Skype — еще одна дыра в безопасности фирмы

а теперь давайте попробуем угадать сколько башлей получили эти эксперты и от кого... :)

Да в попу... открыть порт с потенциальной потерей в несколько лямов чтоб сэкономить в месяц несколько тысяч на телефоне? У кого нет такого сравнения - пользуйтесь. Нах скайп....

> Предприятия, использующие Skype, рискуют оказаться в коммуникационной изоляции относительно тех, кто заблокировал этот сервис.

А может всё как раз наоборот? В изоляции будут те, кото откажется от Скайпа.

да и правда.. от кого..
Кто у нас работает на стандартных технологиях, организует открытый канал клиент-клиент и главное хочет убить Скайп?

Или кто так боится то, что нельзя расковырять?
Дойче телеком планирует с 2007 года забанить скайп. Китайцы .. уже банят?

а может ли вообще удобная технология быть относительно безопасной? где баланс?

>Программа не соответствует стандартам, что позволяет ей вместе со всеми своими уязвимостями проходить через файрволы.

А это как? Прям-таки если я напишу программу как попало, то она тоже будет любой файрволл пробивать?:)

Баланс следует искать в открытости и контролируемости. Понятно что Skype ничуть не лучше и не хуже любой другой подобной системы. Основная проблема в том что он использует закрытый протокол, который:

1. Потенциально уязвим, потому как не верифицирован никакими сторонними лицами. Нет ни исходников, как в случае с PGP, нет документированного стандарта, как в случае с SSL/TLS. Есть только заверения самих скайповцев - "у нас все хорошо". Проходили неоднократно. Защита DVD тоже была супернадежной до тех пор пока кому-то не захотелось ее изучить подробнее. И с GSM была ровно та-же история. Если люди что-то скрывают, значит им есть что скрывать :-)

2. Неконтролируем.
Невозможно проконтролировать обмен по сети Skype на корпоративном фареволе. Невозможно понять какие файлы приходят, какие уходят, о чем пишут и говорят сотрудники, какую информацию они получают и передают клиентам и партнерам. В небольших компаниях обычно на это не обращают внимания. Пока что-то не случится.

В случае с email уже стало нормой запускать антивирус (а иногда и антиспам) на входе в корпоративную сеть. Для skype это невозможно.

Так что про дыру там все правильно написано. Другое дело, что все остальные системы сегодня не сильно лучше. Но у них хотя бы есть шанс - если система открытая, то можно проверять и записывать что угодно, да и антивирусы уже на подходе. У Skype такого пока нет.

Может быть конечно Skype в своих недрах готовит к выпуску специальный продукт за многие тысячи $$ - суперноду для корпоративных пользователей, где даст необходимые API для контроля и фильтрации. Но вряд ли. Зачем им это? Skype ориентирован на конечного пользователя, и серьезных денег на корпоративном рынке им вряд ли удасться заработать.

Защитникам приватности корпоративной информации...

Если у вас действительно, кто-то захочет, что-то украсть, то это будет сделано... быстро, без шуму и пыли, и скайп тут будет совсем не причем... :)
ужо поверьте...

справедливости ради стоит отметить, что закрытые продукты Майкрософт, в основной массе своей стандартизированные только Майкрософт, у вас не вызывают повышенной потливости... :)
хотя, дыр (доказанных) в них преизрядно...

может потому, что на них пока не нашлось должным образом мотивиованных экспертов? :)

Дмитрий: да открытые они, открытые .. Все кому не лень ковыряются, и что нужно - открыли.

А мотивированных экспертов супротив МСа - вагон говна и маленькая тележка.

Главный вопрос - кто заказчик мочения пока без ответа. Яху, обиженный тем что скайп им не продался? МС? Или помельче но пообиженее?

Я думаю заказчики телекомкникационные компании, основа деятельности которых традиционная телефония.
Благодаря популярности скайпа многие у кого есть сотовый и выделенка отказываются от услуг стационарной телефонии. Которая в некоторых буржуйских старанах 50$ в месяц стоит. Всякие дойче и франц телекомы плачут глядя на статистику установок skype-а.

Статья конечно полный бред. Хотя, наверное, на народ, который потребляет информацию без обдумывания, подействует.

На заданны

На заданный в первом комменте вопрос об башлях можно найти ответ здесь: http://www.sipnet.ru/news/show.html?news=18. SIPNET немедленно вывесил эту новость к себе на морду.

Интересно, что SIPNET попадает туда-же.

А вот почему:
1. По поводу "дыр" - бред полный, т.к. ису за пиксом поломать можно, т.е. скайп ни чем не "лучше" ЛЮБОЙ софтины, стоящей на компе в корпоративной сети. Читайте лицензионное соглашение на тот же Microsoft(R) WindowsXP(R) - там то де ничего не гарантируют и ни за что не отвечают.

2. Угрозу представляет только отсутствие сердст мониторинга действий пользователей. Если политика безопасности предприятия требует мониторинг всей исходящей информации (почта, пересылаемые файлы, телефонные звонки и т.д.) то скайп мониторить невозможно, т.е. юзер может незаетно отослать конфиденциальную информацию файлом или голосом. Во втором случае это касается половоины всех VoIP.
Но обеспечить такой уровень безопасности способны системы, в которых пользователь принципиально не может поставить сам приложение, в этом случае проблема "рассасывается" сама собой.

Я по профессии инженер прикладной криптографии и имею за плечами 22 летний стаж работы в органах ФАПСИ. Сейчас на пенсии. Обеспечивал шифрование и дешифрование информации в различных торговых представительствах СССР за рубежом. Что такое криптография могу сказать не по-наслышке. Так вот, Skype, с его 256 битовым алгоритмом AES на сегодняшний день является самой защищённой программой IP-телефонии в мире. Ещё не родился тот гений, который смог бы взломать даже в течение 100 лет 256-битовый симметричный ключ AES. Когда уважаемый автор статьи говорит про уязвимость Skype путём применения способа прослушки трафика, называемого в криптологической среде "человек посередние", чувствуется, что он ни хрена не соображает в криптографии. Уважаемый автор. Вы хоть представляете, что такое создать перехватывающий центр, который способен применять этот метод перехвата трафика. Это стоит неимоверных усилий организационного, юридического плана и под силу только очень богатой спецслужбе, по типу американского АНБ или нашего 8-го управления ФСБ. Если бы вы знали, в какую сумму выливается создание такого перехватывающего центра, который сможет "слушать" разговор токо двух абонентов, то не гнали бы пургу в своей статье про угрозу Skype для корпоративных сетей. Сначала почитайте книжку Брюса Шнайера "Прикладная криптография", и токо потом пытайтесь публиковать свой бред публично.