Майкл Гоф: Утверждается, что число пользователей сервиса в 2009 году превысило полмиллиарда, а в 2010-м компания выходит на новый рынок.

До недавних пор это решение IP-телефонии было популярным главным образом среди индивидуальных пользователей. Но в 2009 году Skype выпустила сервис Skype for SIP, который позволяет одноранговым клиентам IP-телефонии взаимодействовать с офисными IP-УАТС и предназначен для небольших организаций, стремящихся снизить расходы за счет IP-телефонии. Внутреннее бета-тестирование Skype for SIP (его также называют Skype for Business) было проведено в первой половине прошлого года, а общедоступная бета-версия появилась в конце 2009 года.

Как заметил Майкл Гоф, специалист по информационной безопасности, несмотря на то что многие крупные компании далеко не первый год используют IP-телефонию, системы такого рода, как правило, применяются в корпоративных средах иначе, чем Skype. Гоф, владелец сайта skypetips.com и автор Skype Me! From Single User to Small Enterprise and Beyond, ответил на вопросы корреспондента CSO Magazine.

- Интерес к Skype со стороны бизнес-пользователей возник с появлением Skype for SIP. Во многих ли компаниях он используется сейчас?

Преимущественно его по-прежнему используют индивидуальные пользователи, но многие предприятия малого и среднего бизнеса стремятся с помощью Skype уменьшить некоторые статьи расходов. Еще одна популярная сфера применения – это передача на аутсорсинг ряда функций, таких как служба поддержки, или взаимодействие с сотрудниками, работающими внештатно, и оказание им технической помощи в нерабочее время.

- Есть ли какие-то особенности, уникальные для Skype по сравнению с другими решениями IP-телефонии, в части обеспечения безопасности?

В любой организации, если вы собираетесь устанавливать то или иное программное обеспечение на компьютер конечного пользователя, вы должны брать управление на себя. Вы должны установить правила, которые определяют, что вы собираетесь делать или намерены позволить делать с помощью любой программы. Каждое предприятие сталкивается с задачей контроля распространения Skype в его ИТ-среде. Если вы системный администратор компании и намереваетесь установить эту программу, то надо иметь в виду, что в этом случае сотрудники получат возможность обмениваться SMS-сообщениями или вести разговоры, которые кодируются, а компания будет не в состоянии вести мониторинг таких коммуникаций. Это, безусловно, серьезная проблема.

Первое, что необходимо сделать ИТ-администратору, – выяснить, как он должен действовать. Например, нужно ли ему перехватывать трафик, связанный с мгновенными сообщениями. Предположим, что в компании есть сотрудники, торгующие акциями или чем-то подобным, тогда нельзя использовать решение для обмена мгновенными сообщениями (которое содержит Skype), поскольку такие коммуникации невозможно отследить. Между тем все такие контакты должны фиксироваться: все необходимо регистрировать и распечатывать.

- DDoS-атака возможна на различных уровнях системы IP-телефонии. Как можно с помощью Skype организовать что-то подобное атаке, направленной на отказ в обслуживании?

К счастью для большинства компаний, использующих Skype, они передают трафик через порт 80 или другие обычные для работы в Web порты. Но пользователи Skype могут во время своих сессий не только говорить, но и работать с видео и передавать мгновенные сообщения. Теоретически можно передать сообщение какой-либо системы мгновенных сообщений на клиент, пользователь может щелкнуть по этому сообщению и тем самым спровоцировать сбой на компьютере или инфицировать его. Но эта проблема существовала всегда. И возможно такое не только в Skype. Существует ли что-то в Интернете, связанное со Skype, на что можно организовать атаку и вызвать сбой на компьютере? Нет. В самом деле, вашему клиенту ничего не известно ни о какой инфраструктуре.

Что происходит, когда кто-то хочет кому-то позвонить? Вам нужно указать, кому вы звоните, щелкнуть на соответствующую запись, после чего вызов будет передан в инфраструктуру Skype, который отправляет пакеты соответствующему адресату. Составляющие Skype системы рассредоточены по всему миру, и нет никакого единой точки, куда может проникнуть хакер. Так что с этой точки зрения никакой серьезной опасности не существует.

- А что можно сказать по поводу подслушивания?

У Skype есть уникальная особенность, которой не обладают большинство систем IP-телефонии. Многие компании не шифруют трафик IP-телефонии, что открывает широкие возможности для злоупотреблений. Существует большой выбор инструментов, таких как Vomit и VOIP Pong, которые, например, позволяют записать незашифрованные голосовые пакеты и транслировать их. Вы просто записываете разговор, а потом можете его оттранслировать. Трафик Skype шифруется при передаче из точки A в точку B, и поэтому теоретически невозможно перехватить звонок Skype и расшифровать его.

Однако на каждом конечном узле хакер может проникнуть на машину и установить соответствующий инструментарий. Например, подобный решению, записывающему ваши действия, создавая видео, которое вы можете воспроизводить в Quicktime или в чем-то другом. Такого рода технология позволяет записать разговор по Skype, поскольку, как только трафик попал на ваш компьютер, в этой точке он декодируется, и любой установленный SIM или прослушивающее устройство может записать звонок. Но для этого требуется, чтобы хакер проник на локальную машину. С этой точки зрения риск довольно мал.

- Иногда IP-телефонию критикуют за то, что упрощается возможность использования схем фишинга, характерных для телефонных коммуникаций. Является ли это серьезной проблемой безопасности при использовании Skype?

Это может произойти с каждым, кто говорит по любому телефону. Здесь та же самая опасность. Если кто-то находит в реестре Skype какого-то пользователя или всех пользователей в определенном городе, то он может позвонить им на регистрационную запись Skype или на входящий или исходящий номер Skype. Такой номер вы получаете для звонков пользователям Skype, и он передается вашему компьютеру. Та же самая ситуация. Не могу сказать, что здесь риск выше или ниже.

- Можно ли каким-то образом с помощью Skype применять старый прием "подделки" телефонных номеров?

Skype for Business не имеет шлюзов SIP. Здесь запускается программное обеспечение Skype, которое передает звонки Skype и переводит их для SIP. Кражи средств с телефонных счетов происходили прежде и происходят до сих пор, но нужно проникнуть в существующую телефонную систему, чтобы использовать для этого Skype. Предположим, я зарегистрировался от вашего имени и могу воспользоваться вашим кредитом в Skype. Это становится возможным, если ваша регистрационная запись была взломана. Но я бы не сказал, что проблема кражи средств со счета столь уж актуальна для Skype.

Поделитесь материалом с коллегами и друзьями