Не так опасен Skype, как о нем пишут

Информационное издание NetworkWorld опубликовало результаты собственного независимого исследования программного комплекса пиринговой телефонии Skype, на предмет выявления потенциальных уязвимостей или скрытых угроз для сетей предприятий, о возможности которых довольно регулярно пишет пресса в последние несколько месяцев. Учитывая тот факт, что Skype использует неизвестный способ шифрования трафика и может работать через NAT (network address translation), многие наблюдатели неоднократно выражали беспокойство ввиду потенциальной опасности для корпоративных сетей такого "черного ящика".

Исследователи тестировали Skype версий 1.4 и 2.0 на ноутбуках и карманных компьютерах, с использованием брандмауэров, между разными сетями и в рамках одной сети, захватывая и анализируя трафик и его характеристики. Были предприняты поиски возможных уязвимостей в самых разных режимах работы программы, включая передачу мгновенных сообщений. Кроме того, велась оценка загрузки процессора и памяти.

На основании многодневного тестирования в таком режиме, специалисты сделали вывод о том, что ни один из компонентов программы не представляет непосредственной угрозы безопасности компьютера или сети предприятия. Помимо этого, представители лаборатории беседовали в частном порядке со специалистами в области взлома сетей, сетевыми администраторами крупных предприятий и разработчиками оборудования по сетевой безопасности, пытаясь выяснить: с какой стороны можно ждать угрозы от Skype. Ни один из опрошенных людей не смог назвать ни одного случая эксплуатации недоработок или особенностей Skype для проникновения в сеть какой-либо организации.

Конечно, обмен голосовым трафиком с конкретным пользователем может привести к заражению машины, но это уже не относится непосредственно к Skype и может быть легко пресечено антивирусным ПО. Также, не стоит беспокоиться за полосу пропускания, т.к. один сеанс Skype-связи занимает, в среднем, от 33 до 46 Кбит/с, что может нести угрозу только низкоскоростным соединениям при множестве пользователей Skype на одном канале.

Руководителям IT-служб надо иметь ввиду некоторые особенности работы Skype не потому, что этот вид VoIP представляет непосредственную угрозу, а потому, что процессом этим почти невозможно управлять. Исследователи пробовали блокировать Skype-трафик многими видами брандмауэров, но ничего добиться так и не сумели.

Основные опасения наблюдателей были связаны с тем фактом, что устанавливая ПО, пользователь соглашается с предложенными условиями, в том числе и с возможной ролью супер-узла в системе Skype-телефонии. Исследователи отметили, что дело это, общем-то, добровольное и никаких попыток изменения статуса своих компьютеров они не заметили. При этом было отмечено, что чувство здравого смысла подсказывает: супер-узел должен находиться в "толстом" канале и иметь постоянный IP-адрес, поэтому задействовать на эту роль случайную машину особого смысла нет.

По сути, исследователи утверждают, что при практическом подходе к делу, опасения, связанные с работой Skype, по большей части надуманны. Т.е. в теории все выглядит очень серьезно, а на практике просто не подтверждается (правда, здесь необходимо учитывать ограниченное время эксперимента).

Так стоит ли пытаться блокировать Skype? Исследователи полагают, что этот вопрос должен решаться на каждом конкретном предприятии индивидуально, в зависимости от оборудования, архитектуры сети и корпоративной политики безопасности. Известно о попытке одной крупной компании блокировать работу Skype на компьютерах своих пользователей, но единственное средство, которое оказалось более-менее надежным, представляло собой регулярную проверку рабочих станций на предмет установленных модулей программы.

Дмитрий