首頁(yè)>>廠商>>VoIP設(shè)備廠商>>skype

專訪Skype CSO:Skype存在安全威脅嗎?

2007/07/27

  2006年12月,某網(wǎng)絡(luò)安全公司發(fā)布警報(bào),稱一種病毒正通過(guò)Skype網(wǎng)絡(luò)電話傳播。最后經(jīng)過(guò)證實(shí),這只不過(guò)是虛驚一場(chǎng)。

  7月23國(guó)際報(bào)道 2006年12月,某網(wǎng)絡(luò)安全公司發(fā)布警報(bào),稱一種病毒正通過(guò)Skype網(wǎng)絡(luò)電話傳播。最后經(jīng)過(guò)證實(shí),這只不過(guò)是虛驚一場(chǎng)。

  據(jù)Skype首席安全官Kurt Sauer說(shuō),現(xiàn)在還沒有病毒通過(guò)Skype網(wǎng)絡(luò)電話傳播,主要是由于安全專家們?cè)谠撥浖献龀隽瞬恍概,所以其防御性能極為強(qiáng)健。但這并不意味Skype(已被eBay收購(gòu))就不需要做安全工作了。

  Sauer說(shuō),公司正打算整合支付功能,顯然這是需要安全保護(hù)的。他還透露,Skype正和其他安全公司洽談,希望能給軟件加上插件以保護(hù)基于文本方式的通信安全。

  Skype常被描述為優(yōu)秀安全性的寵兒,因?yàn)槭褂盟鼡艽虻碾娫挾际羌用艿,而且不使用被極易受互聯(lián)網(wǎng)攻擊的中央服務(wù)器。然而,這個(gè)應(yīng)用程序也給許多IT管理員帶來(lái)了麻煩,即使企業(yè)網(wǎng)絡(luò)設(shè)定了很堅(jiān)固的防火墻控制規(guī)則,可它還是會(huì)有漏洞可鉆。

  日前,Sauer隨首席運(yùn)營(yíng)官M(fèi)ichael Jackson一起參加了CNET News.com的采訪。

  記者:作為Skype首席安全官,您工作的內(nèi)容有哪些?

  Kurt Sauer:我是2003年前來(lái)到Skype公司的。之前我曾在Sun Microsystems公司,主要從事對(duì)等驗(yàn)證工作的研究。在Skype,我的工作是對(duì)Skype客戶端已存在的加密方法進(jìn)行審核。從此,我就擔(dān)當(dāng)了Skype家族產(chǎn)品安全體系總監(jiān)察的角色。之后,我還負(fù)責(zé)對(duì)安全漏洞事件進(jìn)行處理。自從被eBay收購(gòu)后,薩班斯法案(Sarbanes-Oxley)的遵從性考查等安全事務(wù)也成了我的職責(zé)之一。

  記者:Skype客戶端的安全漏洞問(wèn)題占多少比重?

  Kurt Sauer:我們有許多人員會(huì)處理大量的具體細(xì)節(jié)。我一半時(shí)間用于產(chǎn)品安全體系的研究和產(chǎn)品性能方面的控制,另外一半時(shí)間則用于考查各種法規(guī)遵從問(wèn)題。

  記者:您是否遇到過(guò)利用Skype客戶端漏洞的惡意事件?Skype用戶是否曾遭到過(guò)網(wǎng)絡(luò)攻擊?

  Kurt Sauer:我們還沒有發(fā)現(xiàn)任何針對(duì)Skype漏洞的攻擊。雖然漏洞可分為多個(gè)不同種類,但我們至今沒有發(fā)現(xiàn)Skype產(chǎn)品中含有可以讓蠕蟲和病毒自我復(fù)制的易感單元。相反,出現(xiàn)的問(wèn)題一般都是一次性的,可能偶爾會(huì)導(dǎo)致Skype不響應(yīng),但僅此而已。

  記者:現(xiàn)在已經(jīng)發(fā)現(xiàn)了一些和Skype鏈接有關(guān)的缺陷,點(diǎn)擊某個(gè)惡意鏈接就可能危及個(gè)人電腦的安全。這些問(wèn)題是否都會(huì)有人私下向您報(bào)告?

  Kurt Sauer:是的。我在Sun工作的時(shí)候有過(guò)從事安全漏洞反饋的經(jīng)歷。以我的這些經(jīng)驗(yàn),我想帶給Skype的是一種和漏洞報(bào)告者之間透明化的交流。如果要讓安全研究社區(qū)(security researcher community)失去價(jià)值,一個(gè)辦法就是含糊其辭,不給他們?nèi)魏畏答。有些研究者不想和你有口頭交流,但是只要他們想要對(duì)話,我們就會(huì)滿足他們。

  記者:就Skype代碼的穩(wěn)健性看,您是否認(rèn)為從您來(lái)到公司后,它們變得更加完美了?

  Kurt Sauer:大約三年前的時(shí)候,我們?cè)谫|(zhì)量擔(dān)保方面存有一些問(wèn)題。我們努力進(jìn)行代碼測(cè)試和模塊測(cè)試以改善代碼質(zhì)量。一年前和兩年前之間的那段時(shí)間,實(shí)際就是我們對(duì)實(shí)際代碼開發(fā)進(jìn)行優(yōu)化的時(shí)期。

  記者:有很多過(guò)程可用來(lái)確保軟件出品的時(shí)候瑕疵盡可能的少,您感覺這些過(guò)程你們都建立了嗎?

  Kurt Sauer:我認(rèn)為所有的企業(yè)都擅長(zhǎng)學(xué)習(xí)。我不認(rèn)為我們是軟件工程方面的完美企業(yè)。每添加一層控制,就需要一定的成本和時(shí)間。我們必須合理決定在產(chǎn)品開發(fā)周期中投入多少資金。我認(rèn)為我們永遠(yuǎn)也不能說(shuō),在產(chǎn)品的質(zhì)量保證上已經(jīng)做得非常完美了。不過(guò),進(jìn)行同級(jí)評(píng)審是預(yù)防劣質(zhì)代碼的最有效方法之一,因?yàn)槿藗兛偸遣辉敢庾屚驴吹阶约簩懙拇a。

  記者:代碼缺陷不是用戶遭遇攻擊的唯一原因。我們已經(jīng)看到蠕蟲會(huì)鉆入所有流行即時(shí)通訊工具中。那么它對(duì)Skype是否也構(gòu)成同樣威脅?

  Kurt Sauer:但我還沒有看到Skype受到任何蠕蟲的感染。你無(wú)法通過(guò)聊天窗口發(fā)送可執(zhí)行代碼。即時(shí)通訊軟件必須要做的大量工作就是設(shè)法保護(hù)用戶,防止由鏈接激活對(duì)瀏覽器的攻擊。這方面我們已進(jìn)行了深遠(yuǎn)考慮,正在尋求和反病毒軟件供應(yīng)商的合作機(jī)會(huì)。

  Symantec和McAfee都擁有對(duì)鏈接進(jìn)行風(fēng)險(xiǎn)評(píng)測(cè)的產(chǎn)品。如果我們讓第三方的專業(yè)應(yīng)用程序?qū)χT如鏈接等對(duì)象進(jìn)行風(fēng)險(xiǎn)評(píng)估,幫助用戶作出合適的選擇,那也將是一件很有意義的事情。對(duì)此我們也在進(jìn)行積極的討論。

  記者:有安全專家預(yù)測(cè),Skype可以被黑客用作遠(yuǎn)程控制被感染計(jì)算機(jī)網(wǎng)絡(luò)或者僵尸網(wǎng)絡(luò)的工具。是否確有此事?

  Kurt Sauer:我沒有見過(guò)此事,但你的確可以使用Skype進(jìn)行程序與程序間的互發(fā)消息。但是你肯定不能那么做,我們還沒看到那種情況真實(shí)發(fā)生。我們可以認(rèn)為Skype客戶端擁有充分的控制手段,能對(duì)自動(dòng)傳播等行為加以阻止。例如,除非得到了你的授權(quán),否則我是無(wú)法向你發(fā)送文件的。

  記者:您是否看到過(guò)以Skype為攻擊目標(biāo)的惡意軟件的電子模型嗎?

  Kurt Sauer:過(guò)去我們的一些安全研究員對(duì)某些模型進(jìn)行了探討。只不過(guò)是些簡(jiǎn)單的想法,但我們有規(guī)定不便泄露。

  記者:有些人把Skype本身看作是一種安全威脅,尤其是在受控的企業(yè)環(huán)境下。即使IT人員試圖通過(guò)防火墻阻止,Skype還是可以輕松溜過(guò)。Skype存在安全威脅嗎?

  Kurt Sauer:那就是我們最新的《網(wǎng)絡(luò)管理員指南》和Skype 3.0重點(diǎn)要解決的問(wèn)題。它們將向IT管理員提交控制權(quán),讓他們以自己的方式定義網(wǎng)絡(luò)。許多管理員反對(duì)用戶在桌面電腦上安裝Skype,比如eBay,F(xiàn)在想來(lái)我們能成功并購(gòu)真是十分有意思。我突然闖入,就此事和他們的IT人員交涉,他們差點(diǎn)暈到,因?yàn)樗麄儗?duì)Skype十分懼怕。eBay對(duì)我們來(lái)說(shuō)是一個(gè)很好的學(xué)習(xí)機(jī)會(huì),我們看到了一個(gè)非Skype的公司如何將Skype應(yīng)用到自己的業(yè)務(wù)中。不過(guò)eBay強(qiáng)烈表示要推出相應(yīng)策略并加以實(shí)施。

  記者:您說(shuō)到了加密,甚至某些國(guó)家對(duì)此都很感興趣,因?yàn)樗麄兿胍刂普趥鬟f的是什么樣的信息。您如何處理它,您是否給過(guò)某人Skype的密鑰?

  Kurt Sauer:因?yàn)槲覀冏约阂矝]有密鑰,所以我們不可能把它們送給任何人。

  記者:那么說(shuō),您也無(wú)法監(jiān)聽我的Skype呼叫了?

  Kurt Sauer:Skype的工作方式是:在交談各方之間形成安全通道,并由他們生成密鑰,不是由Skype生成密鑰。

  記者:那么問(wèn)題的答案是——就算是您也無(wú)法監(jiān)聽別人的Skype電話?

  Kurt Sauer:我們要說(shuō)的是,我們要提供的是一種安全溝通的體驗(yàn)。我不會(huì)告訴你我們到底能不能監(jiān)聽到別人的電話。

  記者:您也不會(huì)給政府或者其他機(jī)構(gòu)和公司提供一種偷聽別人Skype網(wǎng)絡(luò)交談的途徑?

  Kurt Sauer:我們不會(huì)。

  記者:Skype不斷推出更多付費(fèi)服務(wù),比如呼叫普通座機(jī)。最近我聽到了Skype用戶的一些抱怨之聲,稱他們的信用卡雖然很正規(guī),但還是不為Skype所接受。你們是否遭遇了許多的欺詐事件?

  Kurt Sauer:任何人出售的無(wú)形有價(jià)產(chǎn)品都是制假的目標(biāo)。我有朋友也跟我探討過(guò)這類事情。我們不會(huì)公開實(shí)施措施,這是我們的保護(hù)機(jī)制。我也不能告訴你我們對(duì)信用卡進(jìn)行保護(hù)的精確辦法是什么,但我可以這樣說(shuō),如果你打算在許多賬號(hào)上使用同一張信用卡,Skype很可能就不會(huì)讓你得逞。

  記者:欺詐案件有增加嗎?它是否是你們首要關(guān)注的事情?

  Kurt Sauer:不得不關(guān)注,就像心里總有個(gè)疙瘩。我們有反欺騙算法去跟蹤想要詐騙我們的用戶,但它也會(huì)誤抓許多誠(chéng)實(shí)的用戶。這就影響到了我們的業(yè)務(wù),要把持這個(gè)度很不容易。我們失去了很多良好交易機(jī)會(huì),也失去了很多普通用戶。

  記者:圍繞Skype和安全性,你們最重視的是什么?什么最讓你們寢食難安?

  Kurt Sauer:如果說(shuō)最讓我寢食難安的,那就是未來(lái)的發(fā)展策略。我們啟動(dòng)了許多新項(xiàng)目。我們不停討論很多事情,比如添加向Skype轉(zhuǎn)賬的功能等。這些都是新的領(lǐng)域,也會(huì)帶來(lái)新的消費(fèi)風(fēng)險(xiǎn),所以我們的工程組必須倍加努力,保證我們所做的事情一定都會(huì)有大宗客戶加入。

  個(gè)人簡(jiǎn)介

  作為Skype公司首席安全官,Kurt Sauer主要負(fù)責(zé)通過(guò)Skype平臺(tái)傳輸?shù)耐ㄐ欧⻊?wù)的可靠性。

  再2004年加入Skype之前,Sauer先生Sun Microsystems公司歐洲研究實(shí)驗(yàn)室的主要網(wǎng)路安全架構(gòu)師(Principal Network Security Architect)。同時(shí),他還是ACM、IEEE、Mensa和FIRST的成員。Sauer先生獲得了得克薩斯A&M大學(xué)(Texas A&M University)計(jì)算機(jī)工程學(xué)(Computer Engineering)學(xué)士學(xué)位,還會(huì)說(shuō)一口流利的英語(yǔ)和法語(yǔ)。

CNET科技資訊網(wǎng)(www.cnetnews.com.cn)


相關(guān)鏈接:
eBay:Skype交易即將完成 不受訴訟影響 2009-09-24
skype取消“一國(guó)通”套餐 用戶電話資費(fèi)猛漲 2009-09-18
Skype難獲技術(shù)控制權(quán) 前途未卜 2009-09-07
eBay以20億美元出售網(wǎng)絡(luò)電話 2009-09-03
賽門鐵克發(fā)現(xiàn)可竊聽Skype通訊木馬 2009-09-01

分類信息: