Безопасность Skype в корпоративной среде

Алексей Доля

Методология исследования и портрет респондента

Используемые VoIP-средства

Угрозы Skype

Источник угрозы

Роль безопасности при использовании Skype

Заключение

 

Skype — одна из самых популярных программ, позволяющих существенно удешевить связь и при этом сохранить качество передачи информации. Кроме того, это достаточно простая программа — для ее установки и эксплуатации не требуется никаких специальных знаний и полномочий администратора. Поэтому служащие могут бесплатно скачать Skype из Интернета и спокойно установить ее на корпоративной рабочей станции. Но именно здесь и возникает угроза информационной безопасности (ИБ), поскольку новая программа привносит новые риски в вычислительную сеть организации.

Результаты даже поверхностного поиска в Интернете свидетельствуют о том, что со Skype уже возникало немало проблем. В разное время в Skype были обнаружены различные бреши, через которые можно было получить полный контроль над удаленным компьютером. Примеры уязвимостей в Skype приведены в таблице.

Обнаруженные в Skype уязвимости

Дата

Уязвимость

Ноябрь 2004 г.

Обнаруженная дыра позволяла хакеру получить полный контроль над компьютером пользователя посредством переполнения буфера в Skype

Апрель 2005 г.

Программа Skype не всегда аккуратно сбрасывала права доступа. В результате злоумышленник мог подменять оригинальные приложения модифицированными вариантами с уже полученной авторизацией

Октябрь 2005 г.

Выявлена лазейка, с помощью которой злоумышленник мог вызвать ошибку переполнения буфера на машине жертвы и получить доступ к системе

Октябрь 2005 г.

Брешь в Skype позволяла организовать атаку типа «отказ в обслуживании» на удаленный компьютер

Май 2006 г.

Новая брешь давала возможность украсть файл с машины пользователя. Правда, для этого необходимо было послать жертве специально сформированные пакеты, чтобы спровоцировать аварийное завершение программы

Декабрь 2006 г.

В нескольких странах был распространен червь, который инфицировал рабочие станции   с программой Skype, используемой в режиме чата

Чтобы лучше разобраться в рисках ИБ, которые сопутствуют использованию Skype в сети организации, обратимся к исследованию «Безопасность Skype в корпоративной среде». В этом проекте аналитический центр InfoWatch и портал SecurityLab опросили 1242 пользователей. Прежде всего эксперты выяснили, что Skype действительно лидирует по популярности среди всех VoIP-продуктов. Почти половина всех респондентов (46,8%) использует Skype, а без учета тех, кто вообще не использует VoIP-средства, доля Skype возрастает до 64,9%.

Риск утечки конфиденциальной информации является самой опасной угрозой (55,6%) для корпоративной сети, в которой используется Skype. Другими словами, респонденты прекрасно осведомлены, какие дополнительные каналы утечки получают в свое распоряжение инсайдеры. Однако сама Skype вряд ли виноват в появлении дополнительных рисков. Все дело в человеческом факторе (44,6%), а не в слабостях программы. Тем не менее почти две трети респондентов (66,4%) склоняются к тому, что угрозы, сопутствующие применению Skype в корпоративной среде, являются серьезным препятствием на пути распространения такого рода программ. Лишь треть опрошенных специалистов (33,7%) уверена, что проблемы с ИБ не помешают дальнейшему распространению Skype в компаниях.

Методология исследования и портрет респондента

Исследование проводилось аналитическим центром компании InfoWatch совместно с информационным порталом SecurityLab.ru в период с 15 по 30 января 2007 года. Респондентам было предложено ответить на вопросы онлайн-анкеты. Всего в исследовании приняли участие 1242 посетителя SecurityLab.ru. Обработка статистики и анализ результатов были проведены аналитическим центром InfoWatch. Представленные данные округлены до десятых долей процента. В некоторых случаях сумма ответов превышает 100% в связи с использованием многовариантных вопросов.

Аудиторию участников исследования составляли в основном квалифицированные специалисты по ИБ (37,1%). За ними следовали системные администраторы (34,3%) и пользователи (28,6%). Таким образом, около 71% респондентов являются профессионалами в ИТ-индустрии (рис. 1).

 

Рис. 1. Профессиональный статус респондентов
в ИТ-индустрии

Используемые VoIP-средства

На рис. 2 представлены предпочтения респондентов в отношении различных средств VoIP. Лидирующая позиция Skype (46,8%) нисколько не удивляет. Это первая и, пожалуй, самая удобная программа для передачи голоса через Интернет. Все остальные конкуренты в сумме едва набрали четверть всех голосов (25,3%). Правда, у более чем четверти (27,9%) опрошенных специалистов VoIP-средства в интрасетях вообще не используются. Вероятно, в этом виноваты угрозы, которые таит применение Skype.

 

Рис. 2. VoIP-средства, используемые
в корпоративной среде

«Проблема безопасности Skype отнюдь не надуманна. Во-первых, программа использует собственный протокол, который не поддерживается традиционными межсетевыми экранами. Во-вторых, выловленный голосовой трафик трудно фильтровать электронными системами, а привлекать для этого специального человека малоэффективно. Самым простым решением, конечно же, будет запрет трафика Skype. Но и это не выход, ведь программа удобна и полезна», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

Угрозы Skype

Основная часть исследования была направлена на выявление рисков, возникающих при использовании Skype, и их источников. Как оказалось, абсолютное большинство респондентов опасается целого ряда угроз в связи с применением Skype (рис. 3). Лишь 5,3% опрошенных специалистов считают, что использование Skype в корпоративной среде полностью безопасно.

 

Рис. 3. Угрозы при применении Skype

По мнению 55,6% респондентов, наибольшая угроза — это риск утечки конфиденциальной информации. Другими словами, более половины специалистов уверены, что из-за Skype закрытая корпоративная информация может просочиться наружу. По результатам исследования угроза утечки конфиденциальной информации в два раза (55,6 против 29%) превышает риск хакерской атаки на ресурсы внутренней сети. Промежуточные позиции заняли риск несанкционированного доступа к информации (37,2%), риск потери данных (33,2%) и угрозы проникновения вредоносных программ на рабочие станции (31,7%). Еще 7,4% голосов набрали прочие угрозы.

Решения для VoIP (это касается не только Skype) действительно создают целый ряд угроз ИБ для предприятий. Программы для голосовой и видеосвязи достаточно просты и удобны для инсайдеров. Контролировать использование Skype непросто, поскольку голосовой трафик чрезвычайно трудно фильтровать в автоматическом режиме. Вместе с тем работа с приложением не вызывает трудностей даже у малоопытных пользователей. Кроме того, как и большинство программных продуктов, VoIP-клиенты имеют уязвимости, которыми теоретически могут воспользоваться недоброжелатели.

В то же самое время, по мнению аналитического центра InfoWatch, риск хакерской атаки несколько переоценен. Популярность этого ответа объясняется скорее традиционными опасениями взлома компьютеров. Реальная угроза со стороны хакеров в настоящее время не столь остра. Столь же преувеличены и угрозы проникновения вредоносных программ. Зафиксирован лишь один случай, когда троянец проник через брешь в приложении Skype. При этом следует учитывать, что вирус не мог распространяться самостоятельно, а следовательно, он был собственноручно скачан пользователем.

Источник угрозы

На предыдущем этапе исследования удалось выяснить, что использование Skype приводит к возникновению дополнительных рисков ИБ. Аналитический центр InfoWatch предложил респондентам указать источники возникновения новых угроз ИБ (рис. 4). Ведь помимо проблем в самой утилите Skype, уязвимости могут быть обусловлены недостатками программного окружения, злонамеренностью или халатностью пользователей и т.д. Как оказалось, большинство опрошенных специалистов (44,6%) видят главный источник угрозы в людях. Другими словами, наиболее часто именно человеческий фактор при использовании Skype приводит к инцидентам ИБ.

 

Рис. 4. Природа рисков при использовании Skype

На втором месте (26,7%) стоят недостатки программного окружения Skype. Речь идет об уязвимостях либо операционной системы, либо используемых средств защиты или любого другого прикладного ПО, которое может приводить к реализации угроз ИБ при взаимодействии со Skype. В то же самое время лишь 23,4% респондентов считают, что претензии можно предъявлять к разработчикам Skype. Наконец, только каждый двадцатый опрошенный специалист (5,4%) отметил, что использование Skype не несет в себе вообще никаких угроз ИБ.

Таким образом, выясняется, что сами по себе VoIP-программы вряд ли являются основным источником рисков ИБ. Почти половина утечек через Skype произошла по вине работников предприятия, которые не умели должным образом пользоваться инструментами или хотели украсть информацию. Подводя итог, можно заметить, что отказываться от применения Skype — все равно что запрещать использовать Интернет или электронную почту. Средства VoIP полезны и удобны, а чтобы устранить самую опасную угрозу — утечку конфиденциальной информации, предприятиям следует защищать эти данные точно так же, как они защищаются от кражи по каналам электронной почты и Интернета, через принтеры и USB-носители.

«Программа Skype предоставляет уникальную возможность сэкономить на дальних телефонных разговорах, поэтому компании заинтересованы в использовании VoIP. Разговоры о том, что применение Skype несет фатальную угрозу корпоративным сетям, по сути, не состоятельны. Отрицать риски тоже не имеет смысла, но другие сетевые приложения (почта, браузеры, даже сами операционные системы) зачастую более опасны, чем Skype. Отказываться от перспективных и экономически выгодных технологий преступно. Необходимо лишь научиться правильно их использовать и создать благоприятное окружение», — отмечает Александр Антипов, руководитель проекта SecurityLab.ru.

Роль безопасности при использовании Skype

Из ответов респондентов (рис. 5) видно, что фактор безопасности является очень важным при принятии решения об использовании Skype в корпоративной сети. Две трети опрошенных специалистов (66,4%) уверены или склоняются к тому, что угрозы ИБ затрудняют внедрение Skype в компаниях. Полученная цифра очень солидна. Тем не менее выше уже было показано, что корень зла находится не в самой технологии Skype, а в некорректном или злонамеренном ее использовании. Следовательно, всякая новая технология, которая увеличивает риск утечки конфиденциальной информации, всегда будет встречаться в штыки. Итак, мы пришли к противоречию: без внедрения передовых технологий трудно стать успешной компанией, но в то же время использование новых решений затруднено вследствие дополнительных угроз ИБ.

 

Рис. 5. Являются ли угрозы ИБ препятствием
для внедрения Skype в компаниях?

По результатам опроса 33,7% специалистов считают, что дополнительные риски не препятствуют внедрению Skype на предприятиях. Это категория прагматиков, которые достаточно объективно и логично оценивают все выгоды от применения Skype. Тем не менее 66,4% респондентов уверены в обратном. Получается, что риски ИБ, возникающие вследствие использования Skype, являются весьма существенным препятствием на пути внедрения этой VoIP-программы в компаниях. Между тем эту точку зрения вряд ли можно назвать логичной, так как источником дополнительных угроз являются сами служащие предприятия. Следовательно, если защитить информацию как таковую, то она вряд ли сможет уйти по каналам Skype.

Одним из протоколов прикладного уровня, используемых VoIP-средствами, является SIP (Session Initiation Protocol). Помимо голосовых данных, с помощью SIP удобно передавать видео, мгновенные сообщения и любую другую информацию, предназначенную для интерактивного общения. В целом SIP похож на HTTP и аналогичен ему по общим принципам проектирования: он пригоден для чтения человеком и структурирован в отношении запросов и откликов.

С точки зрения безопасности SIP не дает применяющим его программам дополнительных преимуществ. C его помощью точно так же можно совершить кражу конфиденциальной информации, например передать данные в виде файла или текста сообщения. Это лишний раз указывает на то, что с утечками и другими угрозами следует бороться комплексными мерами: начинать с классификации данных, создавать политику безопасности и только потом использовать технические меры борьбы.

Заключение

Исследование показало, что использование Skype в корпоративной среде небезопасно. И наибольшей угрозой (55,6%) является риск потери конфиденциальных данных. В этом нет ничего удивительного, ведь средства VoIP вообще очень удобны для внутренних нарушителей. А вот угрозы хакерской атаки (29,0%) и проникновения в интрасеть зловредных программ (31,7%) существенно преувеличены респондентами. Свою роль тут сыграли традиционные опасения взлома и зомбирования компьютеров. Реально же проблема хакеров в настоящее время не столь остра, а черви и троянцы, применяющие программы для голосовых конференций, малочисленны.

В то же время выяснилось, что в принципе небезопасен любой ИТ-инструмент, которым пользуются некорректно. Согласно данным опроса, именно человеческий фактор является главной проблемой (44,6%) при работе со Skype. Помимо людей, на защищенности негативно сказывается программное окружение (26,7%). Лишь 23,4% респондентов считают основным недостатком бреши в самих VoIP-клиентах.

Подводя итоги, можно заметить, что почти половина респондентов полагает, что наличие Skype существенно облегчит для внутренних нарушителей кражу конфиденциальной информации. Действительно, Skype предоставляет целый ряд дополнительных каналов утечки. Во-первых, голосовой трафик — так же, как по мобильному телефону, можно позвонить по Skype и зачитать фрагмент текста. Во-вторых, пересылка файлов — здесь все аналогично отсылке файлов по FTP, вместе с e-mail или по ICQ. В-третьих, копирование ценных данных в буфер обмена, а потом вставка в чат, который поддерживается программой Skype, — это аналог ICQ или чата в Интернете. Однако из всех этих каналов относительно новым является только голосовой трафик. Все остальные возможности легко контролируются теми же средствами, что используются для защиты от утечек через электронную почту, пейджеры и Интернет. Что же касается VoIP-трафика, то его вряд ли можно считать опасным каналом утечки. Во-первых, сослуживцы инсайдера услышат, о чем он рассказывает по Skype, а во-вторых, много информации таким способом не передашь. Так что можно особенно не беспокоиться об утечке данных посредством голоса, если пользователь Skype работает в окружении своих коллег. Между тем другие каналы утечки должны быть взяты под контроль, иначе конфиденциальная информация очень быстро попадет к конкурентам или будет опубликована для свободного доступа.

 

Продвижением телефонов Skype на российском рынке занимается компания TRENDnet (http://trendnet.ru) совместно с компанией Яндекс.Деньги (http://money.yandex.ru).

 

В начало В начало

КомпьютерПресс 8'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует