---

Vi overvjer at installere Skype til kommunikation (tale og cam)

Har hørt at der er stor risiko ved at bruge Skype?

Er det korrekt?
Kan nogen give en idé om, hvor stor risikoen er?
Kan man gøre noget for at minimere denne risiko?

Carsten

---

On Fri, 2 Dec 2005 09:06:47 +0100, "Carsten Thomsen"
<junker(fjern_det_hele_i_parantesen)@info.dk> wrote:

>Vi overvjer at installere Skype til kommunikation (tale og cam)
>
>Har hørt at der er stor risiko ved at bruge Skype?

Hvilken form for risiko har du hørt om?

>Er det korrekt?
>Kan nogen give en idé om, hvor stor risikoen er?
>Kan man gøre noget for at minimere denne risiko?

Du kunne jo starte med at læse lidt her:

http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf

/u

---

> Hvilken form for risiko har du hørt om?

Ikke så meget i detaljer. Men har hørt at det er mere farligt fordi det er
P-to-pear... men som sagt ved jeg intet!

Carsten

---

In article <dmph3h$nph$1@newsbin.cybercity.dk>, Carsten Thomsen wrote:
>> Hvilken form for risiko har du hørt om?
>
> Ikke så meget i detaljer. Men har hørt at det er mere farligt fordi det er
> P-to-pear... men som sagt ved jeg intet!

Det er skodkode. Dermed sandsynligvis sårbart. Features er prioritet fremfor
kvalitet.

I virksomheder er det farligt fordi det er filudveksling uden om de normale
kanale, så filerne har svært ved at blive virusscannet i perimeterforsvaret,
dvs du er afhængig alene af klientens anti-virus.

Hvis du har stor båndbredde, så bliver du måske supernode, og får lov til
at betale nogle millioner ekstra om året for din internetlinie.

Der er mange idioter på nettet, som åbner de vira man sender til dem,
selvom de ikke har hørt om dig før....

For en virksomhed er det noget skåj man skal holde sig fra. Som hjemme-
bruger kan man godt anvende det med omtanke. P2P = Privat til Privat :)

Men det meste kan bruges af kompetente ansvarlige brugere med sun fornuft.

---

Carsten Thomsen wrote:
> Vi overvjer at installere Skype til kommunikation (tale og cam)
>
> Har hørt at der er stor risiko ved at bruge Skype?

Hvilken risiko tænker du på?

Aflytning, identifikations tyveri, komprimering af systemmet, ectetera?

http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf
omhandler aflytning og identifikations tyveri, men ikke de
andre problemstillinger.

> Er det korrekt?
> Kan nogen give en idé om, hvor stor risikoen er?

De fejl jeg normalt bekymre mig om er programmeringsfejl, og
her er det afhængigt af antallet af fejl programmørerne har lavet.

Desværre kender jeg ikke det antal.

Men du kan jo se hvilke type fejl der blevet rettet:

http://www.skype.com/security/bulletins.html

Generelt bør du være bange for "Heap/Buffer overflow", da de
kan lede til udførelse af kode på din maskine.

> Kan man gøre noget for at minimere denne risiko?

Køre applikationen med de rettigheder det har brug for.

Umiddelbart kan jeg ikke se hvad programmet kræver, men
find selv ud af mere på:

http://www.skype.com/security/

---

Quoth Christian E. Lysel:
> Aflytning, identifikations tyveri, komprimering af systemmet, ectetera?

Jeg hader når folk komprimerer mit system!

\\kristian
--
"Power is only given to the man who dare stoop to pick it up. Nothing
more is needed, except courage. From the moment this truth had dawned
upon me - a truth as clear as the light of the sun - I longed to dare,
and I committed murder."

---

Den 02 Dec 2005 17:27:37 GMT skrev Kristian Thy:
> Quoth Christian E. Lysel:
>> Aflytning, identifikations tyveri, komprimering af systemmet, ectetera?
>
> Jeg hader når folk komprimerer mit system!

Dårlig erfaring med DBLSPACE / DRVSPACE?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

In article <439085e2$0$15784$14726298@news.sunsite.dk>, Kent Friis wrote:
> Den 02 Dec 2005 17:27:37 GMT skrev Kristian Thy:
>> Quoth Christian E. Lysel:
>>> Aflytning, identifikations tyveri, komprimering af systemmet, ectetera?
>>
>> Jeg hader når folk komprimerer mit system!
>
> Dårlig erfaring med DBLSPACE / DRVSPACE?

Ja, problemet med den kode Microsoft piratkopierede var, at den ikke var
lige så god som originalen (Stacker). men de fik også lov til at betale
for tyveriet/piratkopieringen.

Heldigvis havde stacker råd til retsagen.

---

"Kristian Thy" <thy@itu.dk> skrev i en meddelelse
news:43908409$0$15781$14726298@news.sunsite.dk...
> Quoth Christian E. Lysel:
> > Aflytning, identifikations tyveri, komprimering af systemmet, ectetera?
>
> Jeg hader når folk komprimerer mit system!
>
> \\kristian
> --
> "Power is only given to the man who dare stoop to pick it up. Nothing
> more is needed, except courage. From the moment this truth had dawned
> upon me - a truth as clear as the light of the sun - I longed to dare,
> and I committed murder."

Du kan jo vælge at køre programmet på en seperat PC eller måske i en VMware
?
Så burde dit system være rimelig sikkert.

mvh

Martin Damberg

---

In article <4391a062$0$78279$157c6196@dreader1.cybercity.dk>, Martin Damberg wrote:
> Du kan jo vælge at køre programmet på en seperat PC eller måske i en VMware
> ?
> Så burde dit system være rimelig sikkert.

Hvordan det ? Hvis han virtuelle maskine inficeres med en trojaner, så
er der en trojaner løs på lokalnetværket.

---

Den 03 Dec 2005 13:42:59 GMT skrev Povl H. Pedersen:
> In article <4391a062$0$78279$157c6196@dreader1.cybercity.dk>, Martin Damberg wrote:
>> Du kan jo vælge at køre programmet på en seperat PC eller måske i en VMware
>> ?
>> Så burde dit system være rimelig sikkert.
>
> Hvordan det ? Hvis han virtuelle maskine inficeres med en trojaner, så
> er der en trojaner løs på lokalnetværket.

Så er det da godt at lokalnetværket bare er en stak kabler, der
overlever den ikke ret mange millisekunder uden noget at
inficere.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Fri, 2 Dec 2005 09:06:47 +0100, "Carsten Thomsen"
<junker(fjern_det_hele_i_parantesen)@info.dk> wrote:

> Har hørt at der er stor risiko ved at bruge Skype?
>
> Er det korrekt?

http://www.networkworld.com/reviews/2005/121205-skype-test.html

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
> http://www.networkworld.com/reviews/2005/121205-skype-test.html

Mmmm, "indecipherable encryption".

Jeg mener iøvrigt ikke det er umuligt at forhindre ens brugere i at køre
Skype, men det kræver man er villig til at styre hvilke maskiner får
adgang til ens netværk og hvilke applikationer de kan køre.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

"Alex Holst" <a@mongers.org> wrote in message
news:439ec70c$0$2100$edfadb0f@dtext02.news.tele.dk...
> Asbjorn Hojmark wrote:
>> http://www.networkworld.com/reviews/2005/121205-skype-test.html
>
> Mmmm, "indecipherable encryption".

Ja, og den her: "Because Skype is largely a point-to-point protocol
service, the person you call, or who calls you, can infect communications
to you with, say, worms or viruses. But any standard anti-virus protection
on your PC or laptop should be able to spot and stop these."
Hvad mener de egentlig... hvis min pc er inficeret, hvordan kan det så
overføres via Skype?
Og hvis det kan lade sig gøre, er det da oplagt at angribe den vej med en
ny virus el. lign. konstrueret til lejligheden - det kan ethvert
standardantivirusprogram da ikke gøre noget som helst ved...

> Jeg mener iøvrigt ikke det er umuligt at forhindre ens brugere i at køre
> Skype, men det kræver man er villig til at styre hvilke maskiner får
> adgang til ens netværk og hvilke applikationer de kan køre.

Alternativt kræver det at man er villig til at belønne folk for ikke at
bryde en sikkerhedspolitik, som f.eks. siger noget i retning af at Skype
må ikke bruges
.... man kan selvfølgelg også straffe i stedet for, afhængig af den
aktuelle firmapolitik.

Spørgsmålet er hvad der er lettest... altså enten styre hvilke computere
der må være på nettet og hvad de må afvikle, eller køre
overvågning/stikprøvekontrol/etc. for at håndhæve sikkerhedspolitikken...
og i praksis er det vel ikke engang enten eller (med mindre man er utrolig
sikker på sin styring).

/Jens Ulrik