Skype – bezpečnost a soukromí (1.)

Výrobce Skype prohlašuje, že hovory jsou silně šifrovány, ovšem zároveň v oficiální politice soukromí připouští právně podložené odposlechy. Může být soukromí hovorů se Skype nakonec dokonce horší, než je u běžných telefonních linek? Jaké jsou výsledky podrobných testů Skype na počítači, s kým Skype komunikuje a kam zapisuje?

reklama

Tento článek volně navazuje na úvodní seznamovací část a zabývá se bezpečnostními záležitostmi Skype. Řada informací pochází z vlastních testů.

K testování Skype jsem přistoupil asi jako biolog, který obdrží ampuli ze zdroje, u něhož lze předpokládat, že obsahuje mutaci viru Ebola. Provedl jsem rešerši webově dostupné literatury, z níž tu doporučeníhodnou uvádím v souvisejících odkazech. Na testování jsem vyhradil samostatný počítač s čerstvě nainstalovaným operačním systémem Windows 2000 (Workstation CZ), který jsem ihned obsadil bezpečnostním softwarem (personální firewall + 2× antispyware):

Pro sledování změn souborů a registrů, které Skype vyvolá, jsem použil utility:

V LAN byl kromě Skype připojen již jen počítač s analyzátorem Frontline Ethertest R3.30 pro analýzu ethernetového provozu. LAN byla připojena přes bránu s překladem adres NAT a SPI-firewallem (Zyxel) k xDSL lince 512/128 kbit/s (Telenor/SkyNet) s jednou veřejnou statickou IP adresou. Při testech byl mým komunikačním protějškem jiný uživatel na ADSL (Český Telecom/GTS) 512/128 kbit/s.

Sledování změn a provozu jsem předem metodicky rozdělil do čtyř fází: instalace, konfigurace, volání, deinstalace.

Slepé cesty experimentu

Prakticky se mi testování dařilo méně, než jsem doufal. Předně se můj ethernetový hub ukázal být inteligentnějším, než bych si byl právě přál – paketový analyzátor zachytil pouze broadcasty, zbylé pakety šly nejspíš pouze do té ethernetové zásuvky, jejíž MAC adresu si u ní zaregistroval. Analýzu paketů jsem proto prováděl až náhradně při druhém pokusu na jiném hubu.

Také jsem podcenil „minimální požadovanou konfiguraci“ specifikovanou výrobcem, která je Pentium II – 400 MHz. Mé pokusné PC mělo pouze 233 MHz. Protože ve studii [PDF, 286 kB] úspěšně použili PII – 200 MHz, doufal jsem, že výrobce raději mírně přehání. Výsledný hovor pak byl ale plný škrchání a skřeků na samé hranici srozumitelnosti, signalizace se hroutila, neboť s hovorem šlo zároveň i vyzvánění atp. Pečlivě sledované (až na ty pakety) první kolo pokusů nicméně ukázalo, že se Skype chová na PC poměrně rozumně, takže jsem ho při druhém testu pustil na další stroj, který uvedené specifikaci právě vyhovuje. Z druhého PC se pak již telefonovat celkem dalo a provedl jsem úspěšně i záznamy jeho síťového provozu.

Jiné obtíže sledování plynou z toho, že pokud (bez debuggeru apod.) sledujete změny na PC prováděné jedním programem, neměli byste raději ani dýchat na monitor. Jakákoliv hloupá aktivita se vám celkem jistě někde projeví a musíte pak hádat, zda jste ji způsobil sám, nebo sledovaný program. Pouhé nastavování hlasitosti vám přehází různé klíče v registrech, položky kmixer, jedno spuštění prohlížeče vede k dalekosáhlým změnám různých uložených hodnot Internet Exploreru, mění se položky nedávno otevřených souborů, při marném odstraňování chrapotu z linky zadáním adres „lepších serverů DNS“ se přehází záznamy síťové konfigurace, dojmem losování sportky pak působí přerovnávání preferencí po spuštění programu ze systémového menu atd.

Vcelku lze říci, že na konci pokusu bych věděl rozhodně lépe, jak ho znovu správněji provést, ale z důvodů časových a obecné „měňavosti“ Skype jsem systematicky perfektní druhé kolo vzdal. Zřejmě z čiré potměšilosti v mezidobí asi dvou dnů mezi instalacemi na můj první a druhý počítač došlo k vypuštění nové verze 1.3, jež bude pro české uživatele zajímavá hlavně asi tím, že nově obsahuje i verzi českého uživatelského rozhraní.

Máte-li někdo zájem o mnou sestavený 18stránkový žurnál změn, které Skype v1.2.0.48 (pochybuji, že v1.3 bude výrazně jiná) na počítači působí, napište mi o něj individuálně! Nezávislá podrobná analýza provozu Skype (včetně režimů supernode atd.) by byla hezkým tématem např. pro akademickou práci.

Co je skutečně nutné vyplnit

Pokud nehodláte vstoupit s výrobcem Skype do smluvního vztahu kvůli jeho nadstavbovým službám, můžete svému soukromí mírně napomoci tím, že místo svého pravého jména použijete vhodnou přezdívku. O zadání „Skype Name“ budete požádáni při prvním spuštění programu. Skype ověří, že jméno je v rámci sítě Skype jedinečné. Jméno nesmí obsahovat mezery a obecně jím může být nějaký řetězec začínající písmenem, jako je „abraka2dabra“. Zároveň musíte k tomuto jménu zadat heslo.

1732
Obr. 1 – Skype Name + heslo = vaše identita v síti Skype

Všechny další údaje navíc jsou již dobrovolné.

Můžete zadat svou e-mailovou adresu – Skype tvrdí, že v globálním indexu se uchovává pouze její zašifrovaná hodnota; kdokoliv přesně zná vaši e-mailovou adresu, může následně ihned zjistit vaše volací jméno ve Skype. Jsem mírně skeptický k tomu, jak dokonale Skype vaši e-mailovou adresu chrání – v globálním indexu se rozhodně nenachází jen čistě hašovaná hodnota elektronické adresy (viz obrázek 2 v článku o hašovacích funkcích), ani HMAC, poštovní adresa je pouze nějak zašifrovaná. Důvody tohoto závěru jsou uvedeny níže.

Další údaje (kromě fotografie „My Picture“) jsou veřejně dostupné všem dalším uživatelům Skype. Mají napomoci vašemu vyhledání jinými uživateli, ale buďte pozorní, co o sobě zveřejnit skutečně chcete. Případnou fotku potřebujete ve formátu 96×96 pixelů – JPEG, přístupná má být pouze těm uživatelům, které autorizujete (viz níže).

Skype se zpravidla používá víceméně v uzavřené komunitě, své uživatelské jméno můžete zaslat patřičným protějškům třeba elektronickou poštou, aby nemuseli hádat a hledat. Program Skype pak umožňuje sestavit si vlastní seznam kontaktů (buddy list) a z těch navíc některé „autorizovat“. Svého klienta Skype si pak můžete nastavit tak, že povolíte přijímat pouze volání od určitých kontaktů, tj. osob, které znáte. Jinak můžete svou zkušenost obohatit o volané spamy. Autorizované osoby jsou považovány za důvěryhodné a vidí i obrázek „My Picture“, pokud si ho tedy nastavíte.

Pozn.: pozor – autorizace se zpravidla provádí na základě žádosti, kterou vám protějšek (rovněž pomocí Skype) pošle, jednou provedenou autorizaci již nelze vzít zpět.

1733
Obr. 2 – Možné stručné vyplnění profilu (ve verzi 1.3 je formulář již česky)

Instalace Skype

Instalace Skype je velmi snadná. Místa instalačních a konfiguračních souborů a záznamů v registrech provedených instalátorem Skype a programem Skype rámcově odpovídají oficiální dokumentaci výrobce [PDF, 661 kB]. Můj záznam z testu je pochopitelně mnohem podrobnější, nicméně z něj nevyplývá, že by Skype prováděl nějaké vedlejší nežádoucí akce.

Soukromí hovorů

Skype uvádí, že přenášený obsah (data kodeku hovoru, přenášený soubor nebo chatové zprávy) je šifrován mezi koncovými komunikujícími nody symetrickou šifrou AES s délkou klíče 256 bitů. Účelem tohoto šifrování má být zaručení soukromí obsahu hovoru i v případě, že proudy rámců přecházejí přes supernody, a obecná odolnost proti odposlechu provozu sítě.

Vlastní výměna symetrických klíčů má probíhat pomocí RSA. Klient Skype přitom má mít klíč RSA o délce 1024 bitů, potvrzení od login serveru Skype má být též pomocí klíče RSA o délce 1536 bitů, resp. 2048 bitů u placených služeb.

Zdůrazňuji, že koncept vytvoření a práce s klíči RSA musí být významně odlišný od toho, na co jste zvyklí například z programu PGP nebo z běžných certifikátů X.509 v elektro­nické poště. Klíčová dvojice RSA se velmi pravděpodobně generuje při každém spuštění programu Skype vždy znovu a je vždy znovu certifikována login servery. Tento certifikát se možná nazývá SessionID Token (pokud se nejedná o token jednoho volání), bude nejspíš spojovat vaše volací jméno s vaším aktuálním veřejným klíčem RSA a sloužit pro veškerou následnou autentizaci v P2P provozu. Vaše veškerá úvodní autentizace tedy spočívá jen na dvojici přihlašovací jméno/heslo – volte proto silné heslo!

K síti Skype se totiž můžete přihlásit z jakéhokoliv počítače, na němž je program Skype nainstalován, aniž byste museli z původního počítače přenášet jakákoliv další data (např. certifikáty). Přihlásit se můžete i z více počítačů zároveň, příchozí hovor pak vyzvání na všech počítačích do té doby, než jej na jednom z nich „zvednete“. Pokud se domníváte, že snad by mohla být vaše konfigurační data a certifikát přetaženy z vašeho původního počítače, pak vězte, že se lze přihlásit na jiném počítači šest dnů po tom, co jste naposledy komunikovali, a původní počítače jsou přitom všechny vypnuty. Ze sítě se přitom do klienta Skype přenese vaše základní část profilu, včetně vaší e-mailové adresy, rovněž seznam všech kontaktů (sic), které vedete ve svém vypnutém klientu.

Pokud doufáte, že snad jsou data cachovaná sítí Skype šifrována pomocí vašeho přihlašovacího hesla k síti, pak o tom mírně pochybuji, neboť Skype pro případ zapomenutí hesla umožňuje požádat o jeho reset. Přitom musí provést kontrolu e-mailu (teoreticky by ještě hodnota e-mailu mohla být kryptována i hašována zvlášť) – náhodně vygenerované nové heslo vám dojde do e-mailové schránky. Mimochodem, protože e-mail chodí Internetem otevřeně, může toto nové heslo leckdo odchytit a nějakou dobu se v síti Skype snadno vydávat za vás.

Někteří považují uváděné informace o AES-256/RSA za dostačující. Navíc jsou uklidněni tím, že z „podstaty P2P sítě“ není možné centrálně zachytávat hovory mezi nody. Tím, že jsou hovory Skype šifrované, pak mají být bezpečnější než běžné hovory přes veřejnou telefonní síť, které nejsou šifrovány vůbec.

Potíž je, že tento předpoklad platí pouze tehdy, pokud je veškeré šifrování a provoz P2P implementován korektně a bez chyb. Protože to nikdo nezaručí, je naopak technicky stejně dobře možné, že:

  • síť může monitorovat seznam všech vašich volání, vytvářet mapy kontaktů a četností volání (i pokud budete sám v síti pod pseudonymem, vaše protějšky mají možnost si u vás v seznamu kontaktů uvést vaše skutečné jméno, a odtud je Skype může nakonec snadno vydolovat),
  • provoz zvolených uživatelů může být odkláněn přes supernody, které hovory a data nahrávají nebo přeposílají třetí straně,
  • klíče k použitým šifrám mohou být zaslány třetí straně pro rozluštění zachyceného provozu, nebo je použit specifický slabý klíč,
  • kvůli šifrování veškerého provozu jej není možné nezávisle kontrolovat.

Z toho pak vznikají některé spíše varovné články, jako jsou např. tento a tento [PDF, 281 kB].

Rozdíl oproti klasické telefonní síti bych tedy spatřoval spíše v rozdílu subjektu, který vás potenciálně může odposlouchávat. V obou případech si pochopitelně musíte vyhodnotit, jaká rizika z potenciálního odposlechu pro vás plynou.

obav [PDF, 281 kB] lze snad vyloučit pouze to, že by program Skype šifrovaným kanálem zanášel do firmy snadno viry. Skype [PDF, 661 kB] tvrdí, že zápisy došlých souborů na disk se provádí běžným způsobem a běžné antiviry jsou schopné v této fázi soubor zachytit stejně, jako kdyby došel například šifrovaným e-mailem.

Jiné obavy, jako např.:

  • služba může přestat být individuálně nebo hromadně dostupná,
  • selžou nebo podlehnou útoku hlavní autentizační (login) servery,

vyloučit zcela nelze. V EULA v bodě 2.5 se dokonce Skype umožňuje, aby vám vypověděl licenci bez udání důvodu, individuálně a diskriminačně. V bodě 2.4 si Skype ponechává volnost bundlovat sebe nebo do sebe jakýkoliv třetí software, ovšem se samostatnou EULA, kterou musíte samostatně schválit.

Firma Skype otázku soukromí řeší v EULA odkazem na své webové stránky, tj. Skype Privacy Statement. Zde výslovně v bodě 3 prohlašuje, že „firma Skype nesbírá jakýkoliv obsah komunikace“. Skype sbírá provozní data pro nezbytné účely služeb, jako jsou Skype-Out, a účtování o nich po potřebnou dobu.

V bodě 4 se však praví, že v případě žádosti oprávněného úřadu ohledně osobních údajů, provozních dat nebo odposlechů, Skype nebo její místní partner poskytne potřebnou asistenci a informace pro vyhovění žádosti. Takové ustanovení je přiměřené a teritoriálně jasné u běžného telefonního operátora, v případě sítě Skype však vznikají právní nejasnosti. Optimisté budou vykládat odstavec v kontextu provozu na branách Skype-Out/Skype-In, takové upřesnění se však v odstavci nenachází, ačkoliv v jiných je přítomno.

Na můj dotaz ohledně posuzování relevantnosti jurisdikce pro vyhovění žádostem v uvedených věcech došla ze Skype pouze generická odpověď s odkazem na stránky FAQ. Mea culpa, firma o 100 lidech těžko může řešit dotazy svých 40 milionů uživatelů individuálně.

Za zmínku pak již jen stojí to, že firma Skype považuje vaše osobní údaje za svá aktiva, která budou v případě jejího prodeje předmětem převodu (americký koncept vlastnictví marketingových dat). Souhlasem s EULA souhlasíte i s (většinou neviděným a do češtiny nepřeloženým) uvedeným Privacy Statement a rovněž vyslovujete souhlas se zpracováním svých osobních údajů v zahraničí. Prohlášení je jinak poměrně přiměřené.

Je ovšem také možné, že Skype pracuje zcela korektně a bezpečně, že veškerá jeho bezpečnostní a utajovací opatření (Skype např. podle této analýzy [PDF, 281 kB] detekuje přítomnost run-time debuggeru SoftICE a odmítá s ním běžet) jsou činěna pouze z komerčních důvodů ochrany kódu a protokolů Skype, jako prevence před napodobením a zapojením se do sítě. Autoři Kazaa mají s kopírováním jistě své zkušenosti. Rovněž i jim se přihodilo, že pro dřívější síť Kazaa vznikl klient Kazaa Lite, který neobsahoval jejich kýžený ad/spyware.

Adware/Spyware – Ne (aspoň zatím)

Vzhledem k minulosti autorů je hlavním bezpečnostním zájmem většiny uživatelů, zda ve Skype není adware/spyware, jaký byl v Kazaa. Firma Skype toto vehementně popírá na svých stránkách i ve veškerých dokumentech, ke kterým patří i tato dokumentace [PDF, 661 kB]. Skutečnost je, že v současnosti je Skype považován v tomto ohledu za čistý program.

Obranné programy Ad-aware a Spybot S&D na Skype ani neupozorňují. V případě neúspěchu deklarovaného business plánu může být ovšem budoucnost Skype ještě zajímavá. V článku 12.1 v EULA se ponechává možnost změnit EULA pouhým vyvěšením na webových stránkách Skype, přičemž váš souhlas se změněnou licencí je dán pouhým pokračováním používání Skype.

newsletter_lupa

       

Přesto byste měli svůj počítač proti (jinému) spyware chránit. Vždyť Skype např. vede v souborech s otevřeným html formátem historii chatu s vašimi protějšky. Chytit spyware odposlouchávající mikrofon by při telefonování i jinak také nemuselo být příjemné.

Příště se podrobněji podíváme na síťové předpoklady provozu Skype za firewallem/NAT, na provoz při volání a na kvalitu hovoru.

Hlasujte o novém designu Lupy
Nová Lupa bude v novém kabátě. I vy můžete svým hlasem rozhodnout, jak bude vypadat. Pomožte nám vybrat ten nejlepší design! Hlasovat můžete až do 27. července 2005 na adrese /design.php3

Anketa

Důvěřujete uzavřenému protokolu a aplikaci Skype?

       

Vojtěch Kment

Autor se několik let specializuje na Elektronický podpis v ČR aj. konzultace v oblasti počítačové bezpečnosti.

Školení emočního designu

  •  
    Dobrý design cíleně pracuje s emocemi uživatelů.
  • Využijte emoce jako přesvědčovací nástroj.
  • Zaujměte a přitáhněte pozornost.

Detailní informace o školení emočního designu

       
39 názorů Vstoupit do diskuse
poslední názor přidán 10. 3. 2009 10:28

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.

Zasílat nově přidané příspěvky e-mailem