|
אולי זה יעניין אותך...
משתמש בסקייפ ומרוצה מזה? תקרא ויעבור לך החשק
הרומן שלי עם תוכנות VoIP הוא בן יותר מעשור, עוד מימי הניסויים הראשונים של ווקלטק ז"ל. כיום אני משתמש בכמה תוכנות, בניהן: FWD, USB4Phone, מסנג'ר, ICQ, VoiceBuster וכמובן ב סקייפ (Skype). עוד כמה מאות אלפי ישראלים עושים כמוני ומשתמשים בסקייפ. בעולם יש היום לסקייפ לפחות 60 מיליון משתמשים קבועים. 197 מיליון איש הורידו את התוכנה מהאתר של סקייפ (שנקנתה, כידוע, על ידי eBay), נכון לנובמבר 2005. כל יום עוד 170 אלף איש מורידים את התוכנה הזו, רבים מהם מהמגזר העסקי. הכל היה נחמד, עד שהבחנתי בשבוע שעבר שיש לי תנועה שיוצאת מהמחשב בלי ששום יישום פועל. זה פגע בביצועי הגלישה ובמהירות המחשב בצורה משמעותית. אני רגיש לנקודה זו, במיוחד אחרי פרשת ה"סוס הטרויאני" עליה נכתב רבות, ואף ציינתי בזמנו שאין זה המקרה האחרון בתחום. יש לי כמה מערכות הגנה, לרבות מערכות חומרה (מבית Sofaware למי שמתעניין) וגם בתוכנות.
הדבר הראשון שעשיתי הוא לבצע סריקות בכמה כלי אנטי-וירוס ואנטי-ספאם - לא מצאתי כלום. הדבר השני שבדקתי הוא אילו פורטים פתוחים בשכבת ההגנה הראשונה, דהיינו ב-Firewall של חלונות XP. זה מופיע תחת "חומת אש > חריגים" באייקון של החיבור. היו שם לא מעט פורטים פתוחים, והתחלתי לבטל אותם אחד אחרי השני. אחרי שסגרתי את זה של סקייפ, נגמרה התנועה מהמחשב. השלב הבא היה קצר - לקבל חוות דעת מ קווין טולי, מנכ"ל Tolly Group, החברה המובילה בעולם לבדיקות ביצועים ברשתות תקשורת. הוא אמר בפשטות: סקייפ היא הילד הרע של השכונה. היא יצרה פרצה ענקית ברשתות של עסקים וחברות בכל העולם. ברגע שסקייפ נכנסה לאיזו רשת עסקית או פרטית, אפילו למחשב אחד, היא משתלטת על הרשת הזו מבלי להשאיר שום עקבות בולטים של פעולתה, ומנצלת את הרשת לצרכים העולמיים של סקייפ, אפילו שאין להם קשר בכלל לזה שהוריד אותה. אפילו כאשר המשתמש סוגר את יישום סקייפ שלו, היישום ממשיך לרוץ במחשב וברשת ללא הפרעה. סקייפ היא, לדעתו, סכנה לבריאות כל רשת, כי היא משתלטת בצורה חשאית ומנצלת את משאבי הרשת בצורה זללנית וללא כל מגבלות. היא כלל אינה מסתתרת בעניין הזה, והיא כותבת במפורש באתר שלה שהיא מייצרת "קהילה", וכל מי שמוריד את התוכנה משתתף בקהילה הזו. המשמעות האמיתית של הקהילה: כל חבר תורם את חלקו למערכת הניתוב, העיבוד, ההצפנה והקישור של כל משתמשי סקייפ בעולם. כל משתמש, בעת ההורדה, מסכים שהמחשב והרשת שלו ישמשו צומת תקשורת ברשת העולמית. אתה, הקורא המשתמש בסקייפ, בקלות יכול להיות צומת שמשרתת שיחת ועידה של 500 משתמשים ברחבי העולם, אם המחשב והחיבור שלך לאינטרנט מספיק חזקים.
סקייפ זו לא רק שיחה בין משתמשים. ניתן להעביר בסקייפ קבצים מצד לצד. זה נעשה בצורה מוגנת, מוצפנת ובלי לעבור שום מערכת סינון שיכולה לעצור את זה. המשמעות של זה לארגונים היא מאוד ברורה - איך מתגוננים מפני הסכנה הזו ומה יקרה לשוק התקשורת הישראלי בעקבות כך? על כך תוכלו לקרא במדור שיחת היום שמתפרסם הבוקר בגיליון זה.
שלא תגידו שלא ידעתם ולא הבנתם את משמעות הבעיה הזו עבורכם ועבור הרשת שלכם.
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.dailymaily.co.il/people/avi-weiss.gif]
תוכנה ידידותית או סוס טרויאני?
משתמש בסקייפ ומרוצה מזה? חלק ב'
אבי וייס ממליץ למשתמשים להתבסס רק על תוכנות VoIP שניתן לשלוט בהן ולבדוק אותן בכלים המקובלים, ורק כאלו שמערכות האבטחה הארגוניות מסוגלות לשלוט בהן
אבי וייס, מערכת DailyMaily, אנשים ומחשבים
בעקבות החשיפה ב-DailyMaily, שתוכנת ה-VoIP סקייפ מהווה סיכון לכל רשת עסקית (וגם פרטית), זכינו למספר רב של תגובות וגם שאלות רבות סביב הנושא. החשיפה שלנו כללה גם פרסום ראיון עם מי שנלחם בסקייפ במגזר הארגוני: מנכ"ל ורסו (Verso), ו"מבט על" על השפעת ה-VoIP על שוק התקשורת הישראלי, מפי מנכ"ל משרד התקשורת לשעבר שלמה וקס.
כמה הפתעות היו לי בהמשך לחשיפה הזו:
א. המוזכרים לא הגיבו בכלל להאשמות נגדם, למרות שעבר שבוע מזמן הפרסום. לא eBay, לא סקייפ, ולא בעלי המניות שלהם. חוץ מקבלת אישורים על הגעת המכתבים שלי ליעדם, פשוט כלום. התעלמות מוחלטת מהגילוי. כבר עם רכישת סקייפ על ידי eBay בספטמבר 2005, פקפקתי בחשיבות האירוע הזה מטעמים שונים, עוד טרם ידעתי אז על הבעיתיות של סקייפ לרשתות התקשורת ובמיוחד לעסקים.
ב. התברר לי שהעובדות המועלות בחשיפה ידועות זה מכבר בחוגים המקצועיים-אקדמיים, ומשום מה הם לא פורסמו ברבים עד היום. נערכו בדיקות מקיפות בכל קצוות העולם האקדמי, לפצח מה מסתתר מאחורי התשדורות והפעולה של סקייפ. כי מפתחי סקייפ אינם עובדים עם פרוטוקולים תקניים שניתן לסרוק אותם בכלים המקובלים בתעשיית התקשורת. הכל עובר תחת הצפנה חזקה מאוד. כך שהייתה בעיה לפענח מה קורה עם היישום הזה. מה גם שבתעבורה של סקייפ הוכנסו הגנות קוד מסוג של Anti Debuggers, כדי למנוע כל הבנה מה קורה בקוד המקור, גם למי שמפצח את ההצפנה. אבל, באוניברסיטאות לא מועטות, כמו: אוניברסיטת Bath הבריטית, האוניברסיטה הלאומית NTHU בטייוואן ועוד, פיצחו את תבנית ההתנהגות של סקייפ. ההתנהגות הזו כוללת: הפיכת המחשב שבו יש סקייפ, לצומת מקומית או אזורית או עולמית לניתוב, או הפיכת המחשב לשרת לניתוב תעבורה חוצה NAT (Network Address Translation), באמצעות מנגנונים הקרויים STUN ו-TURN, שלא כאן המקום להסביר אותם. מנגנונים אלו פשוט מאפשרים מעבר התעבורה של סקייפ דרך כל "חומת אש" וכל מנגנון הסתרת כתובות פנימיות ברשת בסגנון NAT. מעבר לכך, סקייפ שוברת כל מנגנון אבטחה מסוג AUP (Acceptable Use Policy) הקיים בארגונים, מאפשרת קבלת ספאם וכל חומר מזיק אחר בצורה חלקה דרך כל מנגנוני ההגנה, כי מנגנוני ההגנה של כל החברות לאבטחת מידע כיום, לא רואים ולא מנטרים מה עובר בסקייפ.
מענה לשאלות נפוצות שצצו לאחר הגילוי:
ניקולס זנטרום
האם סקייפ פוגעת בכל משתמש? התשובה: לא. המנגנון שלפיו בנויה סקייפ בודק כנראה בכל כניסה של המשתמש, האם החיבור שלו לאינטרנט מספיק חזק והמחשב שלו מספיק חזק כדי להפוך לצומת או לשרת עבור סקייפ בעולם. אם החיבור לא מתאים להיות לא צומת ולא שרת, הפגיעה העיקרית היא: המחשב נשלט למעשה מרחוק מצמתים עלומים וניתן להחדיר לתוכו או למשוך מתוכו כל דבר ללא כל בקרה. סקייפ מעדיפה בדרך כלל להשתמש במחשבים שיש להם מספר IP אמיתי ברשת האינטרנט והחיבור שלהם לאינטרנט קבוע, חזק ויציב.
האם תוכנות אחרות כמו מסנג'ר, ICQ, FWD, USB4Phone גם כן מסוכנות? התשובה: עד כמה שידוע לי, לא. יש לכך כמה סיבות, גם מבלי שבדקתי נושא זה לעומק:
1) מפתחי התוכנות הללו הן חברות ידועות עם כתובות ברורות ושרתים במדינות שיש בהן חוק ומנגנוני אכיפה לזכויות הפרט, והן גם די רגישות לקיום החוק ופרטיות הגולשים. זה בכלל לא דומה לסקייפ, הרשומה בלוקסמבורג ומפעילה שרתים במדינות שונות, שיד החוק הבינלאומי המקובל לא תשיג אותן. אפיזודה הקשורה לעניין הזה: הראיון עם ניקולס זנטרום, מייסד ומנכ"ל סקייפ שנערך ב-VON האחרון ופורסם על ידי ב-InformationWeek בגיליון 1177 מ-13/11/05, לא נעשה בשיחה פנים אל פנים איתו, אלא בווידיאו-קונפרנס ציבורי. זאת, משום שהלה לא מגיע לארה"ב מטעמים השמורים עימו (יש שמועות, שמקורם של חששות אלו כנראה בגלל הקאזה ומה שקרה סביבה).
2) התוכנות האחרות המוזכרות לעיל וגם נוספות, משתמשות בפרוטוקולים תקניים בעולם התקשורת, כך שניתן לנטר אותן, ולראות בקלות אם הן מפרות את התקן העולמי. סקייפ עובדת עם תקנים פרטיים שהיא פיתחה, המוסתרים היטב במעטפות הגנה והצפנה, כדי שלא יוכלו לראות ולנטר את ההתנהגות של הפרוטוקולים הללו.
3) סקייפ מצהירה בגלוי שהיא משרתת "קהילה" וכל משתמש מסכים להיות ב"קהילה" הזו. לעומת זאת, התוכנות האחרות מצהירות בפירוש שהן מגנות על פרטיות המשתמש, הרשת שלו והמחשב שלו. סביר להניח שהצהרות אלו נכונות, בגלל שעומדים מאחוריהם חברות ציבוריות אמריקאיות גדולות, כשידוע שבארה"ב יש רגישות ציבורית גדולה מאוד לנושאים כאלו.
לקח ברור ומרכזי למנהלי IT: להשתמש רק בתוכנות VoIP שניתן לשלוט בהן ולבדוק אותן בכלים המקובלים, ורק כאלו שמערכות האבטחה הארגוניות מסוגלות לשלוט בהן. מה שמהווה "חור שחור" למערכות המחשבים והרשתות, כמו סקייפ, צריך להיות זהיר כלפיו, ולבחון את הסיכונים שנוצרים, עם מומחי אבטחה המתמחים בכך.
נערך לאחרונה ע"י yochyb1 בתאריך 03-12-2005 בשעה 22:17.
סיבה: עיצוב
|
ראשי
צ'אט
03-12-2005, 09:12
מצב כלאיים
