首頁>>廠商>>VoIP設(shè)備廠商>>skype

專訪Skype CSO:Skype存在安全威脅嗎?

2007/07/27

  2006年12月,某網(wǎng)絡(luò)安全公司發(fā)布警報,稱一種病毒正通過Skype網(wǎng)絡(luò)電話傳播。最后經(jīng)過證實(shí),這只不過是虛驚一場。

  7月23國際報道 2006年12月,某網(wǎng)絡(luò)安全公司發(fā)布警報,稱一種病毒正通過Skype網(wǎng)絡(luò)電話傳播。最后經(jīng)過證實(shí),這只不過是虛驚一場。

  據(jù)Skype首席安全官Kurt Sauer說,現(xiàn)在還沒有病毒通過Skype網(wǎng)絡(luò)電話傳播,主要是由于安全專家們在該軟件上做出了不懈努力,所以其防御性能極為強(qiáng)健。但這并不意味Skype(已被eBay收購)就不需要做安全工作了。

  Sauer說,公司正打算整合支付功能,顯然這是需要安全保護(hù)的。他還透露,Skype正和其他安全公司洽談,希望能給軟件加上插件以保護(hù)基于文本方式的通信安全。

  Skype常被描述為優(yōu)秀安全性的寵兒,因?yàn)槭褂盟鼡艽虻碾娫挾际羌用艿,而且不使用被極易受互聯(lián)網(wǎng)攻擊的中央服務(wù)器。然而,這個應(yīng)用程序也給許多IT管理員帶來了麻煩,即使企業(yè)網(wǎng)絡(luò)設(shè)定了很堅(jiān)固的防火墻控制規(guī)則,可它還是會有漏洞可鉆。

  日前,Sauer隨首席運(yùn)營官M(fèi)ichael Jackson一起參加了CNET News.com的采訪。

  記者:作為Skype首席安全官,您工作的內(nèi)容有哪些?

  Kurt Sauer:我是2003年前來到Skype公司的。之前我曾在Sun Microsystems公司,主要從事對等驗(yàn)證工作的研究。在Skype,我的工作是對Skype客戶端已存在的加密方法進(jìn)行審核。從此,我就擔(dān)當(dāng)了Skype家族產(chǎn)品安全體系總監(jiān)察的角色。之后,我還負(fù)責(zé)對安全漏洞事件進(jìn)行處理。自從被eBay收購后,薩班斯法案(Sarbanes-Oxley)的遵從性考查等安全事務(wù)也成了我的職責(zé)之一。

  記者:Skype客戶端的安全漏洞問題占多少比重?

  Kurt Sauer:我們有許多人員會處理大量的具體細(xì)節(jié)。我一半時間用于產(chǎn)品安全體系的研究和產(chǎn)品性能方面的控制,另外一半時間則用于考查各種法規(guī)遵從問題。

  記者:您是否遇到過利用Skype客戶端漏洞的惡意事件?Skype用戶是否曾遭到過網(wǎng)絡(luò)攻擊?

  Kurt Sauer:我們還沒有發(fā)現(xiàn)任何針對Skype漏洞的攻擊。雖然漏洞可分為多個不同種類,但我們至今沒有發(fā)現(xiàn)Skype產(chǎn)品中含有可以讓蠕蟲和病毒自我復(fù)制的易感單元。相反,出現(xiàn)的問題一般都是一次性的,可能偶爾會導(dǎo)致Skype不響應(yīng),但僅此而已。

  記者:現(xiàn)在已經(jīng)發(fā)現(xiàn)了一些和Skype鏈接有關(guān)的缺陷,點(diǎn)擊某個惡意鏈接就可能危及個人電腦的安全。這些問題是否都會有人私下向您報告?

  Kurt Sauer:是的。我在Sun工作的時候有過從事安全漏洞反饋的經(jīng)歷。以我的這些經(jīng)驗(yàn),我想帶給Skype的是一種和漏洞報告者之間透明化的交流。如果要讓安全研究社區(qū)(security researcher community)失去價值,一個辦法就是含糊其辭,不給他們?nèi)魏畏答。有些研究者不想和你有口頭交流,但是只要他們想要對話,我們就會滿足他們。

  記者:就Skype代碼的穩(wěn)健性看,您是否認(rèn)為從您來到公司后,它們變得更加完美了?

  Kurt Sauer:大約三年前的時候,我們在質(zhì)量擔(dān)保方面存有一些問題。我們努力進(jìn)行代碼測試和模塊測試以改善代碼質(zhì)量。一年前和兩年前之間的那段時間,實(shí)際就是我們對實(shí)際代碼開發(fā)進(jìn)行優(yōu)化的時期。

  記者:有很多過程可用來確保軟件出品的時候瑕疵盡可能的少,您感覺這些過程你們都建立了嗎?

  Kurt Sauer:我認(rèn)為所有的企業(yè)都擅長學(xué)習(xí)。我不認(rèn)為我們是軟件工程方面的完美企業(yè)。每添加一層控制,就需要一定的成本和時間。我們必須合理決定在產(chǎn)品開發(fā)周期中投入多少資金。我認(rèn)為我們永遠(yuǎn)也不能說,在產(chǎn)品的質(zhì)量保證上已經(jīng)做得非常完美了。不過,進(jìn)行同級評審是預(yù)防劣質(zhì)代碼的最有效方法之一,因?yàn)槿藗兛偸遣辉敢庾屚驴吹阶约簩懙拇a。

  記者:代碼缺陷不是用戶遭遇攻擊的唯一原因。我們已經(jīng)看到蠕蟲會鉆入所有流行即時通訊工具中。那么它對Skype是否也構(gòu)成同樣威脅?

  Kurt Sauer:但我還沒有看到Skype受到任何蠕蟲的感染。你無法通過聊天窗口發(fā)送可執(zhí)行代碼。即時通訊軟件必須要做的大量工作就是設(shè)法保護(hù)用戶,防止由鏈接激活對瀏覽器的攻擊。這方面我們已進(jìn)行了深遠(yuǎn)考慮,正在尋求和反病毒軟件供應(yīng)商的合作機(jī)會。

  Symantec和McAfee都擁有對鏈接進(jìn)行風(fēng)險評測的產(chǎn)品。如果我們讓第三方的專業(yè)應(yīng)用程序?qū)χT如鏈接等對象進(jìn)行風(fēng)險評估,幫助用戶作出合適的選擇,那也將是一件很有意義的事情。對此我們也在進(jìn)行積極的討論。

  記者:有安全專家預(yù)測,Skype可以被黑客用作遠(yuǎn)程控制被感染計(jì)算機(jī)網(wǎng)絡(luò)或者僵尸網(wǎng)絡(luò)的工具。是否確有此事?

  Kurt Sauer:我沒有見過此事,但你的確可以使用Skype進(jìn)行程序與程序間的互發(fā)消息。但是你肯定不能那么做,我們還沒看到那種情況真實(shí)發(fā)生。我們可以認(rèn)為Skype客戶端擁有充分的控制手段,能對自動傳播等行為加以阻止。例如,除非得到了你的授權(quán),否則我是無法向你發(fā)送文件的。

  記者:您是否看到過以Skype為攻擊目標(biāo)的惡意軟件的電子模型嗎?

  Kurt Sauer:過去我們的一些安全研究員對某些模型進(jìn)行了探討。只不過是些簡單的想法,但我們有規(guī)定不便泄露。

  記者:有些人把Skype本身看作是一種安全威脅,尤其是在受控的企業(yè)環(huán)境下。即使IT人員試圖通過防火墻阻止,Skype還是可以輕松溜過。Skype存在安全威脅嗎?

  Kurt Sauer:那就是我們最新的《網(wǎng)絡(luò)管理員指南》和Skype 3.0重點(diǎn)要解決的問題。它們將向IT管理員提交控制權(quán),讓他們以自己的方式定義網(wǎng)絡(luò)。許多管理員反對用戶在桌面電腦上安裝Skype,比如eBay,F(xiàn)在想來我們能成功并購真是十分有意思。我突然闖入,就此事和他們的IT人員交涉,他們差點(diǎn)暈到,因?yàn)樗麄儗kype十分懼怕。eBay對我們來說是一個很好的學(xué)習(xí)機(jī)會,我們看到了一個非Skype的公司如何將Skype應(yīng)用到自己的業(yè)務(wù)中。不過eBay強(qiáng)烈表示要推出相應(yīng)策略并加以實(shí)施。

  記者:您說到了加密,甚至某些國家對此都很感興趣,因?yàn)樗麄兿胍刂普趥鬟f的是什么樣的信息。您如何處理它,您是否給過某人Skype的密鑰?

  Kurt Sauer:因?yàn)槲覀冏约阂矝]有密鑰,所以我們不可能把它們送給任何人。

  記者:那么說,您也無法監(jiān)聽我的Skype呼叫了?

  Kurt Sauer:Skype的工作方式是:在交談各方之間形成安全通道,并由他們生成密鑰,不是由Skype生成密鑰。

  記者:那么問題的答案是——就算是您也無法監(jiān)聽別人的Skype電話?

  Kurt Sauer:我們要說的是,我們要提供的是一種安全溝通的體驗(yàn)。我不會告訴你我們到底能不能監(jiān)聽到別人的電話。

  記者:您也不會給政府或者其他機(jī)構(gòu)和公司提供一種偷聽別人Skype網(wǎng)絡(luò)交談的途徑?

  Kurt Sauer:我們不會。

  記者:Skype不斷推出更多付費(fèi)服務(wù),比如呼叫普通座機(jī)。最近我聽到了Skype用戶的一些抱怨之聲,稱他們的信用卡雖然很正規(guī),但還是不為Skype所接受。你們是否遭遇了許多的欺詐事件?

  Kurt Sauer:任何人出售的無形有價產(chǎn)品都是制假的目標(biāo)。我有朋友也跟我探討過這類事情。我們不會公開實(shí)施措施,這是我們的保護(hù)機(jī)制。我也不能告訴你我們對信用卡進(jìn)行保護(hù)的精確辦法是什么,但我可以這樣說,如果你打算在許多賬號上使用同一張信用卡,Skype很可能就不會讓你得逞。

  記者:欺詐案件有增加嗎?它是否是你們首要關(guān)注的事情?

  Kurt Sauer:不得不關(guān)注,就像心里總有個疙瘩。我們有反欺騙算法去跟蹤想要詐騙我們的用戶,但它也會誤抓許多誠實(shí)的用戶。這就影響到了我們的業(yè)務(wù),要把持這個度很不容易。我們失去了很多良好交易機(jī)會,也失去了很多普通用戶。

  記者:圍繞Skype和安全性,你們最重視的是什么?什么最讓你們寢食難安?

  Kurt Sauer:如果說最讓我寢食難安的,那就是未來的發(fā)展策略。我們啟動了許多新項(xiàng)目。我們不停討論很多事情,比如添加向Skype轉(zhuǎn)賬的功能等。這些都是新的領(lǐng)域,也會帶來新的消費(fèi)風(fēng)險,所以我們的工程組必須倍加努力,保證我們所做的事情一定都會有大宗客戶加入。

  個人簡介

  作為Skype公司首席安全官,Kurt Sauer主要負(fù)責(zé)通過Skype平臺傳輸?shù)耐ㄐ欧⻊?wù)的可靠性。

  再2004年加入Skype之前,Sauer先生Sun Microsystems公司歐洲研究實(shí)驗(yàn)室的主要網(wǎng)路安全架構(gòu)師(Principal Network Security Architect)。同時,他還是ACM、IEEE、Mensa和FIRST的成員。Sauer先生獲得了得克薩斯A&M大學(xué)(Texas A&M University)計(jì)算機(jī)工程學(xué)(Computer Engineering)學(xué)士學(xué)位,還會說一口流利的英語和法語。

CNET科技資訊網(wǎng)(www.cnetnews.com.cn)


相關(guān)鏈接:
eBay:Skype交易即將完成 不受訴訟影響 2009-09-24
skype取消“一國通”套餐 用戶電話資費(fèi)猛漲 2009-09-18
Skype難獲技術(shù)控制權(quán) 前途未卜 2009-09-07
eBay以20億美元出售網(wǎng)絡(luò)電話 2009-09-03
賽門鐵克發(fā)現(xiàn)可竊聽Skype通訊木馬 2009-09-01

分類信息: