Niebezpieczny Skype
-
- 06.03.2007
Typowy komunikat systemu windows w niemieckiej wersji 64-bitowej przy uruchamianiu skype’a. w wersji angielskiej komunikat ten wygląda tak: unsupported 16-bit application the program or feature "\??\c:\users\mm\appdata
\local\temp\12\1.com" cannot start or run due to incompatibity with 64-bit versions of windows. please contact the software vendor to ask if a 64-bit windows compatible version is available.
Dość ciekawą metodą blokowania aplikacji Skype jest wykorzystanie jej własnej broni - stosowanych sztuczek ochrony przeciw narzędziom do wstecznej analizy. Skype wykrywa działanie narzędzi programistycznych (np. debuggera SoftIce). Wystarczy zatem spreparować paczkę MSI instalującą odpowiednio przygotowany plik o nazwie ntice.sys. Po przypisaniu paczki za pomocą Active Directory, w całej firmie Skype przestanie działać.
Najlepiej sprawdzi się dedykowane narzędzie do walki z niepożądanymi połączeniami. Przykładem takiego rozwiązania jest Lynanda Asynchronous Network Filter - pasywny analizator ruchu sieciowego, który potrafi rozpoznawać protokoły sieci peer-to-peer. W razie wykrycia niepożądanego ruchu może podjąć odpowiednie działania (zablokowanie, zmniejszenie przepustowości do minimalnej wartości, alarm administracyjny). Większość zaawansowanych narzędzi potrafi wykrywać ruch Skype'a, nie wszystkie jednak radzą sobie z najnowszą wersją aplikacji, ale można zauważyć postęp w tej dziedzinie. Często stosowanymi narzędziami jest wspomniany Lynanda ANF, NarusInsight Discover Suite, SonicWALL, Packeteer, Fortigate, InterSpect czy Verso Technologies. W urządzeniach Cisco bazujących na Cisco IOS od wersji 12.4 (4)T istnieje klasyfikacja ruchu na peer-to-peer. Ponadto możliwe jest blokowanie ruchu przy użyciu serwera proxy squid pracującego pod kontrolą systemów takich jak OpenBSD czy Linux.
W Windows program pracujący na poziomie uprawnień zwykłego użytkownika (nawet nie Power User) ma prawo uruchomić cokolwiek (Load and Execute) z katalogu tymczasowego - tam gdzie użytkownik ma prawo zapisu. Separacja przestrzeni użytkownika, znacznie prostsza do wykonania w systemach typu Unix niż Windows, rozwiązuje znaczącą część podobnych problemów. Zastosowanie dodatkowego oprogramowania dającego dobrą granulację uprawnień w systemie Windows do poszczególnych obiektów niweluje niepożądane działania aplikacji. Można wymusić uruchamianie Skype'a z innymi poświadczeniami, dzięki czemu możliwe będzie maksymalne ograniczenie praw i aplikacja nie będzie miała dostępu do krytycznych miejsc systemu i wrażliwych danych. Szczególnie dobrze działa to w systemie Linux, gdzie można zastosować opcję "su".
Twórcami Skype'a są te same osoby, które stworzyły usługę Kazaa służącą do wymiany plików w sieci peer-to-peer. Opracowany przez nich protokół oraz działająca za jego pomocą aplikacja stanowiła przez pewien czas znaczącą część "rynku" wymiany muzyki w Internecie. Jednocześnie Kazaa była uznawana za jedną z najbardziej obciążonych przez spyware aplikacji. Blokowanie protokołu FastTrack, na podstawie którego pracowała Kazaa, było jednym z pierwszych zadań administratorów sieci zaraz po zakończonej walce z Napsterem i AudioGalaxy Satellite. Aplikacja Skype dla Windows (najpopularniejsza wersja) jest napisana na tyle dobrze, że do tej pory nie znaleziono ani jednego publicznie znanego eksploita. Nie oznacza to, że błędów nie ma, ale teoretycznie ich wykorzystanie w Windows XP SP2 i Windows Vista jest niestabilne. Wiadomo jednak, że istnieje błąd dający możliwość nadpisania danych w dość często wywoływanych funkcjach przy Windows XP. Eksploit ten nie został jeszcze upubliczniony.
Wady Skype'a:
- oprogramowanie stosuje zasadę automatycznego zaufania do wszystkich połączeń wykonywanych z użyciem swojego protokołu;
- kod źródłowy nie jest oficjalnie dostępny, co wyklucza dokładny audyt tego, co aplikacja naprawdę robi;
- umożliwia zdalne skanowanie wewnętrznej sieci firmowej;
- zawiera moduł umożliwiający komunikację między aplikacjami wewnątrz tunelu Skype'a. Dzięki temu możliwe są: zdalne włamanie za pomocą odpowiednio przygotowanej aplikacji, tunel sieciowy wewnątrz szyfrowanego kanału, dyskretna zdalna kontrola komputerem, kradzież danych itp. Szczególnym przykładem jest wtyczka umożliwiająca współdzielenie pulpitu;
- ma nieszczelny mechanizm autoryzacji wtyczek, możliwe jest stosunkowo proste dodanie dowolnego pluginu;
- stosuje aktywne techniki omijania zapór sieciowych, które sprawiają, że ruch Skype'a jest trudny do monitorowania zarówno pod względem ilościowym, jak i jakościowym. Można stosować limity transferu, ale nie uda się monitoring sesji;
- umożliwia niekontrolowany transfer plików — przez co uniemożliwia skuteczną kontrolę antywirusową na zaporze sieciowej;
- posiada technikę superwęzła, która do celów tworzenia sieci peer-to-peer wykorzystuje pasmo klienta bez możliwości wyłączenia tej opcji. Odnotowano przypadki wysycenia przez Skype'a kilkumegabitowego łącza przy braku odpowiednich zapór sieciowych;
- protokół Skype'a nie jest jawny, ale został złamany, co umożliwia utworzenie "nielegalnej" wirtualnej podsieci wewnątrz sieci peer-to-peer. Niektóre połączenia związane z transportem plików można już zauważyć;
- nie daje użytkownikowi kontroli nad kluczami stosowanymi w szyfrowaniu korespondencji — wykorzystywane są wyłącznie klucze aplikacji. Przy takim rozwiązaniu nie można mówić o bezpieczeństwie rozmów;
- złamanie jednego prywatnego klucza RSA powoduje kompromitację całej sieci Skype'a. Prawdopodobnie to już zostało dokonane;
- nie daje możliwości użycia bezpośredniego połączenia wewnątrz firmowej sieci — tak by rozmowy między oddziałami firmy nie wychodziły poza wirtualną sieć prywatną firmy.
