Ricevo frequentemente degli avvisi dal mio firewall ESET, come quello mostrato di seguito, che Skype sta tentando di comunicare su SSL con un computer remoto con un certificato non attendibile:
Il computer remoto è sempre un host diverso. Non conosco o riconosco il computer remoto e sono molto preoccupato per questo. Qualcuno ha una spiegazione per questo?
Bene, dopo tutto, ho eseguito diversi controlli antivirus, da diversi fornitori di AV, e non è stato trovato nulla di sospetto. Ho registrato chiamate di supporto sia con ESET che con Skype per quanto riguarda questo problema. La gente di ESET mi ha detto per telefono che è sicuro approvare e il supporto tecnico via email di Skype ha scritto:
We can assure you that this is not due to malware.
Non potevo convincere nessuno a spiegare esattamente perché Skype sta comunicando tramite SSL a host arbitrari non fidati, ma data questa rassicurazione da almeno non sento il bisogno di nuke dall'orbita, anche se continuo a premere "No" quando viene visualizzato questo messaggio.
Sì, sii allarmato. Sembra che qualcosa iniettato in Skype stia cercando di comunicare con un server non affidabile in Ucraina. Non c'è motivo per Skype di farlo normalmente.
Un po 'di indagine sul dominio restituisce queste informazioni:
domain: pakko.ua
admin-c: PC226-UANIC
tech-c: IMENA-UANIC
status: OK-UNTIL 20131123175521
dom-public: NO
license: 43288
nserver: ns1.imena.com.ua
nserver: ns3.imena.com.ua
nserver: ns2.imena.com.ua
mnt-by: IMENA-UANIC (ua.imena)
created: 0-UANIC 20041123175521
changed: IMENA-UANIC 20121011174615
source: UANIC
nic-handle: PC226-UANIC
organization: Pakko Corporation
address: Klima Savura 21
address: Lutsk Ukraine
fax-no: +380332 78 94 39
phone: +380332 78 94 94
Una rapida ricerca di "Pakko Corporation" restituisce a una società a responsabilità limitata in Ucraina :
Address:
21а, Savura str., c. Lutsk, Volyn reg., 43005, Ukraine
Telephone:
+38(0332) 78-91-90, 78-94-89
Web-site:
http://www.pakko.ua
Loro elencano i loro numero di dipendenti compreso tra 50 e 100. Un po 'più di scavi trova un dipendente precedente su LinkedIn e un po 'più informazioni.
Quindi sembra una società legittima, ma non mi va di andare sul loro sito web per capire cosa fanno. Direi che il loro sito è stato compromesso e ora viene utilizzato come server di comando e controllo.
Immagino che tu abbia una sorta di malware che ha iniettato una discussione in Skype, dal momento che è un programma che di solito è autorizzato a comunicare con la rete. Poiché la tua macchina è probabilmente compromessa, la mia raccomandazione è di nuke dall'orbita e ricomincia.
Potrebbe essere semplicemente un Skype Supernode (non lo penso più) , detto questo, penso che ci siano alcune bandiere rosse:
Il server è in Ucraina e appartiene a un'azienda che non sembra avere rapporti commerciali con Microsoft / Skype e non sembra in grado di ospitare un Supernode Skype.
Il server sta eseguendo ProFTPD 1.2.10 dietro una porta aperta 21. Non vedo perché Il supernodo Skype (che dovrebbe essere protetto e quant'altro) sta eseguendo un server FTP in questo modo, invece di eseguire il tunneling attraverso SSH ( SFTP )
La scansione Nmap rivela SMTP (465), IMAP (993), POP3 (995). A me non sembra molto Skype Supernodish, direi che è usato come server di generazione di spam.
Se stai cercando qualcuno che ti dica cosa fare e si assuma la responsabilità delle tue azioni, non succederà. I dati sono qui, basandomi sul giudizio di MY, con le opinioni di Polynomial , questo sembra qualcosa di cui preoccuparsi.
Ecco la scansione Nmap in questione.
Aggiornamento:
Ho effettuato un'altra scansione approfondita , direi con il 90% di certezza che NON si tratta di un Supernodo Skype.
Secondo aggiornamento:
Se si tratta di un Supernode Skype legittimo, si applica uno dei seguenti casi:
È gestito da partner o associati Microsoft o Microsoft. Quindi non penso che dovrebbe eseguire servizi non sicuri e cose come eDonkey.
È un utente normale che ha scelto di essere un nodo. Quindi la porta 443 e la porta 80 dovrebbero essere aperte e utilizzate da Skype.
Skype utilizza un modello Peer to Peer per instradare le "chiamate" attraverso Internet, il che significa che parte della funzione di ricerca viene instradata attraverso terze parti sconosciute.
Microsoft (al momento dell'acquisto di Skype) ha cambiato il modello all'inizio di quest'anno in modo che si diriga principalmente attraverso i nodi semi-attendibili (cioè non alcuni ragazzi della banda larga!) che chiamano "Supernodi" - apparentemente si trovano in "datacenter sicuri" e sono, ovviamente, diffusi in tutto il mondo.
Come ho capito; questa tecnologia viene utilizzata per trovare utenti: le chiamate stesse non sono passate attraverso i supernodi
Ci sono molte persone che non si fidano di Skype perché non hanno rivelato come funziona il loro sistema di sicurezza, in particolare la crittografia.