01/08-05   -   Pressemeddelelse

eSec advarer mod Skype i virksomheden

De fleste mennesker har jo de seneste dage kunne læse i avisen om den fantastiske Skype succes, og ikke mindst de mange penge som Skype er blevet solgt for.. men ...

.. er Skype et program til erhvervslivet?? og hvad med sikkerheden.
Skype er et IP-telefoniprogram opbygget som et P2P (peer-to-peer) program og udviklet af de samme personer der lavede KaZaA fildelingsprogrammet. eSec bliver med mellemrum stillet spørgsmål til Skype, her er et par kommentarer.

Selv om brugen af ressourcer er distribueret i Skype kræves der central login for at benytte programmet, der trods sit image af "oprør" ikke er open source. Vi ved altså ikke, hvad der ligger i den lukkede kode, de fleste oplysninger der findes om tekniske detaljer kommer fra tredjeparts observationer. Ved brug af Skype indgår man et forhold med en kommerciel leverandør der har fuld kontrol over produktet gennem login servicen.

For nogle vi det være et issue om kryptering af tale er god nok - man lader jo sine telefonsamtaler køre hen over maskiner på f.eks. et universitet i Taiwan eller en netcafe i Brasilien eller hvor data tilfældigt lander i P2P netværket. Vi ved det ikke og da krypteringen er proprietær er der ikke nogen der kan bedømme dette.

Ved du at andre bruger din PC og Internet forbindelse?

Maskiner der vurderes af Skype at have god CPU-kraft og/eller netværksforbindelse kommer tilsyneladende til at fungere som servere for mange andre. Så man vil også komme til at fungere som distribution af samtaler fra andre end egne medarbejdere.

Men det som er det mest akutte problem sikkerhedsmæssigt er at Skype opfører sig meget uheldigt bag firewalls. Selv om Skype finder ud af at klienten er bag en firewall og til sidst benytter porte der er åbne (som 80 og 443) prøver programmet, når der afsendes data, altid først at forbinde sig til den port der er specifik for den klient man sender til. Da alle klienter ved installation vælger en tilfældig port som de lytter på (dette portnummer kommunikeres til andre i Skype netværket), genererer Skype bag firewalls masser af trafik mod tilfældige porte. Også mod porte der normalt hører til forskellige velkendte services og trojanske programmer. Det næsten er umuligt og overvåge loggen på firewall´en for intern malware på net med meget Skype trafik. Så anvender og tillader man Skype, vil trojanske programmer, spyware og andre uønskede applikationer nemt kunne skjule sig i loggen blandet med Skype trafikken.

Så eSec´s holdning til brug af Skype i virksomheder er helt klart at den øger risikoen for sikkerhedshuller, og virksomheder bør klart vurdere om den "gratis" telefoni kan opveje disse risici.

Relevant information

http://www.esec.dk