Skype i bezpiecze艅stwo sieci korporacyjnych

Wst臋p

Technologia VoIP (Voice over Internet Protocol) rozwija si臋 b艂yskawicznie. Najpopularniejszym produktem VoIP na rynku jest Skype. Program ten pozwala u偶ytkownikom na znaczne zredukowanie op艂at telefonicznych w por贸wnaniu z tradycyjnymi sieciami telefonicznymi, przy czym jako艣膰 po艂膮czenia pozostaje taka sama. Inn膮 zalet膮 Skypa jest 艂atwo艣膰 u偶ycia. Wystarczy zainstalowa膰 program, pod艂膮czy膰 mikrofon i mo偶na ju偶 rozmawia膰, wymienia膰 pliki, wiadomo艣ci tekstowe itd.

Skype wykorzystywany jest nie tylko przez u偶ytkownik贸w domowych, ale r贸wnie偶 w sieciach korporacyjnych. Nie powinno to dziwi膰, poniewa偶 znacznie zmniejsza koszty rozm贸w d艂ugodystansowych i mi臋dzynarodowych oraz u艂atwia komunikacj臋 wewn膮trz biura. Ponadto skonfigurowanie i korzystanie z tego systemu nie wymaga 偶adnych przywilej贸w administratora. Pracownicy mog膮 bezp艂atnie pobra膰 Skypa z Internetu i zainstalowa膰 go na korporacyjnych stacjach roboczych. Mo偶e to jednak powodowa膰 nowy problem: wzrost zagro偶e艅 bezpiecze艅stwa danych zwi膮zanych z u偶ytkowaniem Skypa w 艣rodowisku korporacyjnym.

Skype i bezpiecze艅stwo sieciowe staj膮 si臋 coraz powa偶niejszym problemem. Skype jest szeroko rozpowszechnionym programem, kt贸rym zainteresowani s膮 zar贸wno wewn臋trzni z艂odzieje, jak i hakerzy. Pracownicy kradn膮cy informacje firmowe mog膮 wykorzysta膰 do tego celu Skypa. Istniej膮 te偶 liczne przyk艂ady na to, 偶e hakerzy badaj膮 Skypa pod k膮tem luk.

Data Luka
listopad 2004 Po wykryciu dziury haker zdo艂a艂 przej膮膰 ca艂kowit膮 kontrol臋 nad komputerem u偶ytkownika poprzez przeci膮偶enie bufora Skypa.
kwiecie艅 2005 Skype nie zawsze od razu kasuje prawa dost臋pu. W rezultacie, szkodliwi u偶ytkownicy mog膮 zast膮pi膰 oryginalne za艂膮czniki zmodyfikowanymi, wykorzystuj膮c do tego ustanowion膮 wcze艣niej autoryzacj臋.
pa藕dziernik 2005 Wykryto dziur臋, kt贸ra mo偶e zosta膰 wykorzystana do wywo艂ania b艂臋du przeci膮偶enia bufora na komputerze ofiary, otwieraj膮c dost臋p do systemu.
pa藕dziernik 2005 Naruszenie ochrony Skypa umo偶liwi艂o atak DOS na zdalny komputer.
maj 2006 Kolejne naruszenie ochrony u艂atwi艂o kradzie偶 plik贸w z komputera u偶ytkownika. Jednak, aby kradzie偶 powiod艂a si臋, niezb臋dne by艂o wys艂anie ofierze specjalnie stworzonych pakiet贸w powoduj膮cych awaryjne zako艅czenie dzia艂ania programu.
grudzie艅 2006 Wykryto robaka, kt贸ry rozprzestrzenia艂 si臋 w wielu pa艅stwach, infekuj膮c stacje robocze, na kt贸rych zainstalowano Skypa w trybie Chat.

Niniejsze badanie jest pierwszym rosyjskim badaniem dotycz膮cym wykorzystywania Skypa w sieciach korporacyjnych. Jego celem jest:

  • Okre艣lenie obaw specjalist贸w w dziedzinie IT oraz bezpiecze艅stwa informatycznego odno艣nie korzystania ze Skypa w intranecie firmy.
  • Zidentyfikowanie dodatkowych zagro偶e艅 bezpiecze艅stwa danych, kt贸re zwi臋kszaj膮 te obawy.
  • Wskazanie 藕r贸d艂a tych zagro偶e艅.

Kluczowe wnioski

  • Skype jest najpopularniejszym produktem VoIP. Prawie po艂owa badanych (46,8%) korzysta艂a ze Skypa. Je艣li pominiemy osoby, kt贸re nie u偶ywaj膮 偶adnego produktu VoIP, udzia艂 Skypa wyniesie 64,9%.
  • Ryzyko wycieku poufnych informacji stanowi najwi臋ksze zagro偶enie (55,6%) dla sieci korporacyjnej, w kt贸rej korzysta si臋 ze Skypa. To oznacza, 偶e ankietowani w pe艂ni zdaj膮 sobie spraw臋, 偶e program ten stanowi kana艂 wycieku informacji dla wewn臋trznych z艂odziei.
  • Skype sam w sobie nie jest 藕r贸d艂em tych dodatkowych zagro偶e艅. G艂贸wny problem stanowi czynnik ludzki (44,6%), a nie b艂臋dy w samym programie.
  • Mimo to prawie dwie trzecie respondent贸w (66,4%) przychyla si臋 do opinii, 偶e zagro偶enia zwi膮zane z wprowadzeniem Skypa do 艣rodowiska korporacyjnego stanowi膮 powa偶n膮 przeszkod臋 w rozpowszechnieniu tego programu w firmach. Tylko jedna trzecia specjalist贸w (33,7%) uwa偶a艂a, 偶e problemy bezpiecze艅stwa danych nie b臋d膮 mia艂y wp艂ywu na zaimplementowanie Skypa w sieciach korporacyjnych.

Metodologia badania i profil uczestnika sonda偶u

Badanie zosta艂o wykonane przez centrum analityczne firmy InfoWatch w dniach 15-30 stycznia 2007 roku. 1 242 uczestnik贸w sonda偶u udzieli艂o odpowiedzi za po艣rednictwem formularza online. Proces przetwarzania danych i analizy wynik贸w zosta艂 przeprowadzony r贸wnie偶 przez centrum analityczne InfoWatch. Liczby procentowe zosta艂y zaokr膮glone z dok艂adno艣ci膮 do jednej dziesi膮tej procenta.


Status IT uczestnik贸w sonda偶u

Uczestnicy badania dzielili si臋 na trzy grupy:

  • Specjali艣ci ds. bezpiecze艅stwa informatycznego: 37,1%
  • Administratorzy systemu: 34,3%
  • U偶ytkownicy: 28,6%

W sumie, profesjonali艣ci IT stanowili oko艂o 71,1% badanych.

Opcje korzystania z VoIP

Rysunek 2 pokazuje preferencje uczestnik贸w sonda偶u odno艣nie dost臋pnych program贸w VoIP. Na pierwszym miejscu - co nie powinno nikogo dziwi膰 - znalaz艂 si臋 Skype (46,8%). Jest to pierwszy, niekt贸rzy powiedzieliby nawet - najwygodniejszy - program s艂u偶膮cy do transmisji g艂osu poprzez Internet. Jego konkurenci zdo艂ali zebra膰 wsp贸lnie tylko 25,3% g艂os贸w. Trzeba doda膰, 偶e nieco ponad jedna trzecia ankietowanych specjalist贸w (27,9%) nie posiada艂a 偶adnej us艂ugi VoIP w intranecie. Prawdopodobnie spowodowane jest to zagro偶eniami zwi膮zanymi z korzystaniem ze Skypa.


Opcje VoIP w 艣rodowisku korporacyjnym

Denis Zenkin, Dyrektor ds. Marketingu firmy InfoWatch, powiedzia艂: "Problem bezpiecze艅stwa Skypa jest bardzo realny. Po pierwsze, program wykorzystuje sw贸j w艂asny protok贸艂, kt贸ry nie jest obs艂ugiwany przez tradycyjne monitory sieci intranet. Po drugie, ruch g艂osowy jest trudny do filtrowania przez systemy elektroniczne, a filtrowanie r臋czne nie jest op艂acalne. Najpro艣ciej by艂oby ca艂kowicie zakaza膰 korzystania ze Skypa. Nie jest to jednak dobre rozwi膮zanie, poniewa偶 program jest wygodny i przydatny".

Zagro偶enia zwi膮zane ze Skypem

Badanie koncentruje si臋 g艂贸wnie na zidentyfikowaniu zagro偶e艅 zwi膮zanych z u偶ywaniem Skypa, jak r贸wnie偶 ich przyczyn. Z przeprowadzonego sonda偶u wynika, 偶e ogromna wi臋kszo艣膰 respondent贸w dostrzega szereg r贸偶nych zagro偶e艅 zwi膮zanych z korzystaniem ze Skypa (zobacz rys. 3). Zaledwie 5,3% specjalist贸w uwa偶a艂o, 偶e u偶ywanie Skypa w sieci korporacyjnej nie stanowi 偶adnego zagro偶enia.

Najwi臋kszym zagro偶eniem - wed艂ug 55,6% respondent贸w - jest wyciek poufnych informacji. Innymi s艂owy, ponad po艂owa specjalist贸w uwa偶a艂a, 偶e u偶ywanie Skypa mo偶e przyczyni膰 si臋 do wycieku poufnych informacji z firmy. Z badania wynika, 偶e istnieje dwukrotnie wi臋ksze niebezpiecze艅stwo wycieku poufnych informacji ni偶 ataku hakera na zasoby intranetu.

Jako najwi臋ksze zagro偶enia wymieniono:

  • Niesankcjonowany dost臋p do informacji: 37,2%
  • Ryzyko utraty danych: 33,2%
  • Niebezpiecze艅stwo przedostania si臋 szkodliwego programu do stacji roboczych: 31,7%
  • Inne zagro偶enia: 7,4%

Zagro偶enia zwi膮zane ze Skypem

Rozwi膮zania VoIP - dotyczy to r贸wnie偶 Skypa - nios膮 ze sob膮 szereg r贸偶nych zagro偶e艅 dla bezpiecze艅stwa danych firm. Programy s艂u偶膮ce do komunikacji g艂osowej lub wideo s膮 wystarczaj膮co proste i dost臋pne, aby mog艂y by膰 wykorzystywane przez wewn臋trznych z艂odziei. Kontrolowanie Skypa nie jest zadaniem prostym, poniewa偶 trudno jest automatycznie filtrowa膰 ruch g艂osowy. Jednocze艣nie, wykorzystanie za艂膮czonych plik贸w nie stanowi 偶adnego problemu nawet dla niedo艣wiadczonych u偶ytkownik贸w. Poza tym, podobnie jak w przypadku wi臋kszo艣ci program贸w, klienckie programy VoIP posiadaj膮 luki, kt贸re teoretycznie mog膮 zosta膰 wykorzystane.

Ponadto, wed艂ug centrum analitycznego firmy InfoWatch, ryzyko ataku hakera jest wyolbrzymione. Najprawdopodobniej wynika to z zakorzenionych w przesz艂o艣ci obaw dotycz膮cych w艂ama艅 haker贸w do systemu. W rzeczywisto艣ci, zagro偶enie ze strony haker贸w nie jest tak du偶e. To samo dotyczy r贸wnie偶 zagro偶e艅 zwi膮zanych ze szkodliwym oprogramowaniem. Jak na razie znany jest tylko jeden przypadek przenikni臋cia trojana do komputera poprzez luk臋 w Skypie. Przypominamy, 偶e wirus nie potrafi rozprzestrzenia膰 si臋 samodzielnie - musi zosta膰 fizycznie pobrany przez u偶ytkownika.

殴r贸d艂o zagro偶e艅

W dalszej cz臋艣ci badania uczestnicy zostali poproszeni o wskazanie 藕r贸de艂 nowych zagro偶e艅 bezpiecze艅stwa danych (rys. 4). Opr贸cz czynnik贸w zwi膮zanych z samym programem zagro偶enia mog膮 mie膰 jeszcze inne przyczyny, jak na przyk艂ad zamiar wyrz膮dzenia szkody lub brak dyscypliny u偶ytkownik贸w itd. Wyniki badania pokazuj膮, 偶e wi臋kszo艣膰 uczestnik贸w (44,6%) za najwi臋ksze 藕r贸d艂o zagro偶e艅 uwa偶a pracownik贸w. Innymi s艂owy, za incydent naruszenia bezpiecze艅stwa danych b臋dzie najprawdopodobniej odpowiedzialny czynnik ludzki.


Charakter zagro偶e艅 zwi膮zanych z u偶yciem Skypa

Jako drugie najwi臋ksze zagro偶enie (26,7%) uznano b艂臋dy w 艣rodowisku programowym Skypa. Mamy tu na my艣li luki w systemie operacyjnym lub wykorzystywane sposoby ochrony oraz inne aplikacje, kt贸re mog膮 zagrozi膰 bezpiecze艅stwu danych, je艣li dzia艂aj膮 r贸wnocze艣nie ze Skypem. Jednocze艣nie tylko 23,4% badanych uwa偶a艂o, 偶e za podobne problemy odpowiedzialni s膮 tw贸rcy Skypa. Tylko jeden na dwunastu specjalist贸w (5,4%) uwa偶a艂, 偶e Skype nie stanowi 偶adnego zagro偶enia dla bezpiecze艅stwa danych.

Tak wi臋c programy VoIP nie stanowi膮 g艂贸wnego 藕r贸d艂a zagro偶enia. W prawie po艂owie przypadk贸w win臋 ponosili pracownicy firmy, kt贸rzy nie potrafili w艂a艣ciwie korzysta膰 ze swoich narz臋dzi, lub chcieli 艣wiadomie ukra艣膰 informacje. Podsumowuj膮c, mo偶na powiedzie膰, 偶e zakaz korzystania ze Skypa jest jak pr贸ba zabronienia u偶ywania Internetu lub poczty elektronicznej. VoIP jest przydatny i wygodny, jednak aby nie dopu艣ci膰 do ziszczenia si臋 najczarniejszego scenariusza - utraty poufnych informacji - firmy musz膮 chroni膰 swoje dane, tak samo jak zabezpieczaj膮 si臋 przed kradzie偶膮 za po艣rednictwem poczty elektronicznej, Internetu, drukarek czy pami臋ci USB.

Denis Zenkin powiedzia艂: "Skype stanowi wyj膮tkow膮 szans臋 zaoszcz臋dzenia pieni臋dzy na d艂ugodystansowych rozmowach. To oznacza, 偶e firmie op艂aca si臋 korzysta膰 z VoIP-a. Twierdzenie, 偶e Skype wystawia sieci korporacyjne na niedopuszczalne ryzyko nie jest prawd膮. Nie mo偶na jednak powiedzie膰, 偶e nie istnieje 偶adne ryzyko. Z drugiej strony, inne aplikacje sieciowe (takie jak poczta elektroniczna, przegl膮darki, a nawet systemy operacyjne) cz臋sto stanowi膮 wi臋ksze zagro偶enie ni偶 Skype. Rezygnowanie z obiecuj膮cych i korzystnych ekonomicznie form technologicznych nie jest dobrym podej艣ciem. Trzeba tylko w艂a艣ciwie z nich korzysta膰 i stworzy膰 odpowiednie 艣rodowisko".

Bezpiecze艅stwo i Skype

Z badania wynika (rys. 5), 偶e czynnik bezpiecze艅stwa plasuje si臋 bardzo wysoko na li艣cie przeciwwskaza艅 przy podejmowaniu decyzji odno艣nie wprowadzenia Skypa do sieci korporacyjnej. Dwie trzecie ankietowanych specjalist贸w (66,4%) by艂o g艂臋boko przekonanych lub sk艂ania艂o si臋 ku opinii, 偶e ze wzgl臋du na zagro偶enia bezpiecze艅stwa danych implementacja Skypa w firmie mo偶e stanowi膰 wi臋kszy problem. Jednak, jak ju偶 zauwa偶yli艣my, g艂贸wna przyczyna problemu nie tkwi w technologii Skypa, ale w korzystaniu z programu w niew艂a艣ciwy spos贸b lub w szkodliwych celach. Naturalnie, ka偶da nowa technologia, kt贸ra zwi臋ksza ryzyko wycieku poufnych informacji b臋dzie mia艂a z艂膮 reputacj臋. Prowadzi to do niebezpiecznej sytuacji. Bez implementowania zaawansowanych, nowoczesnych technologii firmy nie s膮 w stanie konkurowa膰. Jednak przeszkod膮 w korzystaniu z nowych rozwi膮za艅 s膮 dodatkowe zagro偶enia bezpiecze艅stwa danych, jakie mog膮 one spowodowa膰.


Czy zagro偶enia bezpiecze艅stwa danych stanowi膮 przeszkod臋 w implementowaniu Skypa?

33,7% specjalist贸w bior膮cych udzia艂 w badaniu uwa偶a艂o, 偶e dodatkowe zagro偶enia nie stanowi膮 przeszkody w implementowaniu Skypa w firmie, natomiast 66,4% by艂o przeciwnego zdania. W rezultacie, zagro偶enia bezpiecze艅stwa danych zwi膮zane z u偶ywaniem Skypa stanowi膮 rzeczywist膮 przeszkod臋 w implementowaniu przez firmy program贸w VoIP. Z drugiej strony, trudno uzna膰 tak膮 postaw臋 za logiczn膮, poniewa偶 to u偶ytkownicy stwarzaj膮 te dodatkowe zagro偶enia. Podsumowuj膮c, je艣li zapewni si臋 odpowiednie zabezpieczenie informacji, ryzyko wycieku danych przy u偶yciu Skypa jest niewielkie.

Wniosek

Badanie wykaza艂o, 偶e istnieje pewne niebezpiecze艅stwo zwi膮zane z korzystaniem ze Skypa w 艣rodowisku korporacyjnym. Najwi臋kszym zagro偶eniem (55,6%) jest utrata poufnych danych. Nie powinno to nikogo dziwi膰, poniewa偶 programy VoIP stanowi膮 znakomity spos贸b wykorzystania wewn臋trznych danych firmy niezgodnie z ich przeznaczeniem. Ankietowani znacznie przecenili zagro偶enie zwi膮zane z hakerami (29,0%) i przenikni臋ciem szkodliwego oprogramowania do intranetu (31,7%). Cz臋艣ciowo wynika to z powszechnych obaw przed naruszeniem zasob贸w i zawieszaniem si臋 komputer贸w. W rzeczywisto艣ci jednak, hakerzy nie stanowi膮 tak powa偶nego problemu, a liczba robak贸w i trojan贸w wykorzystuj膮cych programy voice-conference jest ograniczona.

Z drugiej strony, ka偶de niew艂a艣ciwie u偶ytkowane narz臋dzie IT mo偶e by膰 niebezpieczne. Badanie pokaza艂o, 偶e je艣li chodzi o korzystanie ze Skypa g艂贸wnym problemem jest czynnik ludzki (44,6%). Ponadto negatywny wp艂yw na bezpiecze艅stwo ma r贸wnie偶 艣rodowisko programowe (26,7%). Tylko 23,4% uczestnik贸w badania uwa偶a艂o, 偶e g艂贸wn膮 przyczyn膮 naruszenia bezpiecze艅stwa danych jest sam klient VoIP.

Podsumowuj膮c, prawie po艂owa uczestnik贸w badania uwa偶a艂a, 偶e Skype znacznie u艂atwia wewn臋trznym z艂odziejom kradzie偶 poufnych informacji. Bez w膮tpienia Skype zapewnia szereg nowych kana艂贸w wycieku. Po pierwsze, ruch g艂osowy. Podobnie jak w przypadku telefonu kom贸rkowego, podczas rozmowy telefonicznej za po艣rednictwem Skypa mo偶na przeczyta膰 komu艣 fragment dokumentu. Po drugie, transfer plik贸w. Istnieje tu podobie艅stwo do wysy艂ania plik贸w poprzez FTP, poczt臋 elektroniczn膮 lub ICQ. Po trzecie, kopiowanie cennych danych do schowka, a nast臋pnie wklejenie ich do obs艂ugiwanej przez Skypa funkcji "chat", kt贸ra jest analogiczna do tej w ICQ czy Internecie. Jednak z wszystkich tych kana艂贸w stosunkowo nowy jest tylko ruch g艂osowy. Pozosta艂e kana艂y mo偶na 艂atwo kontrolowa膰 metodami wykorzystywanymi do zapobiegania wyciek贸w poprzez poczt臋 elektroniczn膮, pagery lub Internet. Jednak ruch VoIP sam w sobie nie jest niebezpiecznym kana艂em wycieku. Chocia偶 wewn臋trzny z艂odziej mo偶e przekaza膰 t膮 drog膮 informacje swojemu wsp贸lnikowi za po艣rednictwem Skypa, istniej膮 ograniczenia odno艣nie ilo艣ci danych, jakie mog膮 by膰 w ten spos贸b transmitowane. Je艣li u偶ytkownik Skypa znajduje si臋 w biurze bez 艣cianek dzia艂owych, nie ma potrzeby obawia膰 si臋 wycieku danych za po艣rednictwem ruchu g艂osowego. Natomiast inne kana艂y wycieku powinny by膰 kontrolowane, w przeciwnym razie poufne informacje wpadn膮 w r臋ce konkurencji lub stan膮 si臋 publicznie dost臋pne.

殴r贸d艂o:
InfoWatch
SecurityLab.ru