Проект ставил своей целью выявить опасения специалистов в области ИТ и ИТ-безопасности (ИБ) по поводу применения Skype в корпоративной сети, определить возникающие при этом угрозы ИБ, а также причину возникновения этих рисков.
Технология VoIP (Voice over IP) в настоящее время развивается очень быстрыми темпами, а программа Skype является наиболее известной и популярной среди пользователей реализацией VoIP. По сравнению с обычной телефонной сетью, Skype позволяет существенно удешевить связь и при этом сохранить качество передачи информации. Еще одно преимущество этой программы – простота. Пользователи всего мира больше не утруждают себя размышлениями, что и как нужно делать. Сегодня достаточно просто установить Skype и подключить микрофон. После этого можно говорить, обмениваться файлами, текстовыми сообщениями и т.д.
Однако программа Skype получила достаточно широкое распространение не только у домашних пользователей, но и в корпоративных сетях. Неудивительно, ведь она позволяет значительно сократить расходы на междугородные и международные разговоры, упростить коммуникации между офисами и отдельными людьми. Кроме того, для установки и использования утилита вовсе не требует привилегий администратора. Поэтому служащие могут бесплатно скачать Skype из Интернета и спокойно установить его на корпоративной рабочей станции. Между тем, именно в этом месте возникает совершенно новая проблема – дополнительные риски информационной безопасности (ИБ), которые возникают в связи с использованием Skype в корпоративной среде.
Отметим, что проблема защищенности Skype сегодня очень актуальна. Это довольно популярная программа, приковывающая к себе внимание, как инсайдеров, так и хакеров. Например, при помощи Skype внутренние нарушители легко могут выкрасть ценную информацию. При этом история таит немало примеров того, как хакеры отыскивали уязвимости в Skype.
Дата | Уязвимость |
---|---|
Ноябрь, 2004 г. | Обнаруженная дыра позволяла хакеру получить полный контроль над компьютером пользователя посредством переполнения буфера в Skype. |
Апрель, 2005 г. | Программа Skype не всегда аккуратно сбрасывала права доступа. В результате злоумышленник мог подменять оригинальные приложения модифицированными вариантами с уже полученной авторизацией. |
Октябрь, 2005 г. | Выявлена лазейка, с помощью которой злоумышленник мог вызвать ошибку переполнения буфера на машине жертвы и получить доступ к системе. |
Октябрь, 2005 г. | Брешь в Skype позволяла организовать атаку типа отказ в обслуживании на удаленный компьютер. |
Май, 2006 г. | Новая брешь давала возможность украсть файл с машины пользователя. Правда, для этого необходимо было послать жертве специально сформированные пакеты, чтобы спровоцировать аварийное завершение программы. |
Декабрь, 2006 г. | В нескольких странах распространился червь, инфицирующий рабочие станции с программой Skype, использующейся в режиме чата. |
Настоящее исследование является первым российским проектом в сфере изучения возможности безопасного использования Skype в корпоративной среде. Исследование ставило своей целью выявить опасения специалистов в области ИТ и ИБ по поводу применения Skype в интрасетях компаний, определить дополнительные угрозы ИБ, которые этому способствуют, а также причину возникновения этих рисков.
Исследование проводилось аналитическим центром компании InfoWatch совместно с информационным порталом SecurityLab.ru в период с 15.01.2007 по 30.01.2007. Респондентам было предложено ответить на вопросы online-анкеты. Всего в исследовании приняли участие 1242 посетителя SecurityLab.ru. Обработка статистики и анализ результатов были проведены аналитическим центром InfoWatch. Представленные данные округлены до десятых процента. В некоторых случаях сумма ответов превышает 100% в связи с использованием многовариантных вопросов.
Аудиторию участников исследования составляют в большинстве своем квалифицированные специалисты по ИБ (37,1%). За ними следуют системные администраторы (34,3%) и пользователи (28,6%). Таким образом, около 71% респондентов являются профессионалами в ИТ-индустрии.
На рис. 2. представлены предпочтения респондентов в отношении различных средств VoIP. Лидирующая позиция Skype (46,8%) нисколько не удивляет. Это первая и, пожалуй, самая удобная программа для передачи голоса через Интернет. Все конкуренты, взятые вместе, едва набрали четверть всех голосов (25,3%). Правда, отметим, чуть больше четверти (27,9%) опрошенных специалистов, в интрасетях которых VoIP-средства вообще не используются. Вероятно, в этом виноваты угрозы, которые несет применение Skype.
«Проблема безопасности Skype отнюдь не надуманна. Во-первых, программа использует собственный протокол, который не поддерживается традиционными межсетевыми экранами. Во-вторых, выловленный голосовой трафик трудно фильтровать электронными системами, а привлекать для этого специального человека малоэффективно. Самым простым решением, конечно же, будет запрет трафика Skype. Но и это не выход, ведь программа удобна и полезна». Денис Зенкин,
|
Основная часть исследования направлена на выявление рисков, сопутствующих использованию Skype, и источников этих рисков. Как оказалось, абсолютное большинство респондентов видит целый ряд угроз в связи с применением Skype (см. рис. 3). Лишь 5,3% опрошенных специалистов считают, что использование Skype в корпоративной среде полностью безопасно.
Наибольшая угроза, по мнению 55,6% респондентов, это риск утечки конфиденциальной информации. Другими словами, более половины специалистов уверено, что из-за Skype закрытая корпоративная информация может просочиться наружу. По результатам исследования, угроза утечки конфиденциальной информации в 2 раза (55,6% против 29%) превышает риск хакерской атаки на ресурсы внутренней сети. Промежуточные позиции заняли риск несанкционированного доступа к информации (37,2%), риск потери данных (33,2%) и угрозы проникновения вредоносных программ на рабочие станции (31,7%). Еще 7,4% голосов набрали прочие угрозы.
Решения для VoIP, и это касается не только Skype, действительно создают целый комплекс угроз ИБ для предприятий. Программы для голосовой и видеосвязи достаточно просты и удобны для инсайдеров. Контролировать использование Skype непросто, так как голосовой трафик чрезвычайно трудно фильтровать в автоматическом режиме. Вместе с тем, работа с приложением не вызывает трудностей даже у малоопытных пользователей. Кроме того, как и большинство программных продуктов, VoIP-клиенты имеют уязвимости, которыми теоретически могут воспользоваться недоброжелатели.
«Программа Skype предоставляет уникальную возможность сэкономить на дальних телефонных разговорах. Так что компании сами заинтересованы в использовании VoIP. Разговоры о том, что применение Skype несет фатальную угрозу корпоративным сетям, по сути, не состоятельны. Отрицать риски тоже не имеет смысла, но другие сетевые приложения (почта, браузеры, даже сами операционные системы) зачастую более опасны, чем Skype. Отказываться от перспективных и экономически выгодных технологий преступно. Необходимо лишь правильно их использовать и создать благоприятное окружение». Александр Антипов,
|
В то же самое время, по мнению аналитического центра InfoWatch, риск хакерской атаки несколько переоценен. Популярность этого ответа объясняется скорее исторически сложившимися опасениями взлома компьютеров. Реально, в настоящее время угроза со стороны хакеров не столь остра. Также преувеличены угрозы проникновения вредоносных программ. Зафиксирован лишь один случай, когда троянец проникал через брешь в приложении Skype. Однако следует учитывать, что вирус не мог распространяться самостоятельно и предварительно собственноручно скачивался пользователем.
На предыдущем этапе исследования удалось выяснить, что использование Skype приводит к возникновению дополнительных рисков ИБ. Далее аналитический центр InfoWatch предложил респондентам указать источники возникновения новых угроз ИБ (рис. 4). Ведь помимо проблем в самой утилите Skype, уязвимости могут быть обусловлены недостатками программного окружения, злонамеренностью или халатностью пользователей и т.д. Как оказалось, большинство опрошенных специалистов (44,6%) видят главный источник угрозы в самих людях. Другими словами, именно человеческий фактор при использовании Skype может привести к инцидентам ИБ наиболее часто.
На втором месте (26,7%) стоят недостатки программного окружения Skype. Речь идет либо об уязвимостях операционной системы, либо используемых средств защиты и любого другого прикладного ПО, которое может приводить к реализации угроз ИБ при взаимодействии со Skype. В то же самое время лишь 23,4% респондентов считают, что претензии можно предъявлять к разработчикам Skype. Наконец, только каждый двадцатый опрошенный специалист (5,4%) высказался за то, что использование Skype не несет в себе вообще никаких угроз ИБ.
Таким образом, сами по себе VoIP-программы вряд ли являются основным источником рисков ИБ. Почти половина случаев – вина самих работников предприятия, которые не умеют должным образом пользоваться инструментами или имеют скрытый умысел украсть информацию. Подводя итог, можно заметить, что отказываться от использования Skype все равно, что запрещать использовать Интернет или электронную почту. Средства VoIP полезны и удобны, но чтобы исключить реализацию самой опасной угрозы – утечки конфиденциальной информации, предприятиям следует защищать эти данные точно так же, как они защищаются от кражи по каналам электронной почты и Интернета, через принтеры и USB-носители.
Из ответов респондентов (рис. 5) видно, что фактор безопасности является очень важным при принятии решения об использовании Skype в корпоративной сети. Две трети опрошенных специалистов (66,4%) уверены или склоняются к тому, что угрозы ИБ затрудняют внедрение Skype в компаниях. Полученная цифра очень солидна. К тому же, следует принять во внимание, что выше уже было показано, что корень зла находится не в самой технологии Skype, а в некорректном или злонамеренном использовании этой программы. Следовательно, всякая новая технология, которая увеличивает риск утечки конфиденциальной информации, будет встречаться в штыки. Таким образом, мы подошли к достаточно опасному рубежу. Без внедрения современных продвинутых технологий трудно стать успешной компанией. В то же время использование новых решений затруднено вследствие дополнительных угроз ИБ.
Возвращаясь к результатам опроса, отметим, что 33,7% специалистов считают, что дополнительные риски не препятствуют внедрению Skype на предприятиях. Это категория прагматиков, кто достаточно объективно и логично оценивает все выгоды от использования Skype. Тем не менее, 66,4% респондентов уверено в обратном. Получается, что риски ИБ, возникающие вследствие использования Skype, являются довольно существенным препятствием на пути внедрения этой VoIP-программы в компаниях. Между тем, эту точку зрения вряд ли можно назвать логичной, так как источником дополнительных угроз являются сами служащие предприятия. В результате, если защитить информацию, как таковую, то она вряд ли сможет уйти по каналам Skype.
Исследование показало, что использование Skype в корпоративной среде небезопасно. И наибольшей угрозой (55,6%) является риск потери конфиденциальных данных. В этом нет ничего удивительного, ведь средства VoIP вообще очень удобны для внутренних нарушителей. А вот угрозы хакерской атаки (29,0%) и проникновения в интрасеть зловредных программ (31,7%) существенно преувеличены респондентами. Свою роль тут сыграли традиционные опасения взлома и зомбирования компьютеров. Реально же, проблема хакеров не столь остра в настоящее время, а черви и троянцы, использующие программы для голосовых конференций, достаточно малочисленны.
В то же время выяснилось, что в принципе небезопасен любой IT-инструмент, который используется неверно. И, согласно данным опроса, именно человеческий фактор является главной проблемой (44,6%) при работе со Skype. Помимо людей, негативно на защищенности сказывается программное окружение (26,7%). Лишь 23,4% респондентов считают основным недостатком бреши в самих VoIP-клиентах.
Подводя итоги, можно заметить, что почти половина респондентов полагает, что с помощью Skype внутренние нарушители смогут значительно легче красть конфиденциальную информацию. Действительно, Skype предоставляет целый ряд дополнительных каналов утечки. Во-первых, голосовой трафик. Так же, как с помощью мобильного телефона, можно позвонить по Skype и зачитать какой-то фрагмент текста. Во-вторых, пересылка файлов. Здесь все аналогично отсылке файлов по FTP, вместе с e-mail или по ICQ. В-третьих, копирование ценных данных в буфер обмена, а потом вставка в чат, который поддерживается программой Skype. Это аналог ICQ или чата в Интернете. Однако из всех этих каналов относительно новым является только голосовой трафик. Все остальные возможности легко контролируются теми же средствами, что используются для защиты от утечек через электронную почту, пейджеры и Интернет. Что же касается VoIP-трафика, то это вряд ли можно считать опасным каналом утечки. Здесь и сослуживцы инсайдера прекрасно услышат, о чем он рассказывает по Skype, да и много информации таким способом не передать. Так что можно не беспокоиться об утечке данным посредством голоса, если пользователь Skype работает в окружении своих коллег. Между тем, другие каналы утечки должны быть взяты под контроль, иначе конфиденциальная информация очень быстро попадает к конкурентам или будет опубликованы для доступа всем и каждому.
Гравитация научных фактов сильнее, чем вы думаете