Очередная дыра в системе безопасности Skype

Долгое время
Skype
считался едва ли не самым защищённым средством интернет коммуникаций. Однако совсем недавно появилась новость о том, что в интернете опубликован исходный код «трояна», умеющего перехватывать голосовой трафик
Skype
. Что это означает для пользователей
Skype
, и, в первую очередь, для бизнеса?

Стоит, пожалуй, кратко напомнить содержание этой новости. Программист Рубен Уттереггер, работающий в компании ERA IT Solutions, разместил на собственном сайте Megapanzer.com исходный код «трояна» Trojan.Peskyspy, умеющего перехватывать разговоры пользователей и записывать их в MP3-файлы. Почему это событие вызвало такой интерес со стороны представителей бизнеса и специалистов по безопасности?

Попытки взлома протокола Skype, используемого, к слову, не только для голосовых переговоров, но и для мгновенного обмена текстовыми сообщениями, предпринимались уже не один год. Однако защиты, выстроенная авторами популярного VoIP-сервиса, и заключающаяся в распределённой структуре Skype-сети и в надёжном шифровании трафика, надёжно сопротивлялась подобным попыткам. Что, как известно, не вызывало радости у ведомств, в чью компетенцию в разных странах входит прослушивание телефонных переговоров. Однако, как говорится, не мытьём, так катанием: если успешно перехватить в Сети и расшифровать Skype-трафик до сих пор проблематично, то записать Skype-переговоры ещё до того, как они окажутся зашифрованы, с помощью нового «трояна» теперь вполне можно.

Что это означает для тех, кто использует Skype? В первую очередь, что перехват Skype-переговоров всё-таки возможен, и это довольно неприятная новость. Не секрет, что во многом популярность Skype в бизнес-среде обусловлена именно защищённостью этого канала коммуникаций от возможного прослушивания. Давно известно, что в сложных и нестабильных условиях, вызванных мировым экономическим кризисом, многие компании прибегают к недобросовестной конкуренции, в том числе и к прослушиванию переговоров конкурентов. И если раньше Skype был от этого достаточно надёжно защищён, то теперь всё, к сожалению, изменилось.

Ещё один немаловажный фактор популярности Skype, также связанный с кризисом, заключается в экономии на телефонных звонках. Ведь Skype позволяет существенно сократить расходы на междугородние и международные звонки благодаря возможности звонить на телефоны со Skype по более дешёвым тарифам, либо же вовсе общаться с другим пользователем Skype совершенно бесплатно. Однако кража важных данных при перехвате разговора может оказаться намного существеннее в финансовом плане, чем экономия на междугородних переговорах. Впрочем, Skype по-прежнему остаётся более безопасным средством ведения переговоров, чем обычные проводные и сотовые сети.

Безусловно, вряд ли стоит ожидать, что появление «трояна» для Skype приведёт к быстрому и массовому распространению техник прослушивания Skype в корпоративной среде, однако для ряда компаний, особенно достаточно крупных и работающих на рынках с высокой конкуренцией, появление Skype-«трояна» может сулить серьёзные убытки, так как злоумышленники будут действовать адресно. Сложность внедрения подобного «трояна» в корпоративную сеть достаточно велика, однако в случае, если перехватываемая с его помощью информация окажется существенно дороже, чем затраты на внедрение, то можно не сомневаться, что злоумышленники не будут долго думать над тем, стоит ли терять время и деньги на попытки выкрасть подобную информацию. Производители антивирусов, безусловно, обновят в ближайшее время базы своих программ, чтобы те были способны эффективно противостоять Skype-«трояну», однако можно не сомневаться, что усилиями злоумышленников «троян» будет адаптироваться к обновлениям антивирусных баз и успешно бороться с ухищрениями борцов с вредоносными программами.

Тем не менее, оказывается, перехват Skype может служить и на благо компании. Дело в том, что угроза перехвата информации с помощью нового «трояна» не отменяет старых угроз утечки информации за пределы компании из-за халатности или злого умысла её сотрудников. Эта угроза существует независимо от того, используется в компании Skype, или нет – в данном случае популярный VoIP-сервис служит просто дополнительным каналом утечки информации через интернет. Путём легального мониторинга Skype-коммуникаций сотрудников компания сможет обезопасить себя от угроз утечки информации по этому протоколу.

Уже давно существуют специальные программы, называемые системами защиты от утечек данных, или DLP-системами (от английского Data Leak Prevention). На российском рынке доступны различные DLP-системы, предлагаемые как крупными западными компаниями, так и отечественными производителями, предназначенные для компаний разного размера и с разными требованиями к защищённости бизнеса от инсайдеров.

Интересно было бы узнать, как DLP-системы, продающиеся на российском рынке, относятся к Skype – то есть, поддерживают ли они перехват конфиденциальной информации, передаваемой по этому каналу. К сожалению, с поддержкой Skype у большинства из них туго. Тем не менее, есть и российский производитель систем информационной безопасности, способный предложить защиту от утечек через Skype.

Подводя черту под всем, изложенным выше, можно дать ответ на вопрос, вынесенный в заголовок статьи: да, Skype небезопасен. Причём здесь нельзя сказать «уже не безопасен» или «ещё не безопасен» ‑ Skype, как и любое средство коммуникации, не может быть абсолютно безопасен для компании просто по определению, несмотря на все средства защиты от перехвата Skype-трафика. При этом можно констатировать, что потенциальная вероятность того, что данные компании будут украдены с использование «трояна», намного ниже, чем вероятность утечки из-за деятельности инсайдеров. Так что защищаться, безусловно, надо, но от чего в первую очередь? Очевидно, что оптимальным будет вариант защиты от всех возможных угроз, однако не всякая компания сможет себе это позволить. Если придётся выбирать между защитой от Skype-троянов и защитой от инсайдеров, использующих Skype, то лучше выбрать второй вариант, так как утечка информации из-за их деятельности куда более вероятна, чем утечка из-за внедрения в корпоративную сеть «трояна».

Трудовые проверки становятся новыми налоговыми. Ошиблись в кадровом документе? Оштрафуют, умножив на количество сотрудников. 

Станьте гуру кадрового учета. Сейчас наш мега-популярный онлайн-курс по заполнению кадровых документов со скидкой 50 %.

Куча образцов документов и советов от практиков. Обучение полностью дистанционно, выдаем сертификат. Успейте купить (у нас еще пять курсов со скидкой).

Сразу стоит оговориться, что, как говорят специалисты, абсолютно безопасных систем не бывает: заряженное ружье рано или поздно выстрелит, и в любой системе при достаточно долгом и тщательном поиске можно обнаружить «дыры». К тому пользователи любой, даже самой безопасной системы далеко не всегда задумываются о том, насколько безопасно их поведение. Поэтому, говоря о безопасности в сфере защиты информации, следует понимать, что защищенная система – это та, которая делает доступ к данным внутри неё настолько дорогим, что её взлом оказывается бессмысленным с экономической точки зрения.

В целом Skype, несмотря на произошедшие за годы его эволюции смену собственника и упрощение системы защиты трафика, продолжает оставаться такой системой. Но с определенными оговорками. Давайте разберемся, что именно делает Skype защищенным и где его слабые места.

Чего опасаться

Изначально Skype разрабатывался как распределенная система, которая передает сообщения напрямую между устройствами конечных пользователей приложения. Доступ к центральному серверу был необходим только для авторизации пользователя. За счет распределенной архитектуры Skype приложение было достаточно трудно блокировать, потому что прямая связь между двумя абонентами давала возможность перебирать различные варианты каналов, находя незаблокированные пути. Дополнительно разработчики популярного сервиса IP-телефонии реализовали стойкое шифрование трафика с помощью длинного ключа, который, в свою очередь, шифровался еще более длинным.

Несмотря на то, что сегодня Skype уже не применяет распределенную структуру в первоначальном виде, в нем используется 7 алгоритмов
шифрования, поэтому даже появляющиеся время от времени сообщения о взломе того или другого из них – не причина считать Skype небезопасным средством общения. Постоянный выпуск новых версий программы, даже несмотря на возможность отказаться от обновления, делает попытки взломщиков еще менее результативными.

По мнению эксперта по информационной безопасности компании
SearchInform
Алексея Дрозда
, сегодня наибольшую угрозу при общении по Skype представляет вовсе не протокол передачи данных, который достаточно надежен, а устройства, на которых Skype установлен. Ведь на них, помимо Skype, может находиться шпионское ПО, которое крадет данные еще до их шифрования Skype-клиентом. Особенно актуально это для пользователей настольных версий Windows и мобильных устройств на платформе Android; куда лучше защищены пользователи продукции Apple и Windows Phone.

Каким именно образом работают Skype-шпионы? Эти приложения перехватывают данные, вводимые пользователем с клавиатуры или микрофона, и перенаправляют их злоумышленникам до того, как Skype успеет их зашифровать. Аналогичным образом, кстати, работают модули контроля Skype, используемые в DLP-системах для защиты от утечки информации через Skype. Только их на рабочих компьютерах устанавливает работодатель, не желающий нести ущерба из-за утечек данных.

Вполне понятно, что для подобных клавиатурных и микрофонных шпионов уязвим не только Skype, но и другие средства общения по Сети, какими бы защищенными протоколами они ни обладали. Даже современные антивирусы не всегда оказываются спасением, особенно когда речь идет об Android: несмотря на их более чем широкую распространенность, на начало 2015 в мире насчитывалось более 16 млн
зараженных устройств. Кевин МакНейм, глава по безопасности и директор Alcatel-Lucent Kindsight Security Labs
, считает: «Смартфоны на Android являются самой простой мишенью для вредоносных приложений. При этом ноутбуки на Windows по-прежнему остаются главной целью для профессиональных киберпреступников
».

Как защититься

Одним из возможных вариантов борьбы за безопасность Skype и других интернет-переговоров от шпионского программного обеспечения является, по мнению специалистов, шифрование устройства на базе Android, а также шифрование Windows с помощью функции BitLocker. Впрочем, и тот, и другой варианты заметно осложняют работу с устройством, поскольку каждый раз требуется вводить пароль, эффективность которого напрямую зависит от его сложности. Кроме того, восстановить данные при утрате пароля в ряде случаев будет просто невозможно. Как отмечаетсертифицированный специалист
Microsoft
по пользовательской
безопасност
и Владимир Безмалый
, «на сегодня существует непростой выбор — либо вы шифруете ваше устройство и миритесь с огромными неудобствами, либо вы получаете удобство использования, но в ущерб безопасности
».

«При совершении звонков из Skype на мобильные и стационарные номера часть беседы, которая проходит в ТСОП (телефонной сети общего пользования), не шифруется. Например, в случае групповых звонков с участием двух пользователей Skype и одного пользователя ТСОП часть звонка в ТСОП не шифруется, но шифруется часть в Skype
», ‑ отмечается в официальном сообщении службы поддержки Skype. Поэтому защитой от аппаратных средств прослушки (телефонных «жучков» и т.п.) Skype, конечно же, служить не может.

Еще одна возможность прослушивания Skype доступна только ограниченному кругу лиц, которые работают в спецслужбах. Корпорация Microsoft официально предоставляет им доступ к любой необходимой информации, что предусматривается лицензионным соглашением и политикой конфиденциальности Skype. Подробностей, конечно, никто не раскрывают, но эксперты считают, что все  данные хранятся на серверах Microsoft до тридцати дней. Поэтому если ваша деятельность может как-то заинтересовать спецслужбы, то защищенный протокол Skype ничем помочь не сможет.

Впрочем, гораздо проще, чем внедрять на телефон и ноутбук жертвы троян-перехватчик или договариваться со спецслужбами, воспользоваться методами социальной инженерии и узнать логин и пароль от его или её Skype-аккаунта. Из-за функции автоматического возобновления связи при обрыве доступ к одной учетной записи с разных устройств позволяет злоумышленнику собирать данные жертвы, включая голосовые переговоры.

Таким образом, подводя итоги, можно сделать очень простой вывод: Skype безопасен для тех, кто знает, как им безопасно пользоваться, и при этом не делает с его помощью чего-то противозаконного. Чтобы повысить защищенность переговоров, защитите свои компьютеры и портативные устройства с помощью качественных антивирусов и настроек шифрования данных и никогда не давайте никому свои логин и пароль от Skype.

ПРЕДИСЛОВИЕ

Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе. Через эту дыру невозможно взломать скайп аккаунт, однако последствия могут быть еще печальнее. В системе безопасности скайпа есть такой сервис, нажав правой кнопкой мышки на контакте, из контекстного меню можно выбрать пункт «Заблокировать этого пользователя» и поставить галочку в пункте «Сообщить о нарушении правил этим абонентом».

Этот сервис прекрасно работает и помогает в борьбе со спамом. Но как всегда нашлись «предприимчивые» пользователи и теперь используют этот сервис в «борьбе с неугодными» пользователями скайпа. Как это работает — можно сделать поиск по логину и непосредственно из поиска блокировать и репорт делать или, зная логин, просто вызывать меню через skype:insert_username_here?menu
. По предварительным подсчетам достаточно 9 (возможно больше) таких жалоб и аккаунт автоматически блокируется. Сейчас эти новоявленные «хакеры» уже собираются в группы, размещают через соц. сети информацию какой аккаунт нужно заблокировать и он блокируется в течение очень короткого времени. Теперь самое неприятное — служба поддержки скайпа не рассматривает никакие конкретные случаи автоматической блокировки аккаунта. Ответ один — вы нарушили пункт 6.3 Условий использования Skype. В результате что получается — если у вас есть важные контакты, история переписки, красивый и запоминающийся логин, к которому вы уже давно привыкли, оплаченные подписки, деньги на балансе и т.п. вы потеряете это все и навсегда. Угнанный аккаунт можно восстановить через саппорт, доказав что это ваш аккаунт, а в этом случае доказывать что-то бесполезно. На форуме скайпа эта проблема уже давно обсуждается, вот одна из тем goo.gl/64aDA, но к сожалению ничего не меняется. Автор этих строк пострадал лично от потери аккаунта, но возможно кто-то не считает сложившуюся ситуацию с автоматическими блокировками в Скайпе проблемой, прошу обсудить это в комментариях.

Что бы сделали вы, если бы ваш аккаунт был заблокирован таким образом?

Проголосовал 4391 пользователь. Воздержались 718 пользователей.
Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации