В Сети вновь разгорелось обсуждение вопроса о том, что в популярной программе Skype имеет специальная лазейка, которая позволяет осуществлять несанкционированное прослушивание разговоров (бэкдор).

Поводом для обсуждения стали слова одного высокопоставленного представителя внутренних дел Австралии. 25 июля этого года, во время встречи, на которой обсуждались вопросы, связанные с санкционированным перехватом VoIP-сервисовс Интернет-провайдерами он заметил, что министерство легко может прослушивать разговоры, осуществляемые через Skype.

Помимо этого, имеется еще один слух, согласно которому в Skype встроен бэкдор. В качестве доказательства сторонники данной гипотезы приводят тот факт, что используемый Skype проприетарный протокол является закрытым, и компания не раскрывает деталей, касающихся его работы. В частности, вопросы безопасности при использования Skype были проанализированы в 2006 году на конференции по компьютерной безопасности Black Hat Europe, где в качестве минусов программы были отмечены такие факты:

- Программа постоянно передает данные (даже когда Skype находится в режиме ожидания)

- Недостаточная защита личных данных (Skype обладает ключами, позволяющими расшифровывать звонки и сессии)

- Потенциальная возможность наличия уязвимостей в связи с закрытостью кода

Отметим, что в феврале прошлого года стало известно о том, что Skype считывает данные из BIOS, пытаясь идентифицировать компьютер. Тогда разработчики заявили о том, что это связано с какой-то ошибкой, которая была исправлена в версии 3.0.0.216.

Помимо этого отметим, что слухи о возможном существовании в Skype бэкдора и различных лазеек регулярно появляются на протяжении последних лет. В частности, согласно одному из таких слухов существует специальное прослушивающее устройство, разработанное самой компанией Skype и поставляющееся спецслужбам.

Комментарий
Дмитрий сказал:
14.09.2008 в 11:13
Как специалист по криптографии с 20 летним стажем работы в 8 управлении ФАПСИ скажу так: более глупой статьи на эту тему не читал уже давно.
Во-первых, ни одна спецслужба мира, которая занимается криптоанализом, т.е. взломом алгоритмов, шифров и кодов криптографических продуктов, НИКОГДА не будет во всеуслышание сообщать, что им удалось взломать эти продукты. Успешность работы криптоаналитиков, это вопрос государственной тайны высшего уровня, т.к. перехват зашифрованной информации стоит на первом месте в работе любых разведок мира, при этом не важно, какой программой зашифрована эта информация. В мире ещё нет ни одного факта легального использования в качестве доказательств дешифрованной криптоаналитиками информации. Как я уже сказал выше, факт взлома и дешифровки какого-либо алгоритма является государственной тайной и глупо в суде этот факт рассекречивать. Вспомните случай с украденной англичанами с немецкой подлодки шифровальной машины Энигма. Немцы, будучи уверенными, что их лодка погибла и с ней утонула шифровальная машина, до конца войны использовали старые коды для связи со своими судами. Таким образом англичане до конца войны полностью контролировали переписку фашистской Германии со своими военными судами. Как Вы думаете, использовали бы немцы свои шифровальные продукты, если бы англичане публично сообщили, что Энигма у них в руках? Это к слову о том, что в статье идёт ссылка на слова неназванного австралийского чиновника из МВД. Тем более МВД никогда не занималось и не занимается дещифровкой информации.
Во-вторых, всемирно известная программа PGP, которой исполнилось уже 17 лет использует алгоритм с т.н. открытым ключом, или ассиметричный алгоритм шифрования с длиной ключа 128 бит. Этот криптографический продукт до настоящего времени ни одной спецслужбе мира, в т.ч. и в той, где я ранее работал, не удалось взломать до настоящего времени и вряд ли удастся в ближайшие 50-100 лет. Skype использует семмитричный алгоритм шифрования (с закрытым ключом) с длиной ключа 256 бит, т.е. в два раза длиннее, чем в PGP. Вероятность взлома такого ключа методом лобовой атаки (подбор по словарю) оценивается не ранее 2150-2200 г.г., а многие специалисты по криптографии уверены, что взлома алгоритма с длиной ключа от 256 бит даже теоретически маловероятен.
В-третьих, все IP-сеансы связи Skype (кроме звонков на обычные телефонные номера) не идут через Сall-center, т.е в данном случае невозможен перехват звонков на аппаратуре сервера Skype. Учитывая, что взломать Skype методом лобовой атаки невозможно, единственный способ (теоретичекий) получить доступ к информации применить критографическую атаку, известную под названием “человек посередине”, или “Man-In-The-Middle attacks”. Однако этот метод практически трудноприменим к IP-телефонии, поскольку смысл этого метода в том, что в канал связи между двумя абонентами вклинивается кто-то третий. Например, разговаривают Борис и Сергей. ФСБ хочет прослушать их разговор и для этой цели использует атаку “человек посередине”. Во время звонка Сергея Борису, ФСБ подставляет свой ключ Сергею, выдавая его за ключ Бориса, а при ответе Бориса, подставляет ему свой ключ, вместо ключа Сергея. Таким образом трафик Сергея сначала попадает на компьтер ФСБ, там расшифровывается с помощью подменённого ключа, и по идее далее должен отправляться в зашифрованном виде на компьютер Бориса. Но в голосовой связи такая атака не применима, т.к. будут просто гигантские задержки на расшифровку трафика и подмену ключей. Атака “человек посередине” может эффективно применяться при расшифровке только письменной информации, направляемой путём электронной почты, когда задержки не будут замечаться какой-либо стороной, участвующей в переписке. Стоимость организации такой атаки для перехвата переписки двух человек измеряется сотнями тысяч долларов за каждый день перехвата.

В-четвёртых, встройка т.н. бэкдора (мастер-ключа) в алгоритм AES практически невозможна в силу особенностей этого алгоритма. Факт того, что Skype не публикует исходники своей программы абсолютно не свидетельствует о том, что в программу изначально встроен мастер-ключ. Многие компании, выпускающие известные во всём мире криптографические продукты не публикуют исходники своих программ, например, как немецкая компания SecurStar, выпускающая такие криптобестселлеры, как DriveCrypt Plus Pak, SecurSolo и PhoneCrypt.
Короче, статья написана конкурентами Skype, которые пытаются дискредитировать удачный продукт и на этой волне заработать себе очки. Skype самая надёжная программа в плане конфиденциальности переговоров между абонентами, использующими канал РС-РС.

__________________




Если вы хотите узнать, что на самом деле думает женщина, смотрите на нее, но не слушайте.

Кошмар! Нафиг скайп тогда? Может еще аська просматривается, мыло палится, в туалете камеры наблюдения. Big brother watching you!

Maroon, внимательно смотрите комментарий Дмитрия.

__________________
AleX's Blog

Коментарий дмитрия полнейший бред. И ваще скайп сам эти разговоры продает ЦРУ Мру всяким. Чего гадать?

AlfaDogg, говорить, что камент просто "бред" - глупо. фактами, батенька, фактами

__________________




>>> Manfred Blog <<<

Люди не могут получить что-либо, не отдав что-либо взамен.
Ты должен заплатить что-то равной величины за то, что хочешь получить
(с) Алхимик

ФСБ действует намного более нагло.
Обязывает компании давать им прямой доступ и не разглашать его. Поэтому бэкдоров нет. Есть довольно прямо предоставленный доступ этим структурам.

Давно читал, что скайп использует технологию P2P, отсюда и постоянный трафик...
На счет конфиденциальности трудно сказать, но, чем больше точек прохождения имеет трафик, тем проще его перехватить, а всё, что кто-то закрыл/зашифровал можно взломать (хотябы теоретически).
Отсюда следует... Если у Вас паранойя, или Вы Бен Ладен, используйте свои серверы, своё ПО, и свои протоколы шифрования, а в идеале - свою сеть!!!

З.Ы.: где комментарий Дмитрия, почему не вижу******

В первом посте ...

__________________
AleX's Blog

Как лично я делал и делаю:
Создан софт на базе ИП телефонии, все шифруется, требует большого канала, зато безопасно(не меньше 256 Кб/с, но у всех наших юзеров не менее 512, особый комфорт только на гигабитном канале). Софтина для закрытой группы, так что сорри, выложить не могу. Но то что проверено на деле - 100%. И пусть такие большие спецы в области криптографии попробуют реализовать прослушивание.\
А вот эти все скайпы и им подобные, которые кричат о шифрованиях и безопасности - только реклама. На совесть делают только для себя, и это факт. А если уже так сделано, то поверьте, лаве на этом зарабатывать не станут. + в нашем случае требования к соединению, хотя оно того стоит, акцент на безопасность сделан.
А то, о чем пишут разработчики скайпа(ну просто панацея общения блин!), во многом преувеличение.