Tylne drzwi producenta
-
- 22.09.2009
Na łamach Computerworld pisaliśmy wielokrotnie o tym, że korzystanie ze Skype może powodować zagrożenie dla sieci lokalnej, gdyż za pomocą Skype API można przeskanować sieć lokalną przedsiębiorstwa. Skype oferuje także szyfrowany tunel komunikacyjny, który może posłużyć do przesłania dowolnego połączenia. Najpoważniejszym z zarzutów jest jednak możliwość zdalnego przechwycenia kluczy wykorzystywanych do szyfrowania połączenia.
Sama aplikacja jest napisana w taki sposób, aby maksymalnie utrudnić analizę kodu, stosowane są bardzo zaawansowane sztuczki, które mają na celu utrudnienie rozpoznania za pomocą debuggera. Dodatkowo sama transmisja danych VoIP przez Internet także jest opracowana w sposób maksymalnie utrudniający analizę protokołu. Wbrew temu, co sądzono na początku analizy działania Skype, algorytm RC4 służy wyłącznie do utrudnienia rozpoznania, jego zadaniem nie jest zapewnienie prywatności korespondencji. Szyfrowanie samej transmisji odbywa się po autoryzacji użytkowników, właściciel sieci dysponuje informacjami, które wystarczają do odtworzenia klucza dla każdej z sesji. Zatem do odzyskania informacji przesyłanej za pomocą takiej sieci wystarczy przechwycenie komunikacji i odzyskanie kluczy przez operatora sieci. Dla kontrastu - wykorzystanie w korporacji telefonii VoIP na przykład z użyciem protokołu SIP wewnątrz tunelu VPN sprawia, że odtworzenie rozmów jedynie na podstawie pakietów wysyłanych przez sieć nie jest możliwe nawet przez operatora telekomunikacyjnego czy producenta rozwiązań VoIP.
Czasami presja instytucji rządowych jest bardzo silna i powoduje sprzedaż rozwiązań o celowo obniżonej sile ochrony danych. Jeszcze do stycznia 2000 r. obowiązywało prawo, które ograniczało dopuszczalną moc stosowanego modułu kryptograficznego eksportowanego poza USA. Ostatnim systemem Microsoftu, który posiadał celowo obniżoną długość klucza szyfrującego, był Windows 2000. Z tamtych czasów wywodzi się jeden z obiektów o nazwie NSAKEY, który służy do określenia, czy w systemie Windows zainstalowano wersję eksportową (słabą) czy amerykańską (silną) bibliotek szyfrujących. Właśnie ze względu na ograniczenia eksportowe, siedzibą twórców projektu OpenBSD była Kanada, gdyż tam amerykańskie prawo nie obowiązywało.
Należy przy tym pamiętać, że przepisy dotyczące eksportu technologii kryptograficznych z USA nadal mają zastosowanie i ograniczają sprzedaż niektórych produktów (na przykład komputerów o dużej mocy obliczeniowej, baz danych klasy enterprise lub oprogramowania kryptograficznego) do krajów takich jak Afganistan, Kuba, Iran, Irak czy Północna Korea. Po atakach z 11 września podnoszono temat administracyjnego wymuszenia dostępu przez służby specjalne do zaszyfrowanych danych (przykładem może być plan senatora Judda Gregga z New Hampshire, który proponował wprowadzenie albo backdoora, albo mechanizmu odzyskania klucza szyfrującego. Chociaż projekt nie ujrzał światła dziennego, agencje nadal pracują nad sposobami legalnego pozyskania zaszyfrowanych informacji.
