Технология VoIP (Voice over IP) в настоящее время развивается очень быстрыми темпами, а программа Skype является наиболее известной и популярной среди пользователей реализацией VoIP. По сравнению с обычной телефонной сетью, Skype позволяет существенно удешевить связь и при этом сохранить качество передачи информации. Еще одно преимущество этой программы – простота. Пользователи всего мира больше не утруждают себя размышлениями, что и как нужно делать. Сегодня достаточно просто установить Skype и подключить микрофон. После этого можно говорить, обмениваться файлами, текстовыми сообщениями и т.д.

Однако программа Skype получила достаточно широкое распространение не только у домашних пользователей, но и в корпоративных сетях. Неудивительно, ведь она позволяет значительно сократить расходы на междугородные и международные разговоры, упростить коммуникации между офисами и отдельными людьми. Кроме того, для установки и использования утилита вовсе не требует привилегий администратора. Поэтому служащие могут бесплатно скачать Skype из Интернета и спокойно установить его на корпоративной рабочей станции. Между тем, именно в этом месте возникает совершенно новая проблема – дополнительные риски информационной безопасности (ИБ), которые возникают в связи с использованием Skype в корпоративной среде.

Отметим, что проблема защищенности Skype сегодня очень актуальна. Это довольно популярная программа, приковывающая к себе внимание, как инсайдеров, так и хакеров. Например, при помощи Skype внутренние нарушители легко могут выкрасть ценную информацию. При этом история таит немало примеров того, как хакеры отыскивали уязвимости в Skype.

Ноябрь, 2004 г. - Обнаруженная дыра позволяла хакеру получить полный контроль над компьютером пользователя посредством переполнения буфера в Skype.

Апрель, 2005 г. - Программа Skype не всегда аккуратно сбрасывала права доступа. В результате злоумышленник мог подменять оригинальные приложения модифицированными вариантами с уже полученной авторизацией.

Октябрь, 2005 г. - Выявлена лазейка, с помощью которой злоумышленник мог вызвать ошибку переполнения буфера на машине жертвы и получить доступ к системе.

Октябрь, 2005 г. - Брешь в Skype позволяла организовать атаку типа отказ в обслуживании на удаленный компьютер.

Май, 2006 г. - Новая брешь давала возможность украсть файл с машины пользователя. Правда, для этого необходимо было послать жертве специально сформированные пакеты, чтобы спровоцировать аварийное завершение программы.

Декабрь, 2006 г. - В нескольких странах распространился червь, инфицирующий рабочие станции с программой Skype, использующейся в режиме чата.

Настоящее исследование является первым российским проектом в сфере изучения возможности безопасного использования Skype в корпоративной среде. Исследование ставило своей целью выявить опасения специалистов в области ИТ и ИБ по поводу применения Skype в интрасетях компаний, определить дополнительные угрозы ИБ, которые этому способствуют, а также причину возникновения этих рисков.

Читать далее (http://www.securitylab.ru/analytics/292883.php)

Может необходимо добавить, что в РУз для коммерческого использования IP-телефонии нужна лицензия. Ведь использование в корпоративной среде и есть коммерческое использование? Так что те, кто пользуется такой связью значительно рискуют и риск этот уже не связан с хакерами.

Ведь использование в корпоративной среде и есть коммерческое использование?
не совсем так - если сипользование в корпоративной среде подразумевает связь между отделениями одной и той же компании например то это не коммерческое использование ( ну проложена уже сеть и все :) че ж полосу не пользовать).
Под коммерческим использованием следует понимать коммерческое использование возможностей данной системы - т.е. зарабатывание денег, через предоставление услуги на платной основе.

Под коммерческим использованием следует понимать коммерческое использование возможностей данной системы - т.е. зарабатывание денег, через предоставление услуги на платной основе.
а под это нельзя подвести, что работая и производя какой-то продукт ты в итоге извлекаешь коммерческую выгоду из того, что используешь внутри корпорации такую связь?

такую связь?Ефим, так можно и под семейные устои подвести... Типа дешёвые (?) сексуальные связи... Или столование... Потом заставят платить дополнительные налоги со всего этого... Грустно подумать даже. :)

Ефим, так можно и под семейные устои подвести... Типа дешёвые (?) сексуальные связи... Или столование... Потом заставят платить дополнительные налоги со всего этого... Грустно подумать даже.
Эльдар, Вы же сами знаете, что маразм некоторых наших чиновников достигает таких невиданных высот, что иногда шея болит смотреть так высоко...
Я спросил, т.к. не знаю, как происходит лицензирование подобной услуги.
Хорошо, что пока разумных людей в достатке, спасибо за ответ :-)

Может необходимо добавить, что в РУз для коммерческого использования IP-телефонии нужна лицензия. Ведь использование в корпоративной среде и есть коммерческое использование? Так что те, кто пользуется такой связью значительно рискуют и риск этот уже не связан с хакерами.
Использование скайпа есть "коммерческое использование IP-телефонии"?
"Вы меня просто умиляете" (с) Efim Kushnir

а под это нельзя подвести
нет - лицензия требуется именно на оказание услуг связи.Фима срочно отдыхать - это ж надо - я не думал что можно такое придумать (это я про вопрос твой - и потом, ты опять начинаешь вешать ярлыки :))

Ефим, так можно и под семейные устои подвести... Типа дешёвые (?) сексуальные связи... Или столование... Потом заставят платить дополнительные налоги со всего этого... Грустно подумать даже.

Фима срочно отдыхать - это ж надо - я не думал что можно такое придумать

Ну всё, всё, ухожу уже, пойду отдыхать...
"Вы еще танки пригонИте..." (с) Жванецкий. :-)

а я всегда говорил что скайп ацтой. надо юзать gizmo или google talk.

Мне лично статья не понравилась. Точно такую же статью можно было написать на любую программу, будь это VoIP client, Browser, и т.д.
Может быть заказная статья. :icon_wink:

Например, браузер Internet Explorer. Если построить таблицу уязвимостей за 2 года (с ноября 2004 по декабрь 2006) по аналогии со skype, приходим к мнению, что Internet Explorer вообще нельзя использовать в корпоротивной среде.

а я всегда говорил что скайп ацтой. надо юзать gizmo или google talk.

Кто-нибудь объязательно скажет, gizmo ацтой или google talk ацтой... :biggrin:

а я всегда говорил что скайп ацтой. надо юзать gizmo или google talk.
Все "ацтой"... надо телефоном пользоватся.

Использование скайпа есть "коммерческое использование IP-телефонии"?
"Вы меня просто умиляете" (с) Efim Kushnir

Вот так просто?
Согласен, что, возможно, неверно сформулировано. Уточню смысл вопросом: как на территории РУз пользоваться услугой IP-телефонии?

Могу переформулироватиь вопрос так:
Использование платной услуги Скайп (или иной системы IP-телефонии), требует оплаты этих услуг. Правильно?
Если говорить о корпоративной среде, то скорее всего, это оплата путем безналичных расчетов. Так?
Собственно вопрос: как будет производлиться оплата этих услуг (основание для оплаты и порядок расчетов) и как бухгелтерия будет отражать этот факт оплаты?

Вот так просто?
Согласен, что, возможно, неверно сформулировано. Уточню смысл вопросом: как на территории РУз пользоваться услугой IP-телефонии?

Могу переформулироватиь вопрос так:
Использование платной услуги Скайп (или иной системы IP-телефонии), требует оплаты этих услуг. Правильно?
Если говорить о корпоративной среде, то скорее всего, это оплата путем безналичных расчетов. Так?
Собственно вопрос: как будет производлиться оплата этих услуг (основание для оплаты и порядок расчетов) и как бухгелтерия будет отражать этот факт оплаты?

Мне кажется официально никто платными услугами skype в корпоративной среде не пользуется. Иначе возникал бы вопрос, который и вы задаете. А вот бесплатную часть, т.е., звонки с компьютера на компьютер можно использовать законно. Никакой оплаты нет. А за каналы организация платить вполне законно, и вправе использовать по своему усмотрению.

Skype платный только если делать звонки на сети общего пользования, фиксированные или мобильные. Связь компьютер-компьютер бесплатная.

Но лично я в упор не понимаю администраторов которые не выметают skype из своей сети огнем и мечом. да, я параноик, но это софт которому нельзя доверять принципиально. он использует закрытый протокол, он не поставляется с исходниками, более того активно противодействует анализу - троянский конь в чистом виде, никто кроме разработчиков не знает что в нем.

у нас за такое сначала расстреляли бы, а потом уволили без выходного пособия....


http://www.xakep.ru/magazine/xa/100/064/1.asp

http://www.pagetable.com/?p=27

Могу переформулировать вопрос так:
Использование платной услуги Скайп (или иной системы IP-телефонии), требует оплаты этих услуг. Правильно?
Если говорить о корпоративной среде, то скорее всего, это оплата путём безналичных расчётов. Так?
Собственно вопрос: как будет производиться оплата этих услуг (основание для оплаты и порядок расчётов) и как бухгалтерия будет отражать этот факт оплаты?
Запросто. Карточки, которыми начисляются платежи можно купить и за безнал. Дальше ведь всё понятно, правда? :-)
Вообщем, точно так же, как и ваши, к примеру, карточки ip-телефонии. Только вот у вас она в "чистом" виде, поднял трубку, набрал PIN-код, дозвонился куда хотел. А тут есть ещё одна прослойка - компьютер :)

Skype платный только если делать звонки на сети общего пользования, фиксированные или мобильные. Связь компьютер-компьютер бесплатная.

Но лично я в упор не понимаю администраторов которые не выметают skype из своей сети огнем и мечом. да, я параноик, но это софт которому нельзя доверять принципиально. он использует закрытый протокол, он не поставляется с исходниками, более того активно противодействует анализу - троянский конь в чистом виде, никто кроме разработчиков не знает что в нем.

у нас за такое сначала расстреляли бы, а потом уволили без выходного пособия....

Акмал, вопрос возник чисто из-за любопытства, а у вас весь софт (включая ОС и БД) использует открытые протоколы и поставляется с исходниками?

Акмал, вопрос возник чисто из-за любопытства, а у вас весь софт (включая ОС и БД) использует открытые протоколы и поставляется с исходниками?

открытые протоколы - да, все протоколы связи открыты по определению.
насчет исходников - к сожалению нет, но за весь купленный софт поставщик несет полную ответственность согласно условия контрактов (там слишком большие деньги)

Согласен, что, возможно, неверно сформулировано. Уточню смысл вопросом: как на территории РУз пользоваться услугой IP-телефонии?
Для начала давайте сформулируем понятие IP-телефонии.
(и что там говорит википедия?):
"VoIP (англ. Voice-over-IP — IP-телефония) — система связи, обеспечивающая передачу речевого сигнала по сети Интернет или по любым другим IP-сетям. Сигнал по каналу связи передается в цифровом виде и, как правило, перед передачей преобразовывается (сжимается) с тем, чтобы удалить избыточность, свойственную человеческой речи."
Если я пользуюсь Skype как мессенджером то какая тут передача речевого сигнала?

Использование платной услуги Скайп (или иной системы IP-телефонии), требует оплаты этих услуг. Правильно?
Конечно правильно.
Но и правильно то что лицензируется не клиент использующий Skype как IP телефон, а компания предоставляющая эти услуги.

Но лично я в упор не понимаю администраторов которые не выметают skype из своей сети огнем и мечом.
А зачем? Проще не открывать порт. А там хоть по три скайпа на рыло ставят.

но это софт которому нельзя доверять принципиально. он использует закрытый протокол, он не поставляется с исходниками,
Хороший админ, страдающий паранойей не доверяет даже самому себе :)

Конечно правильно.
Но и правильно то что лицензируется не клиент использующий Skype как IP телефон, а компания предоставляющая эти услуги.

Согласен. Тогда - кто у нас предоставляет такие услуги?

Название темы не соотносится с дальнейшим обсуждением.

Проще не открывать порт. А там хоть по три скайпа на рыло ставят.

Вообще никакой порт не открывать! Вредно.

Согласен. Тогда - кто у нас предоставляет такие услуги?
Такие (IP телефонию) услуги у Вас предоставляет, к примеру, СП "BUZTON" и я одного из этой компании знаю (заочно) - Avaz Кhasankhodjaev СП "BUZTON" Начальник отдела развития регионов.

Что касается Skype - услуги предоставляются исключительно за рубежами нашей любимой Родины и деятельность осуществляется исключительно в соответствии с их законодательством.

Касаемо перевода темы в русло - считаю что использование скайпа в корпоративной среде вполне безопасно при выполнении минимальных требований к корпоративной безопасности и при соотвествующей технической осведомленности и ответственности сотрудников компании.

Предлагаю новые темы до кучи:

1. Безопасность протоколов TCP\IP в корпоративной среде
2. Безопасность протоколов HTTP\HTTPS корпоративной среде
3. Безопасность протокола SMTP\SMTPS корпоративной среде

и тд и тп так как эти протоколы предназначены для обеспечения коммуникации и обмена информацией и активно используются пользователями корпоративных ИС тем самым ставят под угрозу безопасность целостности и работоспособности ИС.

Касаемо перевода темы в русло - считаю что использование скайпа в корпоративной среде вполне безопасно при выполнении минимальных требований к корпоративной безопасности и при соотвествующей технической осведомленности и ответственности сотрудников компании.

Предлагаю новые темы до кучи:

1. Безопасность протоколов TCP\IP в корпоративной среде
2. Безопасность протоколов HTTP\HTTPS корпоративной среде
3. Безопасность протокола SMTP\SMTPS корпоративной среде

и тд и тп так как эти протоколы предназначены для обеспечения коммуникации и обмена информацией и активно используются пользователями корпоративных ИС тем самым ставят под угрозу безопасность целостности и работоспособности ИС.

Вот не надо передергивать.
SMTP[S]/HTTP[S] прекрасно контролируются, открыты, есть огромный выбор клиентской части.
а минимальные требования к безопасности допустимы только если сама внутрикорпоративная информация ничего не стоит...

Вот не надо передергивать.
SMTP[s]/HTTP[s] прекрасно контролируются, открыты, есть огромный выбор клиентской части.
а минимальные требования к безопасности допустимы только если сама внутрикорпоративная информация ничего не стоит...

SMTPS сервера который находится за пределами Вашей сети контролируется Вами? (пойду проверю у себя на сервере)

да, полностью! :)
туда просто никому нельзя, включая генерального

Такие (IP телефонию) услуги у Вас предоставляет, к примеру, СП "BUZTON" и я одного из этой компании знаю (заочно) - Avaz Кhasankhodjaev СП "BUZTON" Начальник отдела развития регионов.

Увы ли или нет, но BUZTON IP-телефонию не предоставляет.
BUZTON предоставляет только традиционную телефонию. IP технологии используются только на некоторых участках (например - "последней мили"), но и при этом сжатия не производиться (то бишь при разговоре резервируется и используется для разговора канал в 64 kb/s), что позволяет нам гарантировать качество традиционной телефонии.
P.S. сорри за некоторую "рекламу" :)

2 Erkin Kuchkarov: кстати мы знакомы не только заочно, но и очно. :)

Еще раз сорри, но уже за оффтоп.