web-dev-qa-db-fra.com

ESET avertit: Skype tente de communiquer avec un ordinateur distant inconnu

Je reçois souvent des avertissements de mon pare-feu ESET, comme celui-ci sur la photo ci-dessous, que Skype tente de communiquer via SSL avec un ordinateur distant disposant d'un certificat non approuvé:

ESET warning

L'ordinateur distant est toujours un hôte différent. Je ne connais jamais ou reconnaît l'ordinateur distant, et je suis très alarmé à cela. Est-ce que quelqu'un a une explication à ce sujet?

tlsfirewallsskype
19
Shaul Behr

Eh bien, après tout, j'ai rencontré plusieurs chèques antivirus, de différents vendeurs AV, et rien de suspect n'a été trouvé. J'ai enregistré des appels de support avec ESET et Skype concernant ce problème. Les gens de ESET m'ont dit au téléphone qu'il est prudent d'approuver et Skype Email Tech Support:

Nous pouvons vous assurer que cela n'est pas dû au malware.

Je n'ai pas pu faire que quiconque puisse expliquer exactement pourquoi Skype communique sur SSL sur des hôtes non fourrés arbitraires, mais compte tenu de cette assurance, je ne ressens au moins pas la nécessité de nuke de l'orbite, même si je continue à appuyer sur "Non" lorsque ce message apparaît.

0
Shaul Behr

Oui, soyez alarmé. Il semble que quelque chose injecté dans Skype essaie de communiquer avec un serveur non approuvé en Ukraine. Il n'y a aucune raison pour Skype de le faire normalement.

Un peu d'investigation sur le domaine renvoie ces informations:

domain:     pakko.ua
admin-c:    PC226-UANIC
tech-c:     IMENA-UANIC
status:     OK-UNTIL 20131123175521
dom-public: NO
license:    43288
nserver:    ns1.imena.com.ua
nserver:    ns3.imena.com.ua
nserver:    ns2.imena.com.ua
mnt-by:     IMENA-UANIC (ua.imena)
created:    0-UANIC 20041123175521
changed:    IMENA-UANIC 20121011174615
source:     UANIC

nic-handle:     PC226-UANIC
organization:   Pakko Corporation
address:        Klima Savura 21
address:        Lutsk Ukraine
fax-no:         +380332 78 94 39
phone:          +380332 78 94 94

Une recherche rapide de "Pakko Corporation" ne société à responsabilité limitée en Ukraine :

Address:
21а, Savura str., c. Lutsk, Volyn reg., 43005, Ukraine
Telephone:
+38(0332) 78-91-90, 78-94-89
Web-site:
http://www.pakko.ua

Ils répertoriez le nombre de leurs employés entre 50 et 100. Un peu plus de creuser trouve n employé précédent sur LinkedIn et un peu plus d'informations.

Cela ressemble donc à une entreprise légitime, mais je n'ai pas envie de vous rendre sur leur site Web pour déterminer ce qu'ils font. Je suppose que leur site a été compromis et est maintenant utilisé comme serveur de commandes et de contrôle.

Je suppose que vous avez une sorte de logiciel malveillant qui a injecté un fil dans Skype, car c'est un programme qui est généralement autorisé à communiquer avec le réseau. Étant donné que votre machine est probablement compromise, ma recommandation est de Nuke it de l'orbite et recommencer.

12
Polynomial

Cela pourrait simplement être un Supernode Skype Je ne le pense plus), cela dit, je pense qu'il y a des drapeaux rouges:

  • Le serveur est en Ukraine et appartient à une entreprise qui ne semble pas avoir des affaires avec Microsoft/Skype, et elles ne semblent pas être en mesure d'héberger un supernode Skype.

  • Le serveur est en cours d'exécution Proftpd 1.2.10 Derrière un port ouvert 21. Je ne vois pas pourquoi un surnode Skype (supposé être sécurisé et ce que rien) exécute un serveur FTP comme celui-ci, au lieu de tunneling via SSH (- SFTP )

  • NMAP Scan révèle SMTP (465), IMAP (993), POP3 (995). Ce qui ne ressemble pas à très skype surnodish pour moi, je préférerais dire qu'il est utilisé comme serveur de spam-génération.

Si vous cherchez quelqu'un pour vous dire quoi faire et assumer la responsabilité de vos propres actions, cela ne va pas arriver. Les données sont ici, sur la base de mon jugement, je me tiens avis de Polynomial , cela ressemble à quelque chose à craindre.

Voici le Nmap Scan en question.

Mise à jour:
[.____] J'ai fait un autre numérisation plus profond , je dirais avec 90% de certitude ce n'est pas un supernode Skype.

  • Exécution de Microsoft IIS sur le port 4040, Edonkey sur le port 4662.
  • Exécution du HTTPD sur le port 443 (doit être utilisé par Skype)
  • N'utilise pas le port 80 (doit être utilisé par Skype)

2ème mise à jour:

S'il s'agissait d'un supernode Skype légitime, l'un des cas suivants s'applique:

  • Il est géré par Microsoft ou Microsoft Partners/Associates. Ensuite, je ne pense pas que cela devrait gérer des services d'insécurité et des choses comme Edonkey.

  • C'est un utilisateur normal qui a opté pour être un nœud. Ensuite, le port 443 et le port 80 doivent être ouverts et utilisés par Skype.

8
Adi

Skype utilise un modèle de pair sur des pairs pour acheminer des "appels" via Internet, ce qui signifie qu'une partie de la fonction de recherche est en cours de routage via des tiers inconnus.

Microsoft (quand ils ont acheté Skype) ont changé le modèle plus tôt cette année, de sorte qu'il issue principalement par des nœuds semi-fi fiducies (c.-à-d. Pas certains gars à la maison haut débit!) Qu'ils appellent des "supernodes" - apparemment ils sont dans "Datacentres sécurisés" et sont, évidemment se répandre autour du globe.

Si je comprends bien; Ce tech est utilisé pour trouver des utilisateurs - les appels eux-mêmes ne sont pas passés via des supernodes

Il y a beaucoup de personnes qui ne font pas confiance à Skype car elles n'ont pas révélé comment fonctionne son système de sécurité, en particulier de cryptage.

3
Callum Wilson