Skype – свободен софтуер?

Наскоро в мрежата се промъкна такава новина. При внимателно преглеждане обаче истината се оказа малко по-различна. Ако трябва да цитирам автора на новината (събрано от няколко негови изказвания и коментари): “Skype винаги е бил свободен софтуер. Сега ще стане и софтуер с отворен код – потребителският интерфейс ще бъде отворен.”

Казано иначе, протоколът на Skype и модулите, които го поддържат, ще останат класически затворен собственически софтуер. Само по себе си това вече е достатъчно, поне за мен, за да игнорирам остатъка от новината – тоя мач вече съм го гледал доста пъти. За негледалите го обаче ще поясня:

“Свободен софтуер” означава софтуер, целият изходен код на който е напълно достъпен за разглеждане, променяне, компилиране до изпълним код и разпространяване както човек пожелае. Skype е безплатен софтуер – разликата е огромна. Да кажем, колкото между свобода и безплатно сиренце.

Идеята е, че от Skype ще компилират само модула, който изпълнява комуникацията, като затворена библиотека. След това ще документират част от обръщенията й, и ще я връчат на общността на свободния софтуер. С надеждата, че ще се намерят ахмаци, които да й направят потребителски интерфейс за без пари, въпреки че не е и няма да бъде свободна. (Оттам и аналогията с безплатното сиренце.) Просто Skype, Inc. се мъчи да прехвърли част от програмистките си разходи на общността на свободния софтуер.

Не съм декомпилирал кода на Skype лично, така че не зная дали да вярвам на твърдението на един познат хакер, че вътре има пълноценен троянски кон, даващ на Skype Inc (и на който друг знае ключовете за достъп) пълен контрол върху компютъра ти. Но съм чоплил протокола му за обмяна, и съм се интересувал какво са разчоплили други. Една от подробностите е, че ако Интернет линията ти е малко по-добра, можеш да се окажеш в ролята на релеен сървър за неизвестен брой Скайпове наоколо – програмата го прави автоматично. Ако плащаш на трафик, на края на месеца те очаква изненадаааа! Проверил съм тази особеност лично, така че стоя зад думите си.

Друга особеност е, че протоколът за гласов обмен е шифрован не съвсем кадърно, а chat съобщенията са си на практика в открит текст. Резултатът е, че масово публикуваната реклама за “защита на комуникацията” в Skype, да го кажем дипломатично, не отговаря на истината. Личното ми впечатление е, че защитата на XMPP протокола (Jabber, Google Talk и пр.) е несравнимо по-добра. При излизане на нови версии на протоколите това може да се промени, но засега е така.

В крайна сметка Skype, както и повечето други затворени собственически програми, са прехвалени далеч над реалните им потребителски качества. Какво друго следва да се очаква от програма, написана и маркетирана от хора, които се опитват да представят като “подарък” опита си да хванат шарани да им правят части от програмата им без пари? Коректност? Правдивост?!…

По всички тези причини от много време не ползвам Skype. Не го смятам за мъдра постъпка. И аргументът “всички други го ползват” ме убеждава колкото воя на вятъра в комина. Ако на някого съм реално нужен, или пък ми е истински приятел, ще ползва Jabber, след като го ползвам и аз. Ако не иска да използва един свестен протокол на общуване, за да се свърже с мен, откъде-накъде ще очаква аз да си сложа на компютъра лош и опасен протокол, за да общувам с него? Съжалявам – не става.

Фанатик на свободния софтуер ли? Не зная. Мисля, че не съм чак фанатик. Може и да греша, и да съм.

Но знам точно какво ме е направило такъв. Програми като Skype, и подходи на техни автори като този, по повод на който пиша това.

16 Responses to 'Skype – свободен софтуер?'

  1. Петър Петров Says:

    Нали го знаеш това:

    http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf

    Последните страници са обобщение на изследването.

  2. дЕДО Says:

    Не се опитват да си прехвърлят разходите, това е стъпка основно в рекламна и популистка посока. Става въпрос за стратегически решения.

  3. Григор Says:

    @Петър Петров: Знам го, и не съм съгласен с някои от изводите. Криптографията му е на ниво “good” само ако в скалата има поне още и “better” и “excellent” (тоест, като за четворка). Че е total blackbox – уви, също вече не е; който трябва (по-точно който не трябва) отдавна вече знае напълно протокола на Skype (виж “Fully trusts anyone who speaks Skype”). Като цяло, към момента Skype е най-разпространеният троянец в света. (Помниш ли вируса “Anti-Manele”? Дето сума ти хора предлагаха да спонсорират автора му да го доразвива?)

    @дЕДО: Не отричам, че има опит и в рекламна и популистка посока. Подозирам обаче, че ще извадят очи вместо да изпишат вежди – обявата, че Skype е свободен софтуер, е реално да срещне категоричен отговор от общността на свободния софтуер, и този отговор ще се чуе. А това ще поотвори някои очи за Skype, и ще е много неприятен прецедент.

  4. Жорка Says:

    Дай някакви данни/линкове за твоите тези. Специално ме интересува за “чата” в Skype, понеже го ползвам за бизнес контанти.

    BTW защо удареното “ѝ-Ѝ” го пишеш “и кратко” ? 🙂

  5. Григор Says:

    @Жорка: Удареното И го пиша Й, защото нямам на клавиатурата подходяща буква, а ме мързи да си измисля начин. 🙂

    Иначе, повечето данни, които съм ползвал, не са достъпни, и към тях няма линкове. Нито Skype има интерес да изнася такава информация, нито хората, които могат да разбият и разшифроват протокола им (за това умение има кой да плаща МНОГО). Ето ти обаче малко линкове, които може би ще са ти полезни – съобщенията очевидно се четат като добрутро:

    http://www.theregister.co.uk/2008/10/03/skype_coughs_to_china_test_tap/ (тук Skype лъжат, че е станало без тяхно знание)
    http://gizmodo.com/187435/skype-cracked (това е отпреди повече от 2 години, и е потвърдено и от други места; също, познавам поне един човек, който би се смял до припадък на израза “no amount of reverse engineering would threaten Skype’s cryptographic security or integrity” – познай защо)
    http://www.toodoc.com/Skype-protocol-pdf.html (тук има малко интересни PDF-чета)
    http://www.isaacmao.com/meta/2006/11/yet-another-skype-crack-team.html (още едни, пробили протокола – този път качествено; има един руски екип, за който съм чувал, че го е пробил докрай, но и малкото линкове за него, които ги имаше, вече ги няма 🙂 )

    http://www.google.bg/search?hl=bg&q=skype+protocol+cracking+site%3Askype.com&meta= (доста инфо за кракване на Skype; повечето е за твърдението на китайците, но ако имаш търпение, ще изровиш и друго)

    Като цяло, това да счупиш протокола на Skype и да продадеш на Skype мълчанието си е добър бизнес. 🙂 А това да разчиташ връзките им и да снасяш информацията на който се интересува е още по-добър. Отиваш в региона, който интересува клиента, слагаш един компютър на яка линия, да стане супервъзел (твоят “клиент” ще си рапортува линията като яка така или иначе, но трябва да можеш и да пренасяш разговорите, иначе подслушваните може да заподозрат), и си в бизнеса. Нужда от още?

  6. Валентин Стойков Says:

    Това е моето решение за писане на ударени букви:
    http://www.linux-bg.org/forum/index.php?topic=8294.msg125181#msg125181

    Клавиатурната подредба дава възможност да се пишат всички ударени букви както и няколко гръцки (υωπαδφγχξλζβνμρ) и руски букви (ыёэ), кавички („“ “” ”), знак за ударение (приложим за комбиниране с всички подходящи букви), някои специални знаци (®™©№€§°).

    Всичките тези магии стават като се комбинира клавиша AltGr (десния Alt) и съответния клавиш (а може да се включи и Shift).

  7. Виктор Says:

    Миии, Жорка, аз виждам например това:
    BTW защо удареното “?-?” го пишеш “и кратко” ?
    тоест, добре прави Григор.

  8. Atanas Boev Says:

    Подозирам обаче, че Григор има на клавиатурата разни символи от руската азбука 🙂 Григоре, ако си на линукс, имаш точно никакво оправдание:)

  9. Камен Филипов Says:

    Това, че Skype има интегриран backdoor, е потвърдено. В предишната ми фирма се налагаше да говорим ежедневно с китайския ни офис, и там скайп беше забранен, защото местните Ай-Ти-та бяха ровили достатъчно надълбоко и знаеха за скритите “екстри” на Скайп.

    Успокоението е, че другите клиенти, които поддържат скайп протокола, поне нямат торянци. Остава проблемът със сигурността на протокола, но за това пък има други протоколи и клиенти.

  10. Григор Says:

    @Валентин Стойков: Благодаря! Но сигурно ще мине малко време, докато изоставя навика.

    @Виктор: 🙂

    @Atanas Boev: Символите от руската азбука често ги използвам, така че имам точно никакво оправдание да ги изхвърля. 🙂

    @Камен Филипов: Имаш ли някакъв официален линк за потвърждението? Често ми е нужно нещо в Интернет, което да мога да покажа на невярващите. Също, кои са другите клиенти, които поддържат Скайп протокола? Знам, че има няколко, които използват protocol engine на Скайп и го надстройват със свой интерфейс, но не знам къде е заровен троянеца.

    Иначе, за мен протоколът за връзка е Jabber (encrypted, ако отсрещната страна го поддържа). Ако някой иска аз да си сложа програма с троянец, вместо той да си сложи свястна, и това му е непреодолим препъни-камък, значи не му е наистина нужно да комуникира с мен.

  11. tie Says:

    @Камен Филипов: Далеч по-вероятно е китайците да блокират Skype, защото партийните Ай-Ти-та не могат да го следят. Що се отнася до алтернативните клиенти – те също ползват затворена библиотека предоставена от Skype, така че също толкова лесно могат да имат троянец.

    @Григор: “…а chat съобщенията са си на практика в открит текст” – FUD, освен ако не можеш да го докажеш 🙂

  12. Пешо Says:

    и аз не ползвам Скайп, но иначе за потребителите програмата си е полезна, и сигурно 0.0001% от тях се вълнуват от разликата между “безплатна” и “с отворен код”.
    В намеренията им да отворят потребителският интерфейс не виждам нищо лошо или нечестно, който му се занимава да човърка.
    Не мисля, че целта е някой да им направи потребителски интерфейс за без пари – Скайп и сега си има интерфейс, и сигурно ако искат могат да вадят по два нови интерфейса на седмица.
    По скоро целта е увеличаване на потребителската база като се даде възможност технологията да се вгражда и използва в други продукти – къде по-лесно е, вместо да се бъхтиш да пишеш сам нещо с подобна функционалност, да вземеш готова библотека и да нацвъкаш няколко обръщения към нея. Била затворена – е ми кво? Нали работи. Нищо не пречи и да и подаваш вече криптирани данни и от другата страна да си ги декриптираш, така сигурността на преноса не те вълнува.

  13. Григор Says:

    @tie: Абе и аз имам същата информация като Камен Филипов. От хора, на които по принцип вярвам е, но просто не съм я проверил лично, и затова не мога да изнеса точен метод как да се провери. За съобщенията – някъде по диска ми се мотае как точно се прехващаха, но го пробвах дали работи преди повече от 2 години, и ЕГЗ къде е заровено… ще мине сигурно един ден, докато го открия, така че няма да си дам труда. (Подсетка: Чрез четене на съобщенията през Skype китайците си бяха хванали разни дисиденти, случаят е известен.)

    @Пешо: Проблемът със сигурността на пренасяните данни е по-малкият. Ако в библиотеката наистина има троянец (ако имах една-две седмици свободни, щях да си поиграя да почопля и да проверя), това дали данните ти са криптирани те топли като зимен вятър. И точно затова процентът за вълнуващите се правилно отразява съотношението на глупаци и не-глупаци. Ако има троянец, дори Skype да са с най-добри намерения и никога да не го използват срещу теб (а в бизнеса това е въпрос единствено на пари), винаги ще се намери кой друг да прехване достъпа му. (Не искам да напиша нещо повече, защото не е за в блог – сещай се сам.)

    За библиотеките – който иска свестен и добре криптиран протокол, библиотеки за джабър даже няколко. Иначе, да човъркаш свободен интерфейс към несвободен енджин ми се струва толкова смислено и оправдано, колкото свободно да сееш нива, която не е свободна за жънене. Затова и мисля, че кодът им няма да увеличи потребителската база. По-скоро може би разчитат на това да скрият енджина си (и какъвто пълнеж има в него, пак да не се доизразя докрай) зад привидно необвързани с него интерфейси. (Още една подсетка – търговията с големи бази лични данни е една от най-доходоносните в Нета. Далеч по-доходоносна вече примерно от тази с откраднати номера и пароли за кредитни карти. Кредитните карти са опасно нещо, а личните данни и профилирането – никак. И е много по-търсена, ако знаеш къде и от кого.)

  14. Пешо Says:

    за троянски кон не знам. Не го изключвам, но за да се твърди че в Скайп има такова нещо, някой трябва да е наблюдавал някакво последствие от наличието на троянски кон – примерно предаване на някакви данни навън или нещо подобно. Иначе не знам по какъв начин може да се разбере, че в програмата има подобна фунционалност. А ако данните са криптирани, тоя някой трябва също да ги е декриптирал за да е сигурен какво съдържат.

  15. Григор Says:

    @Пешо: Аз лично бих, хм, предположил друг вариант – че някой е наблюдавал самия троянски кон, като код. SoftIce е разкошно, но не непобедимо нещо. Непобедими неща няма.

  16. Минута е много Says:

    IMHО “отварянето” е добро бизнес-решение. Скайп печелят от VoIP терминиране (потребителите плащат да говорят с мобилни/обикновени телефони) и има голяма вероятност да увеличат клиентите си с включването на Скайп-модули в многопротоколните IM клиенти. За обикновения потребител Скайп предлага лесен и достъпен начин за набиране на обикновени телефони и изпращане на SMS, което не може да се каже за повечето други IM и VoIP протоколи.

Leave a Reply