 2007 год, сейчас дела обстоят куда хуже.

Паранойя банальная. И у тебя и у крутых хакеровавторов статьи. Неужели ты думаешь, что кому-то нужен там? Кстати, ты в курсе, что за твоим трафиком еще может провайдер следить?

emissar ★★
()
Ответ на: комментарий от emissar

4.7 Флуд (-2)
Нет.

Похоже автоматическая система ЛОРа дала сбой, или я чего-то не понимаю. У меня следующее:

7.1 Ответ на некорректное сообщение (авто, уровень 0) (-2)

Неужели ты думаешь, что кому-то нужен там?

Ну выложи свои пароли в открытый доступ, или разошли их сотрудникам Skype, если тебе нечего прятать и ты думаешь что никому не нужен. Подобная лазейка это всё равно что видеокамера в туалете. С одной стороны кому интересно смотреть как ты, извиняюсь, какаешь, а с другой тебе самому не противно, что за тобой могут наблюдать? Мне - противно.

Кстати, ты в курсе, что за твоим трафиком еще может провайдер следить?

Нет, за мной не может.

soko1 ★★★★★
() автор топика
Последнее исправление: soko1 (всего исправлений: 1)
Ответ на: комментарий от soko1

Ну чушь же порешь. В скайпе под миллиард пользователей. Чем, по твоему мнению, будет примечателен белорусский линуксоид-параноик для тех, «кто наблюдает»? Вот честно - интересно мне.

Нет, за мной не может.

В принципе, такого ответа я и ждал.

emissar ★★
()
Ответ на: комментарий от vertexua

Соснифать при таких правах они уже не смогут

tazhate ★★★★★
()
Ответ на: комментарий от emissar

Чем, по твоему мнению, будет примечателен белорусский линуксоид-параноик для тех, «кто наблюдает»? Вот честно - интересно мне.

Конкретно я возможно ничем, но сам факт «открытых дверей» меня не разу не радует

В принципе, такого ответа я и ждал.

Ну значит у тебя очень плохие познания в безопасности

soko1 ★★★★★
() автор топика

Может быть ещё какие нибудь советы знаете?

Запускать в виртуалке, я серьёзно. Архитектура десктопа в этих наших линуксах такая, что ничто иное не добавляет совершенно никакой безопасности.

Если какая то программа действительно захочет за тобой следить, то ей не нужен будет твой /etc/shadow, достаточно будет доступа к pulseaudio, камере и Xorg, а далее она уже сможет делать скришоты твоего рабочего стола и полностью логгировать весь ввод, т.к изоляции UI в Linux нет.

PS: Для всяких идиотов которые будут спорить:
xinput list
xinput test KEYBOARD_ID
И весь ввод твоей консольки/gksudo/kdesudo уже здесь.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 4)
Ответ на: комментарий от tailgunner

А если ей нужны всего лишь мои ssh-ключи?

Это было бы актуально, если бы речь шла о маленьком бекдоре в каком то левом пакете, или уязвимости в том же скайпе.

Здесь речь о проприетарщине которую пишет куча профессиональных программистов. Думаешь если у них будет цель стырить твои ключи, они не воспользуются штатными возможностями иксов, чтобы обойти этот твой chroot/apparmor/etc?

Пока ты цепляешь этот же скайп к своей сессии он совершенно не изолирован и легко может наделать добра даже без прямого доступа к ФС.

winddos ★★★
()
Ответ на: комментарий от winddos

А если ей нужны всего лишь мои ssh-ключи?

Это было бы актуально, если бы речь шла о маленьком бекдоре в каком то левом пакете, или уязвимости в том же скайпе.

Уязвимости в скайпе, да.

Думаешь если у них будет цель стырить твои ключи, они не воспользуются штатными возможностями иксов, чтобы обойти этот твой chroot/apparmor/etc?

Думаю, что они воспользуются всем, чем смогут. Но не вижу, как штатные средства иксов помогут им украсть что-то, лежащее в ФС.

Пока ты цепляешь этот же скайп к своей сессии он совершенно не изолирован и легко может наделать добра даже без прямого доступа к ФС.

Я сильно подозреваю, что клавиатурный шпион в массово распрстраняемой программе будет давать столько мусора, что с ним не справятся кластеры гугла.

tailgunner ★★★★★
()
Ответ на: комментарий от anonymous

А если в vbox его, будет секурнее?

Ну вполне очевидно, что да.

winddos ★★★
()
Ответ на: комментарий от tailgunner

Но не вижу, как штатные средства иксов помогут им украсть что-то, лежащее в ФС.

Ну давай немного включим фантазию. Ты запустил скайп в чруте/контейнере или ограничил его средствами apparmor/selinux. Но у него есть доступ к твоей сессии иксов, а значит он может произвести произвольный ввод.

Скажем в убунтах с гномом раньше по дефолту был шорткат Alt+F2 по которому можно исполнять команды. Далее делаем как то так:

xdotool key --clearmodifiers alt+F2
sleep 1
xdotool type «$(printf „sleep 100&“)»
xdotool key KP_Enter

И все, вот уже запущен код вне песочницы. Это лишь как простой пример который впрочем обрабатывается достаточно быстро, чтобы пользователь просто не обратил внимание на появившееся окошко.

Думаю если покопаться в данной теме хотя бы с недельку, можно под все самые распостраненные DE написать простой код который почти незаметно стырит любые данные.

И сайпу естественно не надо быть xdotool или иметь к нему. Ну а учитывая, что он ещё имеет доступ к вводу/микрофону он вполне однозначно может определить момент, когда тебя у компа нет. Ведь мало кто вообще заметит, что скайп стал слушать микрофон, а многие даже заметив вряд ли сочтут это подозрительным.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Я сильно подозреваю, что клавиатурный шпион в массово распрстраняемой программе будет давать столько мусора, что с ним не справятся кластеры гугла.

Я как то ради интереса ставил себе кейлоггер и потом изучал логи. И знаешь, нет ничего особо трудного в определении того куда я и что вбивал.

Тем более, что доступ к иксам позволяет вместе с вводом логировать список открытых/активных окон и делать скриншоты. Собственно в виндовых троянах есть те же самые функции уже сто лет. И как то среди ввода находят пароли и прочие ценные данные.

Поэтому надеятся на chroot в случае со скайпом крайне глупо, ибо люди которые внезапно нашли дырку в скайпе скорее всего не поленятся сделать все правильно.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от winddos

Скажем в убунтах с гномом раньше по дефолту был шорткат Alt+F2 по которому можно исполнять команды. Далее делаем как то так:
xdotool [...]

А может, всё не так плохо? Делаем специального пользователя, пускаем от него xterm:

sh-3.2$ xdotool type "id"; xdotool key KP_Enter
id
sh-3.2$ id
uid=12345(testuser) gid=12345(testuser) groups=12345(testuser)
sh-3.2$

Я как то ради интереса ставил себе кейлоггер и потом изучал логи. И знаешь, нет ничего особо трудного в определении того куда я и что вбивал.

Для человека - наверное.

Тем более, что доступ к иксам позволяет вместе с вводом логировать список открытых/активных окон и делать скриншоты

Ну, режим secure keyboard в иксах есть. А скриншоты опять же требуют для парсинга человека, так что вероятность попасть под массовую раздачу примерно нулевая.

Поэтому надеятся на chroot в случае со скайпом крайне глупо

Не чрутом единым... хотя, наверное, MAC через иксы обходится, ирония. Но, с другой стороны, почему нельзя пустить иксы под MAC?

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

А может, всё не так плохо? Делаем специального пользователя, пускаем от него xterm:

И скайп? И радуемся отсутствию уведомлений и иконки в трее, это как минимум. Было бы интересно если бы кто то написал инструкцию, как скайп запустить так, чтобы он полноценно работал на отдельных иксах, и доступа ни к какому дополнительному функционалу не имел.
Наверное через какую то хитро закрученную задницу это ведь наверняка возможно, сетевая прозрачность, то да се.

Ну, режим secure keyboard в иксах есть.

Ссылочку? Нагуглить невозможно, а копаться в исходниках иксов уж точно не буду.

А скриншоты опять же требуют для парсинга человека, так что вероятность попасть под массовую раздачу примерно нулевая.

С такой логикой лучше вообще не параноить, как тазик. Ибо вероятность что линуксовый скайп внезапно ломанут такая же нулевая. Но я уверен, что если ломанут, то найдут чем все самое вкусное отсортировать.

Не чрутом единым... хотя, наверное, MAC через иксы обходится, ирония. Но, с другой стороны, почему нельзя пустить иксы под MAC?

Лучше начать с выноса скайпа в отдельные изолированные иксы, а там уже что нибудь придумывать чтобы они не могли лезть куда не надо.

winddos ★★★
()
Ответ на: комментарий от unanimous

И что, это работает при запуске скайпа от другого пользователя?

Ну так запускаешь то ты скайп на своих иксах, даешь ему доступ к своему .Xauthority
Поэтому он легко может слушать весь ввод твоих иксов, пофиг из под какого юзера от запущен.

winddos ★★★
()
Ответ на: комментарий от winddos

Ну так запускаешь то ты скайп на своих иксах, даешь ему доступ к своему .Xauthority

$ ls -la .Xauthority 
-rw------- 1

Нет, не даю.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

Нет, не даю.

Так или иначе скайп у тебя запущен на тех же иксах в которых ты работаешь из под своего пользователя, так?

winddos ★★★
()
Ответ на: комментарий от winddos

И радуемся отсутствию уведомлений и иконки в трее, это как минимум

Безопасность - это всегда немного неудобно %)

режим secure keyboard в иксах есть.

Ссылочку? Нагуглить невозможн

Мне тоже лень гуглить, скажу по памяти: это специальный режим ввода, который нельзя перехватить (обеспечивается X-сервером), используется для ввода пароля.

вероятность попасть под массовую раздачу примерно нулевая.

С такой логикой лучше вообще не параноить

Есть несчастные случаи (== массовая раздача через zero day), есть заказные убийства (== ломают целенаправленно именно тебя). Меры защиты против второго неприемлимы для обычного десктопа, но это не значит, что нужно вообще забить.

Лучше начать с выноса скайпа в отдельные изолированные иксы

Вариант, да. Интересно, какие X-серверы умеют rootless режим.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Безопасность - это всегда немного неудобно %)

В этом случае таки лучше поднять виртуалку, chroot/MAC создают больше проблем и переносимость у них ниже, плюс с виртуалкой сразу понятно к чему именно она имеет доступ. А не как с MAC когда ты типа настроил все, но толком и не знаешь зачем программе нужен доступ к тем или иным штукам и после апдейта приходится вслепую давать ей права.

Мне тоже лень гуглить, скажу по памяти: это специальный режим ввода, который нельзя перехватить (обеспечивается X-сервером), используется для ввода пароля.

Ну как минимум в gksudo и терминальчиках он никак не используется, увы.

Меры защиты против второго неприемлимы для обычного десктопа, но это не значит, что нужно вообще забить.

Если ты отдаешь себе отчет в том, что такие полумеры почти не добавляют тебе никакой безопасности, то пожалуйста, юзай.

Я уже пытался сделать себе «безопасный десктоп» и считаю, что всякие chroot/apparmor на десктопе только и делают, что создают лишний геморой и чешут ЧСВ настраивающего. На деле приходит следующий апдейт скайпа/хрома/etc и даже если в прошлый раз ты настраивал задумываясь, то на 2-3 раз права раздаются не думая.

winddos ★★★
()
Ответ на: комментарий от lazyklimm

для этого у скайпа должен быть доступ к бинарнику xdotool, а это мы как нефиг делать отрубим MAC

А что мешает нужные функции xdotool реализовать в самом скайпе (если у него есть цель за тобой следить)? Или в коде который загрузит эксплоит (в случае дырки в скайпе)?

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от winddos

это специальный режим ввода, который нельзя перехватить (обеспечивается X-сервером), используется для ввода пароля.

Ну как минимум в gksudo и терминальчиках он никак не используется, увы.

Ну, это подразумевает, чтот разработчики gksudo дураки (а я их не считаю таковыми), включить же secure keyboard в терминале ты можешь и сам (если у тебя xterm).

Если ты отдаешь себе отчет в том, что такие полумеры почти не добавляют тебе никакой безопасности

*пожимая плечами* Я отдаю себе отчет в том, что даже «почти» может оказаться разницей между взломанной и невзломанной тачкой.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

включить же secure keyboard в терминале ты можешь и сам (если у тебя xterm).

1 - Запустил xinput test 10
2 - Запустил xterm
3 - Включил Secure Keyboard и через sudo поднял рута
4 - Все логи нажатых кнопок есть.
Что то здесь не так... Видимо Secure Keyboard это для других целей.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от i_gnatenko_brain

selinux

Расскажи нам как ограничить права скайпа при взаимодействии с иксами с помощью SELinux.

winddos ★★★
()
Ответ на: комментарий от winddos

Наслаждайтесь Ховой изоляцией

[user@localhost] Xephyr :20 -screen 400x900 &
[user@localhost] sudo -i -u skype

[skype@localhost] export DISPLAY=:20.0
[skype@localhost] /path/to/bin/skype

anonymous
()
Ответ на: комментарий от anonymous

Наслаждайтесь Ховой изоляцией

Это я и сам знаю, но не так уж это удобно. С тем же успехом можно виртуалку запустить, будет значительно удобнее.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от winddos

Да, жесть конечно. У меня друг кстати запускает браузер в отдельной виртуальной машине. Я сначала ржал с него, а сейчас уважать ещё больше стал. И ты тоже несомненно прав! Кстати и вирт. машина это не 100%-ная безопасность, насколько я знаю. Но с ней возиться уже вряд ли кто-то будет.

soko1 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.