Hirdetés

Szakértők a Skype állítólagos biztonsági hibáiról

Nemrég számoltunk be egy olyan „Skype-hibáról”, ami mind az IT café fórumában, mind más ezzel foglalkozó lapoknál elég nagy vitát gerjesztett, főképp amiatt, hogy az IP-címek „szivárgása” egyáltalán hibának tekinthető-e. Ez a történet azonban csak egyik jele annak, hogy a Skype körül pezseg az élet, ugyanis időközben újabb, részben a korábbi jelenséghez hasonlót fedeztek fel – pontosabban fedeztek fel újra –, valamint a napokban egyre-másra érkeznek a hírek arról, hogy a Microsoft jelentős átalakításokat tervez, illetve hajt végre a nemrég megszerzett szolgáltatásnál.

Szerettünk volna tisztán látni a kérdéses „hibák” ügyében, ezért több szakértőt is megkérdeztünk a történtekről.

Hirdetés

IP-címek lekérése 1.

A korábbi hírben egy gyakorlatilag dokumentálatlan állítás szerepelt, melyet Matt Mastracci tett közzé, illetve az általa készített tesztoldal szolgálta az „adatszivárgás” bizonyítását. Itt elég sok homályos pont volt, mivel többek között nem látszott eléggé tisztázottnak, hogy csak ismerősök esetében tudhatjuk-e meg az általa használt IP-címet, illetve az sem volt egyértelmű, hogy ez vajon adatvédelmi szempontból mennyire aggályos.

Egyik válaszadónk Hunger, a hackerként is ismert szakember volt, aki szerint az IP-cím megszerzése nem tekinthető problematikusnak:

A Skype-kliensek eddig is úgy működtek, hogy – ha tudtak, akkor – közvetlenül összekapcsolódtak és úgy kommunikáltak. Ehhez arra van szükség, hogy a Skype-kliensek közül legalább az egyik elérhető legyen közvetlenül az interneten keresztül (címfordítást végző és port forwarding nélküli routerek és tűzfalak mögött ez nyilván nehézkes, ezért van, hogy más klienseken – peereken – keresztül megy át a forgalom, amelyek elérhetők közvetlenül is). Mastracci nyilván nem csinál mást, mint fenntart egy ilyen internetről elérhető Skype-node-ot, és a beírt felhasználónévvel megpróbálja felvenni a kapcsolatot a Skype-központon keresztül, ahonnan visszakapja a felhasználóhoz tartozó IP-címet.

Ha nem így működne, akkor meg amiatt aggodalmaskodna mindenki, hogy a Skype mindenképp átirányítja a forgalmat egy vagy több plusz peeren keresztül, hogy könnyebb legyen lehallgatni, stb.

Hasonlóképp látja a helyzetet Buherator, a Buhera Blog-ot vezető biztonsági szakember is:

Nem emlékszem, hogy a Skype-ról bárki valaha is azt állította volna, hogy anonim üzenetküldésre alkalmas, innentől ez feature, nem bug (az MSN egyébként szintén leakelt, és valószínűleg a többi hagyományos messenger is).

Arra a kérdésre, hogy ez tulajdonság vajon a p2p-hálózatok sajátsága-e, Buherator a következőket írta:

Elméletileg nem kellene következnie a p2p-ből, de szerintem gyakorlatilag minden ilyen szolgáltatás leakel valamilyen hálózati infót, hacsak nem fektettek erre tervezéskor különös hangsúlyt (mint például a Tor esetében). Egyébként pedig szerintem a Skype-on a legtöbben eleve közzéteszik azokat az adatokat, amik az IP-címből kideríthetőek lennének. Másrészt ahogy írtam, senki nem állította, hogy a Skype egy anonimizáló szolgáltatás, éppen ellenkezőleg: a szolgáltatás lényege, hogy az emberek megismerhessék egymást. Aki meg el akar bújni, az ezután is el tud majd.

Megkeresésünkre válaszolt, Keleti Arthur, az Informatikai Biztonság Napja (ITBN) főszervezője, illetve az Önkéntes Kibervédelmi Összefogás egyik alapítója is. Véleménye egybecseng a már idézettekkel:

Én ezt nem érzem óriási problémának, de kellemetlen, az biztos. Skype-témában szerintem a félrekonfigurálásból több baj lehet. Az valóban elég aggasztó, hogy nem lehet „elbújni", ugyanakkor a Skype-on külön ki kell kapcsold, hogy kijelezze, honnan vagy éppen bejelentkezve. Persze ma a VPN-ek es a proxyk korában az IP-cím nem mindig beszédes eléggé.

Arra a kérdésre, hogy jelenthet-e adatvédelmi problémát az IP-címek említett megismerhetősége, Keleti Arthur a következőket mondta:

Igen, ez lehet adatvédelmi probléma. Ugyanis azt kell megvizsgálni, hogy a Skype-ot miért használjuk. Elsődleges célunk a kommunikáció, és nem elhanyagolható szempont az esetleges anonimitás is, amely a VOIP-rendszerek sajátja. Persze hozzá kell tenni, hogy több VOIP-rendszer egyértelmű azonosítást vár, amikor például sms-üzenetet küld a felhasználó mobil eszközére, és így összerendeli a telefonszámot a felhasználóval.

Vagyis azt gondolom, hogy a hagyományos használattól nem várható el, hogy szuperbiztos anonimitási hálót vonjon a felhasználó köré, mivel nem ezzel az elsődleges céllal készült az alkalmazás. Ugyanakkor mint biztonsági szakértő természetesen nem örülök neki, ha egy alkalmazás többet árul el magáról, mint kellene. Az IP-cím sajnos lehet „beszédes”, például akkor, amikor nem szeretnénk felfedni, hogy melyik országból használjuk a szolgáltatást. Ugyanakkor a mai internetes viszonyok között teljesen életszerű, hogy az IP-címünk nem tükrözi pontosan a földrajzi elhelyezkedésünket, sőt gyakran a valódi IP-címünket is eltakarja valamilyen tűzfal- vagy proxy-techonológia.

Egy másik kellemetlen dolog lehet, ha az IP-cím alapján valamilyen célzott, rosszindulatú támadásnak tesszük ki magunkat. Ez azonban megtörténhet az internetre csatlakozásunk bármelyik pillanatában, tehát ELVILEG ez ellen már védve vannak a felhasználók.

A p2p-re vonatkozó kérdésre Keleti Arthur a következő választ adta:

A p2p (jelen esetben VOIP-szerű) technológiában az IP- címek közötti kommunikáció a legtöbb esetben kötelező mutatvány. Persze létezhetnek eltérő struktúrák is (pl. amikor elsősorban szerverek közvetítésére támaszkodik az adott megoldás), de előbb-utóbb IP-címekre kerül a sor a kommunikációban. Én nem vagyok meglepve, hogy ezek előkerülnek, de valóbban szerencsésebb lenne, ha az ilyen információk rejtve tudnának maradni az adott alkalmazásban. Tény, hogy az előzőekben már általam említett félrekonfigurálási problémák ÉS az IP-cím megismerése együtt már hozzásegíthet egy jól felkészült támadót, hogy célzott támadást hajtson végre valaki ellen. Ugyanakkor ennek az esélyét nem tartom különösen nagynak.

Írtunk Bencsáth Boldizsárnak, a BME-n működő, a Duqu vírust megtaláló CrySyS Lab munkatársának is, aki így látja a helyzetet:

Különösebben nem vagyunk benne mélyen a Skype bugyraiban. De egyrészt evidens, hogy a protokollt vélhetően nem az anonimitásra találták ki, és valahogy kommunikálni kell tudni a beszélgetések során, amihez IP-címek kellenek. Ez lehet persze egy-egy átjátszó címe is, de ha jól tudom létezik közvetlen kommunikáció is két fél között, ehhez pedig IP-cím kell.

Magyarán elég nagy az esély, hogy ilyen vagy olyan módon az IP-címek kideríthetőek.

A másik oldalról a Skype-hoz sosem állnék úgy hozzá, hogy az egy anonim, rejtjelezett telefonprogram. Ha pedig úgy állok hozzá, hogy ez egy nem anonim, nem rejtjelezett chat- és telefonprogram, akkor most egyáltalán nem lepődöm meg.

IP-címek lekérése 2.

Hasonló, ugyanakkor mégis nagyon különböző a másik ügy, ahol vélhetően egy valódi hibával, sebezhetőséggel állunk szemben.

A Pastebin oldalára április 26-án került ki egy leírás, amelynek segítségével bizonyosan kideríthető egy felhasználó IP-címe, és ehhez nem kell, hogy ismerős legyen. Erre a közlésre a Skype már hivatalosan is reagált, és szaklapoknak elküldött e-mailben kijelentették, hogy ez egy ismert, az összes p2p-hálózatban meglévő hiányosság, melyet a cég már vizsgál. Ezt a hibát Hunger részletesen elemezte az IT café számára:

A Pastebinen elérhető szkript igazából csak egy egyszerű Perl-kód, amelyik megnyitja a Skype debug naplófájlját, és kikeresi belőle az IP-címeket. A lényeg, hogy be lehet kapcsolni a Skype hibakereső üzemmódját (debug) egy registry-kulcs módosításával, és így részletes naplózást lehet csinálni a Skype működéséről, amelyben benne vannak a felvenni kívánt felhasználók IP címei is.

Ha a leírás igazat ír, akkor az egyik biztonsági hiba az, hogy nem kell felvenni az ismerősök közé az embereket ahhoz, hogy ki lehessen deríteni az IP-címüket (nem kell requestet küldeni nekik, hogy elfogadjanak ismerősnek), hanem elég a profiljukat (vcard) megnyitni, és már ekkor elérhetők ezek az információk.

A másik biztonsági hiba, hogy nem csak az internetes, publikus IP-címüket lehet lekérdezni, hanem a belső hálózati (LAN) privát IP-címüket is, amely további támadásokhoz nyújthat segítségét. Szóval gyakorlatilag két külön problémáról beszélhetünk.

A IP-címet eddig is kilehetett deríteni, ha kapcsolatban voltál az adott felhasználóval (lásd az előbbi nyilatkozatot – a szerk.). A biztonsági hiba ezek szerint az, hogy nem csak ekkor lehet kideríteni, hanem akkor is, hanem ő el se fogad ismerősnek (mi több, nem is látja, hogy valaki megnézi az IP-címét, hisz nem kell hozzá kontaktnak felvenni, elég csak a profilját megnyitni).

A két biztonsági problémát valószínűleg tudják majd orvosolni, a program vagy a protokoll működését módosítva (hogy ez mennyire okozhat kompatibilitási problémákat, az persze jó kérdés). A már felépült kapcsolatnál kinyerhető IP-cím védelmét viszont szerintem nem fogják megoldani, mert felesleges plusz peereken keresztül megjáratni a forgalmat, ha közvetlenül összekapcsolódhat a két beszélgetni kívánt kliens. Másrészről, ha már valaki felvett valakit ismerősnek, akkor valószínűleg megbízik benne annyira, hogy az IP-címét is kiadja a kommunikáció érdekében. Megoldani persze meg lehet ezt is (mindig legalább egy további peeren kell keresztülmennie a forgalomnak), de nem tudom, hogy fog-e ilyen irányba lépni a Microsoft.

Egyelőre úgy látom, hogy az egész Skype-ot is szép lassan megpróbálják majd átalakítani. Infrastrukturálisan már most megkezdték az újraszervezést. A supernode-okat beterelték a Microsoft hálózatába, nincsenek úgy elszórva, mint régebben. Ráadásul szerintem a Microsoft az egészet be fogja építeni az Office csomagjába, hisz a nagyvállalati Skype-megoldásnak már most más nevet adtak: Lync.

Hirdetés

Azóta történt

Előzmények