5/8 INSTANT MESSAGING A JEHO BEZPEČNOST V PODNIKOVÝCH SÍTÍCH

Transkript

1 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 1, str. 1 5/8 INSTANT MESSAGING A JEHO BEZPEČNOST V PODNIKOVÝCH SÍTÍCH 5/8.1 ÚVOD DO PROBLEMATIKY IM Instant messaging (dále jen IM) poskytuje komunikaci uživatelů v reálném čase a umožňuje jednoduchou spolupráci - podobně jako je to u ové komunikace. Na rozdíl od ové komunikace však poskytuje uživatelům informaci o dostupnosti druhé strany. Většina IM systémů dovoluje uživatelům nastavit status jejich dostupnosti (dostupný, vzdálen, zaneprázdněn, nerušit atd.). Z tohoto důvodu považují mnozí uživatele IM tuto komunikaci za méně rušivou v porovnaní s běžnou komunikací přes telefon. IM umožňuje okamžitou komunikaci mezi množstvím uživatelů součastně, tedy rychlé a efektivní přenášení informací. V mnoha případech IM umožňuje uživatelům doplňkovou funkcionalitu, která poskytuje možnost vidět druhou stranu přes webové kamery anebo s ní mluvit bez poplatku za telefon přes internet. Některé IM systémy umožňují posílaní zpráv i uživatelům, kteří nejsou aktuálně přihlášeni do sítě (offline Hlavní důvody používání Doplňková funkcionalita IM

2 část 5, díl 8, kap. 1, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Historie messages), a odstraňují tím tak většinu rozdílů mezi IM a běžnou ovou komunikací. Offline lze používat často i pro hlasové zprávy, čímž je pokryta funkce hlasové schránky atd. Lze také ukládat písemnou IM konverzaci pro její další použití. IM zprávy jsou typicky zaznamenávány do tzv. lokální historie zpráv, což odstraňuje zásadní rozdíl mezi tzv. trvalým typem komunikace, jakou je elektronická pošta. IM tak usnadňuje výměnu informací, jako jsou URL odkazy nebo části dokumentů, které mohou být jen těžkopádně předávány přes telefon. Instant messaging ve skutečnosti časově předchází vznik internetu. Poprvé se objevil na více uživatelských systémech CTTS a Multics v polovině 60. let. Byl zde používán jako notifikační systém pro služby, jako jsou tisky, ale rychle se ujal i pro komunikaci dalších uživatelů přihlášených do systému. Moderní a rozšířené grafické IM systémy, resp. klienti, jak je známe dnes, se začaly rozšiřovat v polovině 90. let s příchodem ICQ (1996) a vzápětí AOL Instant Messenger (1997). AOL později koupil společnost Mirabilis - objevitele ICQ. Mezitím ostatní společnosti začaly vývoj svých vlastních IM systémů (MSN, Exite a Yahoo), každý s jejich vlastním proprietálním protokolem a klientem. Uživatelé tedy museli používat vícero klientů současně, jestliže chtěli komunikovat v rámci těchto sítí. V roce 2000 vychází první open source aplikace a open standard protokol nazvaný Jabber. Jabber server může fungovat jako brána pro ostatní IM protokoly, čímž se rapidně snížila potřeba používat vícero klientů současně. Moderní víceprotokoloví IM klienti, jako jsou Pidgin, Trillian, Audium a Miranda, umožňují připo-

3 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 1, str. 3 jení prakticky kterékoliv IM sítě přímo, bez potřeby speciální brány. V součastné době začaly mnohé IM systémy rozšiřovat své služby o video konference, přenos hlasu po IP síti (VoIP) nebo webové konferenční služby integrující video konferenci a IM. Některé nové IM společnosti začaly poskytovat i další rozšiřující možnosti, jako je sdílení pracovní plochy, IP rádio a IPTV, hlasový nebo video vzkaz. IM systémy jsou zpravidla sítě typu peer-to-peer doplněné o centrální bod, který zajišťuje autentizaci uživatelů, a o seznam peer-ů. Tento seznam může být uložený také centrálně nebo může být rozdělený mezi více uzlů či peer-ů. Některé systémy využívají další servery. Směrem k uživatelům komunikují IM systémy pomocí klientských programů, mezi klientskými programy probíhá komunikace pomocí definovaných protokolů. Klientské programy jsou řešeny zpravidla proprietálně, v některých případech existují jejich klony vzniklé na základě reverzního inženýrství používaných protokolů. 1 V minulosti proběhlo několik pokusů o vytvoření sjednoceného standardního protokolu pro Instant Messaging: IETF SIP (Session Initiation Protocol) a SIMPLE (SIP for Instant Messaging and Presence Leveraging Extensions), APEX (Application Exchange), Prim (Presence and Instant Messaging Protocol), otevřený XML standart XMMP (Extensible Messaging and Presence Protocol), více známy jako Jabber a OMA (Open Mobile Alliance) IMPS (Instant Messaging and Presence Service), vytvořené speciálně pro mobilní zařízení. Architektura systémů IM Interoperabilita mezi protokoly 1 Např. ICQ.

4 část 5, díl 8, kap. 1, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Enterprise Instant Messaging Většina pokusů o vytvoření sjednoceného standardního protokolu pro hlavní IM poskytovatele (AOL, Yahoo a Microsoft) byla přerušena a každý pak pokračoval v používaní svého vlastního protokolu. Jakkoliv byly další diskuse na IETF pozastaveny, Reuters a David Gurle (Microsoft) informovali odbornou veřejnost o podepsané první smlouvě o poskytování komunikace vnitřních služeb v roce Tato historicky první dohoda umožnila uživatelům AIM, ICQ a MSN Messenger za poplatek komunikovat s Reuters IM systémem a obráceně. Následně vznikla dohoda mezi sítěmi Microsoft, Yahoo, AOL a na trh přišel Microsoft Live Communication Server 2005, který uživatelům umožňuje komunikovat také s veřejnými IM uživateli. 2 Od této doby je možná vzájemná konektivita nejvíce používaných IM protokolů na trhu. V souvislosti s nárůstem poptávky komerčního využití IM a potřebou zaručit bezpečnost a soulad s externími požadavky vznikl nový typ IM nazvaný Enterprise Instant Messaging (EIM). EIM lze datovat do roku 1998, kdy Lotus Software vydal IBM Lotus Sametime. Microsoft tento model následoval s Microsoft Exchange Instant Messaging, později vytvořením nové platformy nazvané Microsoft Office Live Communication Server a vydáním Office Communications Server Obě společnosti představily federaci mezi jejich interními EIM systémy a jejich kontakty na AOL, MSN a Yahoo. Aktuálně jsou hlavními EIM platformami IBM Lotus Sametime, Microsoft Office Communications Server ajako open source zástupce Jabber XCP. 3 Dále exi- 2 Veřejný je definován jako mimo enterprise systém. 3

5 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 1, str. 5 stují průmyslově zaměřené EIM platformy, jako jsou IMtrader od Pivot Incorporated, Reuters Messaging a Bloomberg Messaging (rozšíření IM pro finanční služby).

6 část 5, díl 8, kap. 1, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ

7 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 1 5/8.2 BEZPEČNOSTNÍ RIZIKA IM Instant Messaging pokračuje v trendu nejrychleji se rozvíjejícího komunikačního prostředku s přibližně 390 miliony zákazníků a enterprise IM uživatelů koncem roku Globální služby jako jsou AOL IM, MSN Messenger a Yahoo Messenger reportují každý přes 1 bilion zpráv poslaných za den. Očekává se, že IM síťový provoz předběhne i ovou komunikaci. Jako jedna z nejúspěšnějších a nejrozšířenějších aplikací na internetu se IM stává cílem a prostředkem pro propagaci nových IM virů, červů, SPIMů (SPAM pro IM), malware a phishing útoků. Přes své vysoké rozšíření zůstává IM prakticky nechráněn a nemonitorován. To vystavuje enterprise prostředí mnoha útokům a pokusům o zneužití. Narůstající trend těchto útoků v průběhu posledních tří let zvýšil potřebu ochrany pro 4 Symantec white paper - enterprise security 2006.

8 část 5, díl 8, kap. 2, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Obecná rizika IM a peer to peer aplikace. Organizace všech typů by se měly chránit před riziky plynoucími z používání neřízeného IM jejich zaměstnanci. Použití IM, stejně jako jiné IT služby, přináší kromě užitku a dále uvedených specifických rizik běžná rizika, která musí být pokryta. Zejména když se jedná o službu provozovanou v enterprise IT prostředí. Dále je uveden základní výčet obvyklých bezpečnostních požadavků, jejichž nedodržení by mohlo představovat bezpečnostní riziko: zajištění důvěrnosti dat - veškerá klíčová komunikace musí být šifrována, počínaje vlastním přihlašováním a konče přenosem hlasu nebo dat, aby bylo zabráněno možnému odposlechu (sniffing), zajištění integrity dat - přenášená data musí být odolná vůči neautorizovaným změnám (tampering), aby se uživatel mohl spolehnout na obsah zprávy (dat), zajištění dostupnosti služby - pakliže se jedná o službu podporující business požadavky, měla by být zajištěna její dostatečná dostupnost pro autorizované uživatele, řízení přístupu - měl by existovat přehled uživatelů používajících tuto službu, řízení služby - mělo by být možné řídit konfiguraci /nastavení na straně serveru i klienta, aby si klient svévolně nemohl některé nastavení změnit (např. požadavky na logování), kontrola obsahu - především z důvodu snížení hrozby úniku citlivých informací by měla být na tuto službu vztažena podobná pravidla jako např. na , popření akce v případě nedostatečného logování - veškeré akce - chat, přenos souborů i navázaná hlasová komunikace, musí být logovány, aby byla zpětně dohledatelná činnost jednotlivých uživatelů;

9 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 3 logy musí být chráněny před svým smazáním nebo modifikací, podvržení identity (spoofing) - zadávání uživatelských účtů, jak interních, tak externích, by mělo být řízeno; měly by být rozlišovány účty interních uživatelů od externích; komunikace od neznámých uživatelů by neměla být přijata, zvýšení oprávnění - (elevation of priviledge) - měly by být používány poslední dostupné verze klientských i serverových částí řešení, které obsahují opravy všech známých bezpečnostních chyb; v případě přetrvávání neopravené chyby by měla být přijata dočasná řešení (workaround), soulad s bezpečnostní politikou a legislativní požadavky. Jakkoli IM přináší množství výhod, přináší také specifická rizika. Za nejvážnější lze považovat zejména tyto: prostředek pro šíření spyware, virů, trojských koní, a jiného škodlivého kódu, únik intelektuálního vlastnictví díky nedostatečným kontrolám, SPIM (SPAM v IM). Útočníci používají sítě IM na doručení zlomyslného kódu prakticky od jeho vzniku až do současnosti. Jedná se buď o plošné útoky, kde je cílem nakazit co nejvíce možných obětí, poslední dobou však narůstají individuální útoky, které mají za cílí penetraci konkrétního uživatele, organizace nebo společnosti. Útokům nahrává i boj jednotlivých výrobců IM o přetažení co nejvíce zákazníků tím, že jim nabídnou více funkcí při co nejnižších nárocích na ovládání. To vede k tvorbě IM systémů provázaných s hostitelským systémem, které se snaží pracovat za uživatele, což je ideální cíl pro různé útoky. Specifická rizika IM

10 část 5, díl 8, kap. 2, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Metody pro doručování škodlivého kódu SANS TOP 20 bezpečnostních rizik 2007 Metody pro doručení zlomyslného kódu jsou podobné jako u jiných komunikačních kanálů. Buď se jedná o doručení virů nebo jiného škodlivého kódu pomocí infikovaného souboru, nebo je použito technik sociálního inženýrství, kde pomocí vhodně zvoleného textu a URL odkazu útočníci navádějí uživatele ke spuštění škodlivého kódu přímo z web serveru. Škodlivý kód se pak propaguje přes uživatelův seznam kontaktů. Efektivitu útoku zvyšuje fakt, že každá osoba v kontaktech obdrží URL od důvěrného zdroje. Výsledek nakažení se pohybuje od obtěžování až po kriminalitu, tedy např. instalace nevyžádaných reklam, instalace key loger, získání uložených hesel, instalace klasického rootkitu, využití počítače jako proxy, součást botnetu a mnoho dalších. Samozřejmě platí, že se sofistikovanost útoků neustále zvyšuje. Vedle nebezpečí nakažení škodlivým kódem přináší používání IM v zaměstnání také rizika neshody právních a státních regulací pro používaní elektronické komunikace v komerční sféře. Jedná se zejména o různá právních a regulační nařízení v souvislosti s elektronickou komunikací a uchovávaním záznamů. V následujících kapitolách jsou zmíněny výňatky ze studií, pocházejících z předních světových zdrojů, jak nezávislých, tak komerčních, zabývajících se analýzou informační bezpečnosti. SANS (SysAdmin, Audit, Network, Security) - SANS institut patří k nejznámějším a nejdůvěryhodnějším zdrojům v oblasti informační bezpečnosti od roku Vyvíjí, udržuje a veřejně zpřístupňuje mnoho bezpečnostních studií. Jednou z nejvíce sledovaných a pravidelných studií je SANS TOP 20 Internet Security Risks za každý rok. Za rok

11 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str byla identifikována dvě nová velmi vážná rizika - snadno oklamaní a důvěřiví uživatelé a na zakázku psané aplikace, zejména webové. Proti těmto novým rizikům se lze mnohem hůře chránit - je vyžadován velký důraz na neustálý monitoring a udržování souladu s politikami, bez výjimek a s reálnými sankcemi za jejich porušení. SANS v roce 2007 označuje za hlavní aplikace, které vedou ke kompromitaci klientských stanic a serverů, úniku citlivých dat, zneužívání enterprise systémů nebo k různým ilegálním aktivitám a jsou velmi oblíbené u uživatelů tyto: Instant messaging, Peer - to peer programy. Server Network World patří rovněž mezi známé a důvěryhodné poskytovatele informací z oblasti IT a IT bezpečnosti. I když je tento přehled TOP 5 chyb z roku 2004, je stále platný a použitelný a odráží názor většího množství expertů. Top 5 IM bezpečnostních rizik dle Network World Viry a další škodlivý kód přes IM Z 50 virů jiného škodlivého kódu za posledních 6 měsíců, 5 bylo 19 použitých pro šíření přes peer to peer nebo IM aplikace. Většinou byl pro napadení použit přenos souborů, který obchází běžné bezpečnostní brány a antivirovou ochranu. Kromě přenosu souborů byly a jsou pro veřejné IM klienty publikovány konkrétní bezpečnostní zranitelnosti jako buffer overflow. Tyto chyby jsou také běžně používány pro šíření škodlivého kódu nebo další útoky, jako je DoS. 5 Údaj z roku 2004, v současnosti jsou kanály IM a peer-to-peer jedny z nejčastějších způsobů doručení škodlivého kódu.

12 část 5, díl 8, kap. 2, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Přehled, jak četný je dnes výskyt virů a jiného škodlivého softwaru, který využívá IM, je možné nalézt na stránkách různých bezpečnostních center, z nichž některé uvádíme. Live News IM Security Center ( Akonix IM security center ( Tunelování firewall IM klienti se pro zajištění vlastního fungování pokouší často najít způsob, jak tunelovat svůj provoz skrze bezpečností perimetr sítě (firewall). Většina IM služeb publikuje známé porty (5190 AOL, 1863 MSN, 5050 Yahoo), ale IM klienti mohou použít jiný libovolný port, který je využíván jinými aplikacemi (jako port 80 pro HTTP provoz). Někteří IM klienti se mohou připojit přes peer to peer spojení nebo navazovat spojení přes náhodně generované porty. Kromě toho v případě kompromitace zařízení přes IM mohou dále rootkity tunelovat svůj provoz v libovolných protokolech, od IM samotného přes HTTP, DNS a další. Tím se jejich detekce stává obtížnější. Únik citlivých dat Nemonitorovaný obsah opouští enterprise sítě a představuje zákonná i konkurenční rizika. Vše se děje většinou bez auditních záznamů a není známa historie této komunikace. Přenos souborů přes IM je často ve srovnání s ovou komunikací neřízený a nekontrolovatelný. Absence obsahového filtrování a archivace vytváří pro IT i bezpečnostní oddělení problém detekce potencionálního porušování bezpečnostní politiky společnosti.

13 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Součinnost a pokračující osvojování IM služeb zvýší celkový počet IM hrozeb Počet IM hrozeb narostl v roce 2005 o % na více než známých IM hrozeb. Hlavními akcelečást 5, díl 8, kap. 2, str. 7 Široký přístup do systému pro ne zcela testovaný SW IM klient má široký přístup k počítači uživatele, na kterém běží. Je to podobná situace jako v případě webových prohlížečů, ale na rozdíl od webových prohlížečů je IM klientů mnohem větší množství, vyskytují se ve více verzích, komunikují více protokoly a nepodléhají stejnému systému testování jako webové prohlížeče, neboť neexistuje dostatečný tlak z enterprise prostředí nebo bezpečnostních expertů a organizací. Relativně často se lze setkat s pohledem, že se stále nejedná o seriózní komunikační kanál vhodný pro enterprise systémy, ale spíše o prostředek komunikace mladší generace ( náctiletých ). SPIM V poslední době narůstá poměr SPIM (Instant Messaging SPAM) vůči celkové komunikaci. Zatím hovoří odhady a provedená měření o %. SPIM může být více rušivý než SPAM (Pop-up okno vyruší uživatele). Obsah je podobný jako u běžného SPAM (sexuálně orientované zprávy, nelegální software, léky atd.). Riziko je aktuální převážně v případech, kdy mají anonymní uživatelé povoleno kontaktovat cílového uživatele. Společnost Symantec patří mezi nejvýznamnější hráče v oblasti informační bezpečnosti. Níže uvedené informace pocházejí ze zprávy White paper - enterprise security, která je věnována převážně problematice IM. Symantec definoval pět hlavních bezpečnostních rizik ve formě hlavních trendů. Top 5 IM bezpečnostních rizik dle Symantecu (2006), trendy

14 část 5, díl 8, kap. 2, str. 8 BEZPEČNÁ POČÍTAČOVÁ SÍŤ rátory tohoto procesu jsou dva významní noví 6 hráči, a to Google Talk a Skype. Dalším významným prvkem je rozšiřující se počet IM serverů v enterprise sítích, jako např. Microsoft Office Live Communications Server, a zvyšující se interoperabilita mezi jednotlivými poskytovateli. Rozšiřující IM funkcionalita zvyšuje počet možných vektorů útoků Nové verze IM klientů budou směrovat k osvojení dalších plnohodnotných real-time komunikačních služeb, jako jsou VoIP a virtuální konference. Tyto služby poskytnou nové možnosti pro stále sofistikovanější útoky. Vícsofistikovaných a inteligentních wormů zvýší počet napadení Tvůrci IM útoků se stávají chytřejší, co se týče propagace a doručení svého škodlivého kódu. Útočníci se učí z ových hrozeb a inovují je. Jednou z posledních inovací je např. mluvící worm, který imituje IM uživatele použitím dialogu a demonstruje kreativnost dnešních tvůrců využívajících aspektu sociálního inženýrství pro zvýšení jejich click ratingu. Kreativita útoků se projevuje také v jejich vícejazyčnosti. Cílem těchto útoků je navíc oproti svým předchůdcům šíření z jedné sítě do druhé a především přecházení z veřejných IM sítí na vnitřní enterprise IM servery. Maskování útoků probíhá za pomoci běžných technik, jako rootkity. IM bude přitahovat pozornost organizovaného zločinu. 6 Vztaženo k roku 2006.

15 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Už od počátku IM na něj pohlíželi někteří správci s nedůvěrou a snažili se provoz IM kontrolovat a omezovat. Tento stav trval nějakou dobu, než vznikl Skype. Skype - IM systém, který je maximálně jednoduchý na obsluhu, používá a pravděpodobně průběžně doplčást 5, díl 8, kap. 2, str. 9 Se vzrůstající úrovní technik a vysokou efektivitu se IM bude stávat stále oblíbenější u organizovaného zločinu, nebude se jednat pouze o běžné spíše zvědavé hackery. Zatím stále převládají finanční ztráty (ukradené přístupové kódy k internet/home banking, pokusy o phissing a další), ale předpokládá se nárůst škod způsobených únikem citlivých informací (osobní, obchodní, státní a jiné). Interní hrozby a úniky duševního vlastnictví zvýší finanční ztráty V předchozích letech se ochrana zaměřovala především na pokrytí externích hrozeb. V současné době se ukazuje, že více rizik je a bude spojeno se zneužíváním firemních IT prostředků interními zaměstnanci. Dle Symantecu cca 30 procent uživatelů IM realizuje výměnu souborů s externími stranami. Hlavními důvody tohoto jednání jsou především: omezení velikosti souborů implementovaných v poštovních systémech, kontroly obsahu přes , zaměstnanci nechtějí žádný záznam o realizovaném přenosu. Specifická rizika IM - Skype Skype představuje jednu s nejvíce kontroverzních aplikací IM, která je v současnosti dostupná. Hlavní třecí plochy jsou zejména mezi běžnými uživateli a IT specialisty (nezávislí experti, IT a bezpečnostní oddělení, CSO a další). Skype - milovaný i nenáviděný

16 část 5, díl 8, kap. 2, str. 10 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Skype v kostce ňuje všechny techniky používané počítačovými hackery pro překonání a obcházení bezpečnostních opatření stanovených správci IT. Obcházení kontroly v prostředí počítačových sítí doplňuje silná vazba na nízkoúrovňové prostředky OS, která umožňuje Skype chránit i před kontrolami, které by mohli provádět správci počítačů. Pouze dobrý úmysl odlišuje Skype od ideálního trojského koně. Proto zde uvádíme detailnější informace o vlastnostech a především rizicích plynoucích z využívání Skype. Nástroj na IP telefonii. Publikovaný roku Projektový potomek Kaazy, vytvořený stejnými autory. Používá stejný engine (i Kaazu lze použít na skypování). IP telefonie zadarmo. Spojení do pevných sítí s nízkými náklady. Vystačí si 32 kb/s (implementace efektivních audio a video kodeků). Velmi rapidní nárůst počtu uživatelů. Momentálně ve vlastnictví ebay.

17 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 11 O Síť Skype se skládá s login serveru, dále tzv. super uzlů, které obsahují důležitá data pro řízení komunikace v síti Skype a klientských počítačů. Jakýkoliv uzel, který není za NAT, má dost paměti, CPU a síťové konektivity, může být povýšen na super uzel bez svého vědomí. Názory uživatelů Skype v kostce (převzaté z různých konferencí a osobní zkušenosti): Skype je zadarmo, zahrnuje velikou komunitu uživatelů. Instalace je extrémně jednoduchá. Skype funguje spolehlivě i na modemovém spojení. Panuje bezmezná důvěra v Skype a jeho kryptografii. Uživatelé se nebojí zneužití svého PC, útočník by si jistě vybral lepší. Zatím nikdo nedokázal, že Skype lze zneužít. Architektura Skype Přitažlivost Skype

18 část 5, díl 8, kap. 2, str. 12 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Negativní stránky Skype O nic vlastně nejde, maximálně pošlu někomu pár bajtů. Názory kritiků Skype: Program Skype je 12 MB nečitelných instrukcí. Samotná ochrana proti čtení kódu je důkladná, detekují se různé pokusy o debugování programu - jednání velmi podezřelé i u closed source programů. V kódu Skype nelze hledat malware (kvůli šifrování a úmyslné nečitelnosti). Skype maskuje systémové funkce, které volá (část má staticky linkovanou, část volá dynamicky). Zneužitím Skype by bylo možné získat velmi účinný backdoor. Protokol je proprietální a záměrně znepřehledněn - i close source programy v současnosti zveřejňují své protokoly - je tím zvýšena kontrola celkového řešení a přitom zachována ochrana duševního vlastnictví. Skype komunikuje, i když uživatel neprovádí žádnou cílenou akci. Nelze rozpoznat ani pomocí analýzy komunikace zdravé Skype od Skype napadeného jakýmkoliv škodlivým kódem. Skype automaticky důvěřuje starým proxy přihlašovacím údajům (credentials). Skype lze jen obtížně selektivně filtrovat na firewallu, IDS nereagují dost přesně. Bez přesné detekce nelze provádět další síťová opatření jako řízení šířky pásma nebo priority komunikace. Skype, i když není v open source komunitě, je zadarmo. Zpoplatněny jsou pouze některé doplňkové služby, např. volání do pevných sítí. Tato cenová politika je podezřelá, navíc Skype zatím hlásí obchodní ztráty. Nelze prosadit žádnou bezpečnostní politiku organizace.

19 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 13 Je Skype backdoor? Jak lze rozpoznat datové toky Skype od toků narušitele? Lze účinně blokovat datové toky Skype? Ohrožuje Skype mé důvěrné prostředí a důvěrné informace? Skype se distribuuje v binární podobě pro Windows, Linux, MacOS-X a mobilní zařízení vybavená Windows CE. Skype používá ochranné mechanismy proti dekódování a debugování programu, aby člověk ani antivirový program nemohl kontrolovat, co zrovna dělá. Skype při spuštění striktně kontroluje integritu svého kódu. Téměř veškerá komunikace Skype je kryptovaná nebo znepřehledněná. Skype komunikuje pomocí TCP, může-li i UDP, kromě toho využívá ICMP. Skype nemůže pracovat bez TCP, obejde se však bez UDP komunikace. Společnost Skype neposkytuje popis komunikačního protokolu. Skype používá AES 256 pro šifrování přenášených dat. Pro negociaci symetrických klíčů užívá Skype RSA Veřejný klíč uživatele vytvářený během loginu je podepsán RSA 1536 nebo 2048 na logovacím serveru. Binární kód programu je po částech rozbalován do paměti před spuštěním patřičné části. Tím se zabraňuje možnosti disasemblace (přečtení) kódu. Skype se snaží vícenásobně detekovat přítomnost debugerů v paměti. Vyvstávající otázky Skype? Technický popis Skype Šifrování v Skype Znepřehlednění kódu Skype

20 část 5, díl 8, kap. 2, str. 14 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Obcházení firewallů a NAT Teoretické možností zneužití Skype externí entitou Má-li podezření, že je debugován, neočekávaně se ukončí. Skype složitě kontroluje checksumy svého kódu. Skype hlídá odhadovaný čas provádění částí kódu, v případě nesrovnalosti se neočekávaně ukončí. Celý kód je podepsán RSA a tím chráněn proti modifikaci nebo analýze pomocí debugeru. Každý Skype uzel pravděpodobně používá obdobu STUN a TURN protokolu ke zjištění, je-li za NAT či nikoliv. Každý uzel si volí nějaké super uzly jako STUN servery, neexistuje globální STUN server. Skype prochází přes UDP restriktivní firewally TCP spojeními. Skype se snaží obsadit porty 80 a 443, aby zvýšila naděje na průchod TCP firewallem. Skype poslouchá na TCP i UDP Skype portu (default náhodný). Tento port lze uživatelsky konfigurovat. Jsou-li volné a je-li Skype oprávněno, obsadí i TCP 80 a 443 (http, https). Otevírá i další UDP porty. Vytvoření vlastní VPN komunikující Skype protokolem, parazitující na síti Skype. Více nezávislých expertů udává blízký horizont realizace této techniky. Zjištění hesel ostatních uživatelů. Přestože se uživatelé Skype logují proti jedinému login serveru, činí tak často prostřednictvím některého superuzlu. Superuzlem se může stát libovolná stanice, která není za NATem, hlasováním. Skype používá globální autentizaci.

21 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 15 Uživatelé často používají jedno heslo pro všechny aplikace. Odposlech. Hypotetická záležitost, bez podrobného prozkoumání kódu nelze určit, zda a jak lze zařídit odposlech třetí stranou. Je velmi pravděpodobné, že autoři jsou schopni tuto funkčnost získat. Stažení a následné spuštění libovolného kódu. Reálně vyzkoušeno. Skype může být plně pod kontrolou každého, kdo hovoří řečí Skype. Může se tak jednat o jeden z nejvíce rozšířených backdoorů. Technický návrh detekce a blokace nepovolených IM protokolů v prostředí podnikových sítí Tento technický návrh se týká pouze produktu Skype. Ostatní produkty a protokoly IM také využívají různé techniky pro překonání firewallů nebo NAT, většinou však ne ve stejné míře a jejich blokování není tak technicky náročný problém. Možnosti zneužití Skype interním útočníkem (se znalostí kódu Skype) Díky všem technikám popsaným v předchozí části je Skype velmi obtížné 100% blokovat. Uvedené návrhy jsou poplatné datu vzniku a je možné, že budou dalším vývojem Skype opět překonány a bude nutné hledat další možnosti. Je nutné poznamenat, že i když jsou dále uvedeny různé postupy blokace vybraného IM řešení, v tomto případě Skype, jedná se pouze o popis technických možností, ne o jednoznačně doporučený postup, kterým se musí každý řídit.

22 část 5, díl 8, kap. 2, str. 16 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Blokace klíčových super uzlů Blokace na statefull firewallu Toto řešení je vhodné pouze pro nově nainstalované klienty, nesmí dojít k jinému kontaktu s jinou sítí, jinak je aktualizována tabulka hosts a klient dokáže začít komunikovat s jinými super uzly a tunelovat požadovaný provoz přes ně. Blokace IP centrálních login serverů (adresy se mohou měnit) , ( ) - nepotvrzeno více zdroji, ( ) - nepotvrzeno více zdroji. Blokace IP centrálního buddy seznamu Blokace IP 7 klíčových super uzlů, jejichž IP je zahrnuto ve zdrojovém kódu aplikace (bootstrap) :33033 sls-cb10p6.dca2.superb.net, :33033 ip9.181.susc.suscom.net, : x50a15b19.boanxx15.adsldhcp.tele.dk, : x50a15b0c.albnxx9.adsldhcp.tele.dk, :33033 rs ev1.net, :33033 rs ev1.net, :33033 ns2.ev1.net. Blokace IP adresy serveru ui.skype.com, kde se při startu kontroluje dostupnost aktualizací ui.skype.comm Harvesting a následná blokace všech dostupných super uzlů Seznam dalších super uzlů je možné získávat z tabulky hostů, která je uložena v souboru shared.xml. To se netýká případu, kdy je daný počítač zvolen (nemůže si vybírat) jako super uzel. V tomto případě jsou informace o hostech uloženy v registrech.

23 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Z tohoto důvodu je vhodné, aby existoval a byl využíván ještě testovací klient, který se bude pokoušet připojit k nějakém SN. Měl by pracovat s relativně akčást 5, díl 8, kap. 2, str. 17 Návrh Harvester řešení: Skype klient (použitelná verze, např. 2.5, verze 3 už by měla mít tabulku hostů šifrovanou). Malá aplikace, která realizuje následující kroky (opakovaně): Extrahovat adresy SN (super uzlů), tedy IP a port z XML konfiguračního souboru. Vymazat většinu SN z tohoto souboru, kromě několika klíčových. Restartovat klienta Skype a počkat na obnovení seznamu super uzlů (cca 200 v jednom souboru). Každá iterace trvá cca 2-2,5 minut. V případě, že je použit nějaký cluster více počítačů, nejlépe geograficky rozdělených (v příkladu OWASP bylo použito cca 77 počítačů), byl po cca iteracích (zhruba 80 hodin) získán seznam zhruba 40 milionů uzlů, z toho byl separován seznam unikátních párů IP+port super uzlů. Tento seznam je z pohledu managementu firewallu ještě použitelný, přitom jsou dosahovány nízké hodnoty false negatives. Získávání tohoto seznamu super uzlů je nutné opakovat, protože populace Skype se neustále mění. V rámci enterprise sítí lze pak rozlišovat mezi 3 typy instalace klientů Skype: nově nainstalovaná v enterprise prostředí (snadno blokovatelné - pouze 7 SN a jeden login server), klient nainstalován mimo enterprise prostředí (např. doma) a pak přinesen - obsahuje větší seznam SN, klient, který má čerstvě aktualizovaný soubor SN (např. při návštěvě internetové kavárny).

24 část 5, díl 8, kap. 2, str. 18 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Blokace známých vzorků - paternů tualizovanými informacemi o SN. Pravděpodobnost zablokování není 100%, stoupá s narůstajícím časem prodlevy mezi aktualizací seznamu SN testovacího klienta a jeho spuštěním v enterprise síti. Studie OWASP ukazuje, že 10 % SN zajistí až 80 % všech požadavků, takže metoda blokování všech SN je efektivní okolo 95 %. Níže uvedené pravidlo pouze zablokuje UDP komunikaci. Skype již toto dokáže překonat a komunikuje pouze přes TCP. /sbin/iptables I FORWARD p udp m length length 39 m u32 u32-27&0x8f =7 u32 31=0x527c4833 j DROP Dalším řešením je rozšíření o L7 blokace, popsané v další kapitole. 7 O 7 Převzato z prezentace Philippe Biondi a Fabrice Desclaux, Silver needle in the Skype, Black Hat Europe 2006.

25 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 2, str. 19 Blokace na aplikačním firewallu L7-filter je nadstavba pro Linux program Netfilter (iptables), který identifikuje pakety na základě dat na aplikační vrstvě. Je schopen rozpoznávat pakety programů, jako je Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, edonkey2000 a další bez ohledu na použitý port. Jedná se tedy o možný doplněk ke klasickým filtrům založeným na IP adrese a portu. Seznam podporovaných protokolů je na této adrese: Součástí je SkypetoSkype a SkypeOut, ovšem s výrazným omezením, viz níže uvedená poznámka. Použití Application Layer Packet Classifier for Linux Název Rychlost Kvalita Poznámka Popis skypeout pomal aï pravdûpodobnû x Skype to phone - velmi pomal funguje UDP voice call (program to POTS phone) - skypetoskype rychl aï pravdûpodobnû x Skype to Skype - velmi rychl funguje UDP voice call (program to program) - T X- Je velmi těžké až nemožné napsat vzorek pro tento protokol, který by neměl příliš mnoho chyb. Je proto stále doporučením používat toto pole dále současně s dalšími pravidly, jako je IP adresa nebo port. Cisco dle dostupných informací nabízí nástroje na detekci Skype a řízení jeho QOS ( Podobnou funkcionalitu také potvrzují jiní výrobci, např. CheckPoint s produktem NGX. Komerční řešení

26 část 5, díl 8, kap. 2, str. 20 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Použití proxy serveru Administrativní zákaz Skype se v případě NAT prostředí pokouší o více druhů navázání spojení se super uzly. Pakliže selžou všechny pokusy o přímou komunikaci (včetně využívání portů jako 80, 443), pokusí se klient Skype najít HTTPS proxy a pomocí metody CONNECT se připojit k nějakému super uzlu. Je proto možné využít prostředků řízení přístupu (ACL v případě Squid) a aplikovat pravidla na kontrolu metody CONNECT na číselnou IP adresu. Jedná se patrně o jeden z nejjednodušších a nejefektivnějších způsobů blokace (hned po administrativním zákazu). # Your acl definitions acl numeric_ips urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ acl connect method CONNECT # Apply your acls http_access deny connect numeric_ips all Jednoznačně nejlepší a nejúčinnější způsob, jak blokovat peer-to-peer programy a sítě, tedy včetně Skype.

27 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 3, str. 1 5/8.3 NÁVRH BEZPEČNÉHO ŘEŠENÍ IM V případě, že kdokoliv potřebuje bezpečné řešení IM, tedy výše uvedená rizika z jakéhokoliv důvodu nechce akceptovat, měl by si upřesnit, co přesně chce, protože problematika IM už je poměrně široká. Pomocí mohou být vybrané otázky, které jsou dále uvedeny: Za jakým účelem bude IM používán? S kým bude pomocí IM komunikováno a kdo bude pomocí IM komunikovat směrem dovnitř (budou se obě strany před zahájením komunikace znát?) Jakou úroveň řízení si přejete mít nad aktivitami zaměstnanců? Budou aktivity logovány? Budou záznamy archivovány? Jak budou uživatelé řízeni a kdo je bude spravovat? Jak bude spravována bezpečnost a shoda na aplikovatelné regulace? Bude IM integrován s existující antivirovou ochranou? Jakou úroveň podpory je potřeba zabezpečit pro správu IM a jak náročná bude správa a údržba? Základní předpoklady pro výběr řešení

28 část 5, díl 8, kap. 3, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Doporučeným řešením by měl být přechod na EIM řešení Jaký bude mít IM dopad na šířku pásma a výkon infrastruktury? Lze prosadit zvolené řešení vůči externím partnerům/klientům? Dalším klíčovým rozhodnutím ovlivňujícím uvedené otázky je, kdo bude spravovat IM server. Aktuálně je tady několik možností: Použít veřejný IM nástroj a umožnit zaměstnancům komunikovat přes internet (bez nároků na bezpečnost a správu). Smlouva s třetí stranou pro hostování IM serveru s omezeným přístupem jenom pro specifikované uživatele. Hostovat IM server v rámci organizace jako součást existující infrastruktury. Doporučeným řešením by měl být přechod na EIM řešení. 8 Nelze přesně stanovit architekturu, je však rámcově možné vycházet z těchto možností: Hostovat IM server v rámci organizace jako součást existující infrastruktury. Na tomto serveru realizovat transportní dohody s potřebnými IM systémy. Publikovat tento server do internetu a nabídnout přes něj VoIP služby požadovaným partnerům/klientům/zaměstnancům. Smlouva s třetí stranou pro hostování IM serveru s omezeným přístupem jenom pro specifikované uživatele. Vlastní server může být jak z kategorie open source, tak komerční. Volba více závisí na konkrétních požadavcích a finančním rámci tohoto projektu. 8 Žádné současné řešení nedokáže spolupracovat se sítí, resp. klienty sítě Skype. Vychází to z podstaty a filozofie Skype.

29 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 8, kap. 3, str. 3 Volba klientů je v tomto ohledu také širší. Je nutné rozhodnout, jestli by se mělo jednat pouze o VoIP klienty, jako ZPhone, X-Lite, SJphone, Snom a další, nebo jestli se má jednat o plnohodnotného IM klienta, který umožňuje funkce jako přenos souborů, chat a zároveň VoIP. Z nekomerčních se jedná především o Gizmo nebo WengoPhone, k dispozici jsou také komerční. V případě, že by se měla implementovat pouze VoIP gateway, doporučujeme realizaci na bázi protokolu SRTP, 9 který zajišťuje oproti klasickému SIP důvěrnost a integritu zpráv/hovoru. Volba klientů IM 9

30 část 5, díl 8, kap. 3, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ