március 22, 2007

Sg.hu, Skype - és a félretájékoztatás

Valamiért mindig felbosszant, ha könnyen kivédhető hülyeséget olvasok olyan orgánumokban, amit egyébként szeretek és/vagy általában hitelesnek tartok. Talán, mert hiszek a betűkben, és szeretném azt gondolni, hogy amit írástudók elémtárnak, az igaz, vagy legalábbis közelít az igazsághoz.
Nyilván komolyan megválogatom, hogy kinek és mit higgyek el, éppen ezért háborít fel, amikor a rendszeresen olvasott hírforrásaim cikkeiben, tudósításaiban penetráns állatságra bukkanok.
Az SG.hu - Informatika és Tudomány portált évek óta olvasgatom - a szórakoztató ismeretterjesztésnek és a többnyire hiteles tájékoztatásnak kellemes mixét nyújtja, egy olyan a területen, amely a mindennapi életem része. Nyilván nem érthetek mindenhez, ezért az esetek döntő többségében egyszerűen elhiszem, amit írnak, anélkül, hogy komolyabban utána járnék a kérdésnek (persze, ha valóban fontos számomra, akkor jön a kutatás), és gondolom, ez így is van rendjén. Feltételezem: közreműködőik, újságíróik elvégzik a dolgukat, és nem tájékoztatnak félre.
Az információ robbanás korában (ez amúgy egyik vesszőparipám), amikor elképesztő mennyiségű - épp ezért szinte ellenőrizhetetlen tömegű - hír zúdul a nyakunkba, kifejezett kihívássá válik, hogy mely forrásokat tekintsük hitelesnek. Úgy képzelem, már nincs messze az idő, amikor a hírek/információk valódiságát ezzel foglalkozó cégek fogják kereskedelmi alapon hitelesíteni, hogy az információ fogyasztó eldönthesse - hihet-e vagy ajánlott az óvatosság. Az ezzel kapcsolatos teóriám azonban hosszú, talán egy másik alkalommal megírom.
De lássuk a postomat kiváltó okot. Ma olvasom at SG.hu vezércikkét Webkettes felvilágosítás III.: Csevegünk-csetelünk címen. Nem mond különösebb újdonságokat, de az ebédidőmbe éppen belefér. Egyszercsak a következő bekezdésem akad meg a szemem:

A sokat utazóknak, a külföldre szakadt hazánkfiainak mindenképp egy értékes lehetőség, főleg, hogy a konkurens szolgáltatásokhoz képes sokkal jobb minőséget produkál már alacsonyabb sávszélességű elérésekkel is. A tavalyi évben már több kézikészülék jelent meg, ami WiFi kapcsolaton keresztül akár normál akár Skype telefonként is képes működni. A hype ez esetben is sokat segített a terjedésben, bár számos klón is felkapaszkodott a Skype szekerére, mint a VoIP Buster és társai. Ez a rendszer igazából nem vetélytársa az eddig felsorolt szolháltatásoknak, sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

A Skyperól szóló rész zárómondata, ami kiverte a biztosítékot, annak is a második fele:

sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

Na kérem: a Skype egyike a legbiztonságosabb internetes kommunikációs megoldásoknak.Kicsiségbe kötök bele, tudom, hiszen a cikk nem az üzenetküldők biztonságáról értekezik, hanem úgy általában a szolgáltatásokról. Csakhogy éppen ebben rejlik az ilyen félretájékoztatás/hozzánemértés veszélye: egy ilyen odalökött félmondat képes megragadni a laikusban, aztán idők múltán, amikor a téma valahogy előkerül, már mondja is: ja, az nem biztonságos, azt olvastam.
A dolog elvi alapvetésével van gondom: hány és hány olyan egy bekezdésben odalökött információt nyeltem le vajon eddig én is, ami hasonló nemtörődöm dilettantizmusból, a fizetett karakterek növelése okán született?

Mindenenesetre vicces végigkövetni az "szakújságíró" gondolatmenetét: a Skype ugye azért számított forradalmi újdonságnak, mert nem közvetlen kliens-szerver-kliens kapcsolatban valósítja meg a kommunikációt, hanem a peer-to-peer technológiát használja: az adatcsomagokat a rendszerben részt vevő számítógépek összeségén (illetve nyilván nem minden, csak megfelelő közelségű és számú klienst igénybe véve) keresztül továbbítja a fogadó félnek. Ergo - a cikk szerzője szerint - miután olyan sok kézen/gépen keresztül megy a kommunikációs folyam, nyilván: sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

Nevezhetnénk józan paraszti ész diktálta ítéletnek, persze ostoba baromság, ha jobban belegondoluk. Simán belátható minden előképzettség nélkül is, hogy a szétdarabolt adatfolyam, ahol a darabok külöböző csomópontokon részenként kerülnek továbbításra csak nehezítik a lehallgatást. Mellesleg, ha már itt tartunk, a lehallgatás amúgy is a fogadó vagy küldő fél alhálózatán valósulhatna meg, ott, ahol az adatolyam egyesül. Ettől azonban olyan hatékonyan óvja meg a Skype beépített titkosítása (a Skype military strenght - bármit jelentsen is ez - szintű végponttól végpontig terjedő 256 bites AES titkosítást alkalmaz), hogy ez két éve valódi vihart kavart, amikor az FBI komoly tényezőként emelte ki, hogy az internetes telefónia, különösen a Skype terjedése veszélyt jelent, mert nem tudják lehallgatni. Alaphelyzetben, megfelelő ISP (internet szolgálató) közreműködéssel, annyi követhető nyomon, hogy ki-kivel beszél, a beszélgetés tartalma az alkalmazott kriptográfiai megoldásoknak köszönhetően nem fejthető vissza. Az FBI számára problémát az okozza, hogy megfelelő anonimitást kínáló proxy szervereket használva, még a kommunikációs partnerek identitása is elrejthető.
A legviccesebb az egészben, hogy a tisztelt cikkíró nemcsak nem ért a dolgohoz, de arra sem vette a fáradtságot, hogy az interneten, vagy legalább a saját anyaorgánumánál utána járjon a kérdésnek, hiszen 2006 januárjában éppen az SG.hu közölt egy hírt, amelyben a Skype biztonságáról és a már említett FBI problémáról számolnak be.

Nem mellesleg, a Skype biztonságtechnikai auditját, a szakma egyik nagy öregje, Tom Berson (Anagram Laboratories) végezte, ha valakit érdekelne, az eredményt letöltheti innen.

Ui.: a post szerzője paranoid, hálózati biztonságtechnikával foglalkozó szakember - ha ez a fentiekből nem derült volna ki.

17 megjegyzés:

  1. "Na kérem: a Skype egyike a legbiztonságosabb internetes kommunikációs megoldásoknak."

    Ő is leírt marhaságot, meg te is.

    Lássuk újra az idézet rész: "sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott."

    A biztonság teljes hiánya valóban nem igaz a titkosított p2p miatt, ugyanakkor amiben igaza van, hogy üzleti környezetben ellenjavasolt a használata (több cégnél tiltják is). Itt kiemelném az "üzleti"-t. Ennek oka pontosan a nem nyilvános p2p működése, ha a dolgozók feltelepítik a számítógépükre akkor a helyi rendszergazdának nincs lehetősége a működésének kontrollálására (pl. ne lehessen file-t küldeni benne), ellenőrzésére úgy mint mondjuk a nyílt szabvány SIP protokoll esetében. Ezt részben a Skype is felismerte, ha jól rémlik 1-2 hónapja sajtózta, hogy összeállt egy komolyabb biztonsági céggel, hogy fejlődjön ezen a téren.

    E mellett a Skype-ban több komoly hiba és adatbiztonsági aggály is van (pl. dual login, jelszóváltási megoldás, stb.) ami már jó ideje ismertek, mégsem javították őket még mindig.

    Mindezekről sok anyagot lehet találni angol nyelven ha valaki (pl. egy "paranoid, hálózati biztonságtechnikával foglalkozó szakember ") jobban el akar benne mélyedni.

    + "Ergo - a cikk szerzője szerint - miután olyan sok kézen/gépen keresztül megy a kommunikációs folyam, nyilván: sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott. Nevezhetnénk józan paraszti ész diktálta ítéletnek, persze ostoba baromság, ha jobban belegondoluk. "

    Ezt a gondolatmenetet nem írta a cikk irója, te adtad a szájába...

    (Biztonságos VoIP kapcsán érdekes még a PGP-s Zimmerman Zfone projektje. (http://zfoneproject.com/))

    VálaszTörlés
  2. Köszi, épp ezt akartam mondani :) és épp Zimmermann bátyánkkal készített interjúm jutott eszembe.

    http://www.sg.hu/cikkek/42564/phil_zimmermann_a_maffia_is_pgp_titkositast_hasznal

    Anyway lehet, hogy a kulcs nagyon erős, viszont a Skype fejlesztők kezében van. A minap épp az indexes kollegák írták, hogy az 123456 és a 46HDfX+5lkhFd szerű jelszavak közt semmi különbség nincs, ha kiderül.

    A paranoiát is köszönöm, mert azért vannak a kommentek, hogy ha hozzá tudsz tenni valami konstruktívat, akkor tedd meg :) Lévén én nem vagyok biztonságtechnikai szakértő :) Hozott anyagból tudok dolgozni.

    VálaszTörlés
  3. Hat ez meg mindig nem az America's Cup!?

    VálaszTörlés
  4. Ooo, megvetted a magyarok.co.nz-t?

    VálaszTörlés
  5. szerintem meg félreértetted a cikk írót, a voipra meg a konkurenciára irta hogy ellenjavallot...

    VálaszTörlés
  6. Egyébként meg paranoiások vagytok mind :P
    Én spec leszarom magasan hogy emnnyire biztonságos...

    VálaszTörlés
  7. Spec a skype valóban aggályos bizonyos okok miatt, és egyes etalonnak tekintendő info. vállalatoknál nem is nézik jó szemmel. De ettől még átlagember használhatja békével, a terroristák meg nem ezen szervezkednek, kivéve, ha mégis.

    A csomagkapcsolt és a vonalkapcsolt hálózatok között meg nem a lehallgatási biztonság volt a főkérdés, de mégis feltalálták a VPN-t.

    Ameróka kupa ügyben meg lehet tréningezni:
    http://www.virtualskipper-game.com/en/

    VálaszTörlés
  8. Sőt, lehet nézni:
    http://www.americascupanywhere.com/en/index.html

    VálaszTörlés
  9. A cikk elég zöldség, de a skype akkor is para vállalati környezetben, ha nincs jó csomagszűrőd valahol a vonalon. Nem a dumát hallgatják le, hanem a filecsere teljesen ellenőrizetlen a skypeon belül, csak a csomagokat lehet analizálni, ami meg titkosított, szóval gecka nagy lukat üt a biztonságosnak képzelt vállalati it policyn. Mi is most ruházunk be egy igen költséges rendszerre, amivel végre tudjuk ellenőrizni ezt a forgalmat is, mert sajnos kell a skype a kliensekkel történő kapcsolattartáshoz.

    VálaszTörlés
  10. Először is: szeretnék elnézést kérni a cikk szerzőjétől, emberi mivoltában megbántani nem volt szándékom. Újságírói tevékenysége - legalábbis erre a cikkre vonatkoztatva - kapcsán a kritikáimat továbbra is fenntartom.

    Lássuk miről is van szó. Kobaljov ezt írja:
    Ezt a gondolatmenetet nem írta a cikk irója, te adtad a szájába...

    Nem. Nem én adtam a szájába. A Skype-ról szóló első bekezdésben ez található:

    Központi szerver nincs, hanem úgynevezett supernode-ok koordinálják az adatok útját a milliónyi felhasználó között, ami egy nagyon jól optimalizált használatot eredményez: nem szakadozik, nem akadozik, viszont sosem tudhatjuk, hogy kiken keresztül jut el az adat partnerünkhöz. Nyilván nem is a biztonság, hanem a kényelem a legfontosabb a Skype felhasználóknak, akik így jó minőségben tudnak csevegni távoli szeretteikkel.

    Ez nem igaz. Lásd a postot, vagy a biztonságtechnikai auditot.
    Kobaljov, sőt Totasz is védelmébe veszi, hogy az üzleti felhasználásról van szó.
    Ebben sem tudok egyetérteni velük. Egyfelől a cikk a többi felsorolt üzenetküldő megoldáshoz képest nem javasolja az üzleti felhasználást, és jelenti ki, hogy a Skype megoldása nem megfelelő, hiszen:

    Ez a rendszer igazából nem vetélytársa az eddig felsorolt szolgáltatásoknak, sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

    Két megközelítésben sem tudom elfogadni a mondatot.
    Egyrészt, nem látom, miért lenne a fentebb felsorolt (ICQ, MSN, GTalk/GChat) programoknál kevésbbé biztonságosabb? A dual login problémát ismerem (bosszantó valóban, de pl. a Gtalkban is megtalálható), azt pedig igazán kifejthetné nekem valaki, hogy a jelszópótlás metódusával mi a baj. Emlékeim szerint e-mailben elküldi a jelszót a regisztráláskor megadott címre.
    Szóval az összehasonlítás a többi versenyzővel szemben nem állja meg a helyét - nem mondhatjuk, hogy ICQ vagy a Gtalk biztonságos, velük szemben a Skype meg nem, ezért nem is lehet versenytársuk. Ez egyszerűen nem igaz.

    Másfelől az üzleti felhasználás, mint általánosságban ellenjavalt kitételt sem tudom elfogadni. Ha azt mondjátok, hogy nagyvállalati felhasználása, vagy a nagyvállalati security policies-k gyakran nem engedélyezik, azt el tudom fogadni, ez nyilván tény. Más kérdés, mennyire értek vele egyet, vagy sem. Ugyanakkor hadd hívjam fel a figyelmet, hogy sok nagyvállalat nemcsak a Skype-ot, de más üzenetküldő rendszert sem engedélyez.
    Ráadásul az üzleti felhasználás és a nagyvállalati felhasználás még véletlenül sem ugyanaz. A világnak azon a felén, ahol én élek és dolgozok, meglehetősen nagyszámú kis- és középvállalat használja a Skypet-ot, többek között, mint costeffective ügyfélszolgálati megoldást.
    Ezért sem tudom elfogadni az üzleti felhasználás erősen ellenjavalt kitételt.

    Daniel: egyszer megpróbáltam hozzászólni egy cikkhez az SG.hu-n, regisztrációt követelt (ami rendben), aztán nem engedett hozzászólni, mondván várjak egy kicsit (ami nincs rendben). Meglehetősen arrogáns módon kezelem az ilyen user-experiencet, egyszerűen nem használom (és ez megint nincs rendben, de nem tudok a bőrömből kibújni). A Zimmermanos cikket olvastam, de nem értem hogy kapcsolódik ide. Az indexes cikket sem értem hogy kapcsolódik ide (tegyük hozzá, hogy az index.hu tech rovatáról is megvan a véleményem, és szeretném, ha az SG.hu sosem jutna odáig).
    Zimmerman is csak azt hangsúlyozza, hogy a VOIP-ot titkosítani kell (mellesleg a Skype nem klasszikus VOIP megoldás, ha protokol szinten nézzük), a Skype ezt megteszi, méghozzá elég hatékonyan. Nem lehetetlen, hogy Zimmerman pgp alapú titkosítása jobb lesz annál, amit a Skype használ, de ez lényegtelen is: egyelőre a 256 bites Rijndael is megteszi. Nem véletlen az FBI hiszti.

    Totasz: nagyvállalati közegben, a nem kellően ellenőrizhető információáramlás tekintetében valóban aggályos lehet. De semmiképpen sem aggályosabb, mint a többi felsorolt kliens, és cseppet sem azért, amit a cikk írt. Ha terrorista lennék, biztosan csak Skype-on kommunikálnék, persze linuxos klienssel, az anonymizer.com segítségével.
    Mellesleg, ha csak a régebbi Sg.hu-s cikket nézem, akkor a Kürt Rt. (információbiztonság-technikai piacon azért meghatározó, nem?) és az Autóker Holding Rt. is használja.

    Hobe: már tavaly megvettem, voltak terveim vele, de azóta vagy időm nem volt, vagy lusta voltam. Viszont szívesen hostolok rajta bármit, ha van ötleted.

    America Cup - jóvan, jóvan... A hétvégén befejezem már. Bár lassan annyi infót összegyűjtöttetek, hogy megírhatnátok ti is :)

    VálaszTörlés
  11. Szamo: teljesen egyetértek.
    De a postom nem a Skype biztonságtechnikai problémáiról akart elsősorban szólni, hanem arról, hogy miért írnak valótlanságot, hülyeséget újságírók.
    Amúgy valóban meg lehet valósítani, a filecsere kifilterezését, de ez már messzire menne. (Csak nem bírom ki: OSI Layer 7-en kell deep-packet filteringet csinálni, nem tudom, nálatok ki volt a megoldást szállító, de felénk pár tízezer dolláért már kapható megfelelő, BSD alapú firewall.)

    VálaszTörlés
  12. Natasa!!

    Melyik is az OSI modell hetedik rétege?
    Ott csinálni a csomagszűrést?

    Furán hangzik...
    (bár, mint tudjuk, sokan beleszarnak az OSI modellbe)

    Skype témában meg mintha valamelyest keveredne az üzlei célú felhasználás (ügyfélszolgálat nyújtása skype-al), illetve az a setup, hogy beengeded-e a saját belső, üzleti adatokkal terhelt hálódra a skype-ot. Merugye nemmindegy, tecccikééééééteni...

    Az újságok meg sok baromságot írnak

    A tech securityit meg halálba erőltetik, miközben Marika jelszava ott lóg a monitorra függesztve, és fél óra udvarlás után még azt elmeséli, hogy a főnök úr milyen gumit használ.
    Úgyhogy skypoljon mindenki, akinek jólesik, és nem rúgja érte seggbe a sec.officier.
    :-D

    VálaszTörlés
  13. Az OSI hetedik layere az Application Layer, a TCP/IP modelben a 4-5 layernél található.
    Általában nem szeretnek itt csomagot szűrni - rohadt egy dolog valóban. Ha meg a Cisco három layerű modelljére gondolok, méginkább érthető.
    Viszont kellő tököléssel a 7. layeren tudsz a legpontosabban differenciálni, ez teszi lehetővé, hogy a Skype kódolt csomagjai között különbséget tegyél.
    Ez most nagyon vázlatos magyarázat, de, ha érdekel, kifejtem bővebben is.

    VálaszTörlés
  14. Úgyhogy skypoljon mindenki, akinek jólesik, és nem rúgja érte seggbe a sec.officier. Engem ezert seggberugtak, aztan ket honap mulva a nagyvallalat megengedte, hogy a hasznaljuk :-)

    VálaszTörlés
  15. Csanád, pesten is ennyiért kapható a layer7 filteres megoldás:-) de a pénzügyi vezetőnk pontosan tudja mire ad pénzt, s ez a cégünk méretéhez képest jelentős összeg. Összehasonlításul pl. 12e USDből vettem 8 terabájtos archíválószervert, így ennyiért kiverekedni egy pici dobozt csak szűrőnek szép munka.

    VálaszTörlés
  16. jan_osnak van igaza.

    A cikk írója a Skype konkurenseire gondolt a szöveg alalpján:

    "számos klón is felkapaszkodott a Skype szekerére, mint a VoIP Buster és társai. Ez a rendszer igazából nem vetélytársa az eddig felsorolt szolháltatásoknak, sőt a biztonság és a "privacy" teljes hiánya miatt üzleti felhasználása erősen ellenjavallott."

    Szerintem egyértelmű.

    VálaszTörlés
  17. Hi! Its lil bit of difficult to read this forum due to the language but its alright nice post keep it up cont......Thanks for the innovative one.

    VálaszTörlés

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.