Skypeが脆弱性を修正した方法

簡単な答え：まさか、彼らは気にしません。

この記事では、Microsoftの従業員に自分のサービスが脆弱であると納得させようとする試みの失敗と、Skypeユーザーが耐えなければならない屈辱について説明しています。 カトムの無知、痛み、絶望の下で。

UPD

英語の記事hub.zhovner.com/geek/how-skype-fixes-security-vulnerabilities/



HackerNewsに投稿するnews.ycombinator.com/item?id=13227480



TL; DR：

• 誰でもアカウントを永久にブロックできるため、使用できなくなります。 これを行うには、アカウント名を知っているだけです。 ほとんどの場合、Skypeはアクセスの復元を拒否します。 マイクロソフトはこの問題を数年間認識しています。
  
  
  
  
• Microsoftアカウントのパスワードを回復するために使用される、8桁のワンタイム認証コード（Microsoftセキュリティコード）を生成するメカニズムは脆弱です。 攻撃者はコードを推測できます。
  
  
  
  
• Skypeテクニカルサポートは、ソーシャルエンジニアリング攻撃に対して脆弱です。 Microsoftはこれが正常だと考えています。
  
  
  
  
• Skypeテクニカルサポートは、アカウントで実際に何が起こっているのか、なぜブロックされているのかを知りません。 いずれの場合でも、リクエストでアカウントが削除された場合でも、ルール違反によりアカウントが停止されたという標準的な応答を受け取ります。
  
  
  
  
• Skypeは、ローカルアドレス（ネットワークインターフェイス上のアドレス）を含むIPアドレスを引き続き公開します。 場合によっては、同じ外部IPアドレスから接続された連絡先を開くことができる場合があります。 たとえば、ホームルーターに接続されている家族。
  
  
  
  
• 攻撃者は、古いバージョンのSDKを使用して、許可されたクライアントのリスト（command / showplaces ）からアクティブなセッションを隠すことができます。 したがって、パスワードを知っていれば、被害者の通信を慎重に見ることができます。

私について

私は約10年間Skypeを使用しています。 以前、私は自分自身を本当のSkypeファンボーイと呼ぶことができました。

パブリックバグトラッカーjira.skype.comが利用可能になったとき、バグについて報告されたSkypeの改善を積極的に試みました。



たとえば、SCW-2778リモートDoSエクスプロイト。 この脆弱性により、Skype for Windowsのデスクトップバージョンがリモートでクラッシュし、プログラムが履歴をクリアしないと起動できなくなりました。



または、通話中にミュートされたマイクをリモートでオンにできるSCW-3328。



それでも、Skypeはバグを修正するアプローチに不安を感じていました。 何年も修正できなかった問題を修正するために、文字通り開発者に頼まなければなりませんでした！ 外観は次のとおりです。



すべてのSkype製品、Skype4Com、Skypekitを開発するためのツールを使用しました。 プレミアムサブスクリプションを購入しました。 彼は、仕事でSkype For Businessを購入するというアイデアを促進しました。 彼はボット、 カスタム絵文字を生成するサービスなどを書きました。



しかし今日、私は心からSkypeが嫌いだと言えます。 これは嫌なサービスであり、従業員の官僚主義と無知に浸り、問題を完全に無視し、3D Video Smilesの作成に忙しいだけです。 今日、Skypeは安全ではないだけでなく、セキュリティメカニズムが機能しないため、 ユーザーに脅威を与えています 。

タイムライン

数年前から、任意のSkypeアカウントのブロックにつながる脆弱性がありました。 それらのいくつかがあります;攻撃者は積極的にそれらを使用し、サービスとして提供します。



私はSkypeの脆弱性について多くのことを書いていましたが、検索で私を見つけたロックの犠牲者が私に連絡し始めました。



Skypeアカウントをブロックするさまざまなケースを見てきました。 彼は人々がアクセスを取り戻すのを助けようとし、Skypeにこれで少なくとも何かをするように頼みました。



通常、これらは大量の苦情によるロックでした。 これは、長年にわたって存在してきた長い間知られている方法です。 それは非常に古いので、Skypeで互いに戦争をしている子供たちのサブカルチャーの一部になっています。 しかし、ここ1年、私が沈黙することのできないひどいことが起こっています。

方法1-悪用（クラシック）

Skypeでは、他のユーザーから十分な数の苦情を受け取った場合、アカウントは自動的にブロックされます。 おそらく20個以上。



苦情を送信するために、連絡先リストにアカウントを追加する必要はありません。検索でアカウントを見つけ、[ブロック→不正行為を報告]をクリックすることでこれを行うことができます。



したがって、被害者は自分に宛てられた苦情を知らないかもしれません。



この手法は長年にわたって使用されてきました。 彼らはHabréでそれについて書いた、グループで集まって苦情をまとめる子供たちでさえそれについて知っている。



ここでは、たとえば、vk.comでのクイック検索で見つけました：

vk.com/block_pidaram_skype

vk.com/skype_delete

vk.com/blacklistskype

vk.com/blockskyp

vk.com/eds_snos

vk.com/club58649499

vk.com/club49404483

Skype自体には、このようなコミュニティが数多くあります。 「パンパー」の別のサブカルチャーもあります。 通常、これらは一族で団結している12-19歳の子供です。 彼らの活動の本質は、ランダムに選ばれた相手に最大限の損害を与えることです。



主な戦いは、グループコールでの言葉による決闘の形で行われます。 重要なのは、対話者をできる限り短時間で屈辱し、ビデオに修正することです。





一部のポンピングクランは、悪意のあるアクティビティを自動化するために独自の専用ソフトウェアをリリースします。



苦情の大量配布のためのプログラムのデモ（ビデオ） 。 それは、送信されたアカウントを自発的に悪用する独自の連絡先リストのボットネットのように見えます。 苦情については、被害者のアカウントを連絡先に追加する必要がないことを思い出させてください。 つまり、一度も話したことがない何百人もの学童があなたについて不平を言うことがあり、あなたは知りません。



個人的には、この方法でアカウントが削除された多数の被害者を知っています。 すべてのSkypeサポートコールには、標準的な応答が返されます。

Skypeアカウントがブロックされたことを理解しています。 これによりご迷惑をおかけしましたことをおaび申し上げますが、この問題について詳しく調査させていただきます。



当社の自動システムは、Skypeの利用​​規約に反する活動がSkypeアカウントを介して行われたことを検出しました。 その結果、アカウントは制限されており、追って通知があるまで制限されたままになります。

翻訳

アカウントがブロックされていることを理解しております。ご不便をおかけして申し訳ございません。 私は私がどのように助けることができるかを見るためにもっと幸せになります。



私たちの自動システムは、あなたがすべてのルールをごまかして違反していると判断しました。 したがって、アカウントのnafigを削除しました。さようなら。

この脆弱性が現在修正されていると思いますか？ もちろん違います！

テクニカルサポートロック

2015年の秋に、新しいタイプの攻撃に苦しむ人々が私に手紙を書き始めました。 今回、アカウントをブロックする前に、被害者はMicrosoftから8桁のコードを含む手紙を受け取りました。 手紙はverifyme@microsoft.comメールボックスから送信され、正しいDKIM署名が付けられていました。つまり、Microsoftからのものでした。







友人と独自の調査を行った後、攻撃者を見つけました。 彼の発表は少年ハッカーのすべてのフォーラムを埋めました。



彼の詳細は次のとおりです。

ICQ: 676061500
Skype: alaaasddsa1.as
Jabber: block_service@xmpp.jp

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

:







, , .

:

• , . .
• - .

Skype .



Microsoft Security Code, .



10 24 . , .



, , .

, .

Microsoft Support Code: 41917837 Fri, 26 Feb 2016 04:25:54 -0800 (PST)
Microsoft Support Code: 14793784 Fri, 26 Feb 2016 04:27:32 -0800 (PST)
Microsoft Support Code: 58837293 Sat, 27 Feb 2016 03:29:18 -0800 (PST)
Microsoft Support Code: 68871688 Sat, 27 Feb 2016 03:29:33 -0800 (PST)
Microsoft Support Code: 38424446 Sat, 27 Feb 2016 03:30:33 -0800 (PST)
Microsoft Support Code: 25068066 Sat, 27 Feb 2016 03:35:39 -0800 (PST)
Microsoft Support Code: 27311897 Sat, 27 Feb 2016 03:58:58 -0800 (PST)
Microsoft Support Code: 93194445 Sat, 27 Feb 2016 04:02:43 -0800 (PST)
Microsoft Support Code: 32506812 Sat, 27 Feb 2016 04:03:36 -0800 (PST)
Microsoft Support Code: 33627494 Sat, 27 Feb 2016 04:05:40 -0800 (PST)
Microsoft Support Code: 98350414 Sat, 27 Feb 2016 09:00:03 -0800 (PST)
Microsoft Support Code: 12437217 Sat, 27 Feb 2016 11:41:04 -0800 (PST)
Microsoft Support Code: 42078695 Sat, 27 Feb 2016 11:42:45 -0800 (PST)
Microsoft Support Code: 41321028 Sat, 27 Feb 2016 11:43:09 -0800 (PST)
Microsoft Support Code: 44964659 Sat, 27 Feb 2016 11:43:19 -0800 (PST)
Microsoft Support Code: 90692933 Sat, 27 Feb 2016 12:50:21 -0800 (PST)
Microsoft Support Code: 23696204 Sat, 27 Feb 2016 12:55:18 -0800 (PST)
Microsoft Support Code: 60212551 Sat, 27 Feb 2016 12:55:25 -0800 (PST)
Microsoft Support Code: 81725942 Sat, 27 Feb 2016 12:58:04 -0800 (PST)
Microsoft Support Code: 29172590 Sat, 27 Feb 2016 14:26:54 -0800 (PST)
Microsoft Support Code: 28091548 Sat, 27 Feb 2016 14:30:38 -0800 (PST)
Microsoft Support Code: 55969586 Sat, 27 Feb 2016 14:54:21 -0800 (PST)
Microsoft Support Code: 12424717 Sat, 27 Feb 2016 14:57:59 -0800 (PST)
Microsoft Support Code: 36300450 Sat, 27 Feb 2016 14:58:16 -0800 (PST)

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, , (, , ). . skype.com deleted@skype.com. .



:

• . , , .
• .
• . Skype- . .

, . , Microsoft Security Code. , . , , , , , :





.



Live Chat Support, . skype.com, . « », .



https://sales.liveperson.net. , , .



. :

1. : «, accountname, .
2. , , , . , .
3. , , . , .

, , skype.com. , , , . , .



, .

, Microsoft!

. Skype.

, ?



Skype - , . , .



Microsoft. , , . , . .



. Microsoft , .



secure@microsoft.com. . 24 . .



Microsoft Security Response Center:





: , .



, Microsoft, , . !!!.



, . - . , , . , , , , . , liveperson.net.



Skype liveperson.net, microsoft.com. - . , .



, , . .

—

, . Security Code , .



, . , .



, . zhovner . , , . .











— 2 ( $30). . , , .

Skype

Skype. , , .



: telegra.ph/Account-blocked-by-mass-abuse-reporting ( )

, , .



:

<> ? , .



<Skype> Skype.



<> , , . . , .



<Skype> , , . , . , , . — .



<> . .



<Skype> , , 100%



<> , , .



<Skype> . .



<> , ? , , , ? ? , -. , , . , . ? .



<Skype> , . .



<> . , . . , , , . , .



<Skype> , . , . , — . !



<> , ? …



<Skype> , .

, 15 . , . - , Skype , , .



, Skype — , - . , - .



, . , , , , .



, , .



, Skype, , .



, , , . - . , .



- - , .