Skype bezpieczny... Ale czy na pewno?

Czy Państwa zdaniem wykorzystanie przez Skype technologii P2P i brak zarządzania przepustowością łącza nie jest poważnym mankamentem w polityce bezpieczeństwa firmy?

Zaletą P2P jest niski (niemalże zerowy) koszt zestawienia połączenia, czego efektem jest możliwość zaoferowania darmowych rozmów. Nie widzimy żadnych zagrożeń dla bezpieczeństwa wynikających ze stosowania technologii P2P. Skype nie dostarcza łączy a jedynie oprogramowanie, które może być wykorzystane na komputerze podłączonym do Internetu przez dostawcę usługi dostępowej (ISP) i w związku z tym nie zarządza przepustowością tych łączy.

Czy nie obawiają się Państwo, że spopularyzowanie telefonii internetowej sprawi, że inni dostawcy tego typu usług będą oferować lepsze warunki dla przedsiębiorstw?

Trudno jest nam komentować działania konkurencji w tym zakresie usług. To, że obecnie pojawia się coraz więcej ofert telefonii internetowej to także efekt sukcesu, jaki odniósł Skype. Większa konkurencja wiąże się nieuchronnie z coraz lepszymi ofertami dla użytkowników: zarówno indywidualnych jak i biznesowych. Skype nie ogląda się na konkurencję, lecz konsekwentnie udoskonala swój produkt i ofertę. To, co wyróżnia Skype spośród dostępnych obecnie programów do komunikacji internetowej to wysoka jakość połączeń, prosta obsługa i bogactwo funkcji dodatkowych. Będziemy pracowali nad tym by utrzymać tę przewagę.

Czy Skype zamierza wprowadzić zabezpieczenia specjalnie dla klientów biznesowych?

Skype jest bezpiecznym oprogramowaniem. Uważamy, że każdy użytkownik, biznesowy czy indywidualny ma pełne prawo do ochrony swojej prywatności i poufności przesyłanych danych - i to zapewniamy wszystkim naszym klientom. Bezpieczeństwo i ochrona prywatności są naszymi priorytetami. Mamy świadomość pojawiających się od czasu do czasu w mediach informacji dotyczących rzekomych zagrożeń wynikających z korzystania ze Skype. Pragnę zwrócić Pana uwagę, że w większości są to doniesienia niekonkretne, mówiące dość mgliście o bliżej nieokreślonych lukach w bezpieczeństwie bez wskazania na konkretną wadę mogącą stanowić zagrożenie. Niezależne od tego wszystkie takie doniesienia są starannie weryfikowane zaś program nieustannie udoskonalany, również pod kątem poprawy bezpieczeństwa. Cały przebieg komunikacji jest zaszyfrowany algorytmem AES, a wymiana kluczy następuje za pośrednictwem algorytmu RSA, oba są wypróbowane i przetestowane, certyfikowane do użytku w instytucjach rządowych. W Skype używamy wyższego spektrum częstotliwości dźwięku - co możliwe jest dzięki łączom szerokopasmowym. Technologia kodowania dźwięku jest również zawansowana i najlepsza w swoim rodzaju. Czyni to rozmowy Skype bezpieczniejszymi od tradycyjnych rozmów telefonicznych lub innych programów do komunikacji internetowej. Więcej na temat bezpieczeństwa korzystania ze Skype można się dowiedzieć ze stronyhttp://www.skype.com/security/

O bezpieczeństwie Skype mówi Piotr Kijewski - przedstawiciel CERT Polska

Czy Państwa zdaniem wykorzystanie programu korzystającego z technologii P2P jest dobrym rozwiązaniem dla bezpieczeństwa firmy?

Uruchamianie nowej aplikacji sieciowej zawsze niesie ze sobą ryzyko ataków za jej pośrednictwem - nie dotyczy to tylko Skype'a. W każdej takiej sytuacji należy rozważyć czy korzyści biznesowe dla firmy są większe niż ryzyko związane z nadużyciem takiej aplikacji.

Czy brak kontroli administratorów nad przepustowością łącza, zajmowaniem CPU i pamięci na poszczególnych maszynach może być traktowane jako dziura w zabezpieczeniach struktury IT?

Na tak postawione pytanie można tylko odpowiedzieć, że owszem stanowi to słaby punkt w zabezpieczeniach struktury IT.

Jak CERT ogólnie ocenia bezpieczeństwo tego programu?

Trudno jednoznacznie ocenić bezpieczeństwo tego komunikatora - producenci Skype włożyli bowiem wiele wysiłku, żeby utrudnić analizę działania komunikatora. Skype korzysta z własnego protokołu komunikacyjnego - protokól ten nie został, o ile nam wiadomo - nigdzie opublikowany. Wiadomo, że część ruchu jest szyfrowana, ale protokół nie został poddany gruntownej analizie więc trudno się wypowiedzieć na temat jakości stosowanych rozwiązań. Pierwsze niezależne publikację sugerują, że nie są to słabe rozwiązania. Jednakże występują problemy: np. okazuje się, że w momencie wejścia do sieci Skype własnym narzędziem rozumiejącym protokół, możliwe jest wydawanie poleceń innym instancjom komunikatorów Skype - w tym poleceń typu "wyślij pakiet do dowolnego IP". Również błędy implementacjyjne - jak w każdej aplikacji - mogą doprowadzić do wystąpienia zagrożenia. W przypadku Skype, ze względu na szyfrowanie i wprowadzenie utrudnień analizy ruchu, ataki takie mogą być trudniejsze do wykrycia.

internetSTANDARD dostarcza najświeższe informacje i analizy z branży IT, e-commerce, reklamy i marketingu internetowego.

Znajdź nas

Kopiowanie, reprodukcja, retransmisja lub redystrybucja jakichkolwiek materiałów zamieszczonych w serwisie internetSTANDARD w całości lub w części, w jakimkolwiek medium lub w jakiejkolwiek formie bez oficjalnej zgody wydawnictwa jest stanowczo zabronione.