專(zhuān)訪(fǎng)Skype CSO:Skype存在安全威脅嗎?
2007/07/27
2006年12月,某網(wǎng)絡(luò )安全公司發(fā)布警報,稱(chēng)一種病毒正通過(guò)Skype網(wǎng)絡(luò )電話(huà)傳播。最后經(jīng)過(guò)證實(shí),這只不過(guò)是虛驚一場(chǎng)。
7月23國際報道 2006年12月,某網(wǎng)絡(luò )安全公司發(fā)布警報,稱(chēng)一種病毒正通過(guò)Skype網(wǎng)絡(luò )電話(huà)傳播。最后經(jīng)過(guò)證實(shí),這只不過(guò)是虛驚一場(chǎng)。
據Skype首席安全官Kurt Sauer說(shuō),現在還沒(méi)有病毒通過(guò)Skype網(wǎng)絡(luò )電話(huà)傳播,主要是由于安全專(zhuān)家們在該軟件上做出了不懈努力,所以其防御性能極為強健。但這并不意味Skype(已被eBay收購)就不需要做安全工作了。
Sauer說(shuō),公司正打算整合支付功能,顯然這是需要安全保護的。他還透露,Skype正和其他安全公司洽談,希望能給軟件加上插件以保護基于文本方式的通信安全。
Skype常被描述為優(yōu)秀安全性的寵兒,因為使用它撥打的電話(huà)都是加密的,而且不使用被極易受互聯(lián)網(wǎng)攻擊的中央服務(wù)器。然而,這個(gè)應用程序也給許多IT管理員帶來(lái)了麻煩,即使企業(yè)網(wǎng)絡(luò )設定了很堅固的防火墻控制規則,可它還是會(huì )有漏洞可鉆。
日前,Sauer隨首席運營(yíng)官Michael Jackson一起參加了CNET News.com的采訪(fǎng)。
記者:作為Skype首席安全官,您工作的內容有哪些?
Kurt Sauer:我是2003年前來(lái)到Skype公司的。之前我曾在Sun Microsystems公司,主要從事對等驗證工作的研究。在Skype,我的工作是對Skype客戶(hù)端已存在的加密方法進(jìn)行審核。從此,我就擔當了Skype家族產(chǎn)品安全體系總監察的角色。之后,我還負責對安全漏洞事件進(jìn)行處理。自從被eBay收購后,薩班斯法案(Sarbanes-Oxley)的遵從性考查等安全事務(wù)也成了我的職責之一。
記者:Skype客戶(hù)端的安全漏洞問(wèn)題占多少比重?
Kurt Sauer:我們有許多人員會(huì )處理大量的具體細節。我一半時(shí)間用于產(chǎn)品安全體系的研究和產(chǎn)品性能方面的控制,另外一半時(shí)間則用于考查各種法規遵從問(wèn)題。
記者:您是否遇到過(guò)利用Skype客戶(hù)端漏洞的惡意事件?Skype用戶(hù)是否曾遭到過(guò)網(wǎng)絡(luò )攻擊?
Kurt Sauer:我們還沒(méi)有發(fā)現任何針對Skype漏洞的攻擊。雖然漏洞可分為多個(gè)不同種類(lèi),但我們至今沒(méi)有發(fā)現Skype產(chǎn)品中含有可以讓蠕蟲(chóng)和病毒自我復制的易感單元。相反,出現的問(wèn)題一般都是一次性的,可能偶爾會(huì )導致Skype不響應,但僅此而已。
記者:現在已經(jīng)發(fā)現了一些和Skype鏈接有關(guān)的缺陷,點(diǎn)擊某個(gè)惡意鏈接就可能危及個(gè)人電腦的安全。這些問(wèn)題是否都會(huì )有人私下向您報告?
Kurt Sauer:是的。我在Sun工作的時(shí)候有過(guò)從事安全漏洞反饋的經(jīng)歷。以我的這些經(jīng)驗,我想帶給Skype的是一種和漏洞報告者之間透明化的交流。如果要讓安全研究社區(security
researcher community)失去價(jià)值,一個(gè)辦法就是含糊其辭,不給他們任何反饋。有些研究者不想和你有口頭交流,但是只要他們想要對話(huà),我們就會(huì )滿(mǎn)足他們。
記者:就Skype代碼的穩健性看,您是否認為從您來(lái)到公司后,它們變得更加完美了?
Kurt Sauer:大約三年前的時(shí)候,我們在質(zhì)量擔保方面存有一些問(wèn)題。我們努力進(jìn)行代碼測試和模塊測試以改善代碼質(zhì)量。一年前和兩年前之間的那段時(shí)間,實(shí)際就是我們對實(shí)際代碼開(kāi)發(fā)進(jìn)行優(yōu)化的時(shí)期。
記者:有很多過(guò)程可用來(lái)確保軟件出品的時(shí)候瑕疵盡可能的少,您感覺(jué)這些過(guò)程你們都建立了嗎?
Kurt Sauer:我認為所有的企業(yè)都擅長(cháng)學(xué)習。我不認為我們是軟件工程方面的完美企業(yè)。每添加一層控制,就需要一定的成本和時(shí)間。我們必須合理決定在產(chǎn)品開(kāi)發(fā)周期中投入多少資金。我認為我們永遠也不能說(shuō),在產(chǎn)品的質(zhì)量保證上已經(jīng)做得非常完美了。不過(guò),進(jìn)行同級評審是預防劣質(zhì)代碼的最有效方法之一,因為人們總是不愿意讓同事看到自己寫(xiě)的代碼。
記者:代碼缺陷不是用戶(hù)遭遇攻擊的唯一原因。我們已經(jīng)看到蠕蟲(chóng)會(huì )鉆入所有流行即時(shí)通訊工具中。那么它對Skype是否也構成同樣威脅?
Kurt Sauer:但我還沒(méi)有看到Skype受到任何蠕蟲(chóng)的感染。你無(wú)法通過(guò)聊天窗口發(fā)送可執行代碼。即時(shí)通訊軟件必須要做的大量工作就是設法保護用戶(hù),防止由鏈接激活對瀏覽器的攻擊。這方面我們已進(jìn)行了深遠考慮,正在尋求和反病毒軟件供應商的合作機會(huì )。
Symantec和McAfee都擁有對鏈接進(jìn)行風(fēng)險評測的產(chǎn)品。如果我們讓第三方的專(zhuān)業(yè)應用程序對諸如鏈接等對象進(jìn)行風(fēng)險評估,幫助用戶(hù)作出合適的選擇,那也將是一件很有意義的事情。對此我們也在進(jìn)行積極的討論。
記者:有安全專(zhuān)家預測,Skype可以被黑客用作遠程控制被感染計算機網(wǎng)絡(luò )或者僵尸網(wǎng)絡(luò )的工具。是否確有此事?
Kurt Sauer:我沒(méi)有見(jiàn)過(guò)此事,但你的確可以使用Skype進(jìn)行程序與程序間的互發(fā)消息。但是你肯定不能那么做,我們還沒(méi)看到那種情況真實(shí)發(fā)生。我們可以認為Skype客戶(hù)端擁有充分的控制手段,能對自動(dòng)傳播等行為加以阻止。例如,除非得到了你的授權,否則我是無(wú)法向你發(fā)送文件的。
記者:您是否看到過(guò)以Skype為攻擊目標的惡意軟件的電子模型嗎?
Kurt Sauer:過(guò)去我們的一些安全研究員對某些模型進(jìn)行了探討。只不過(guò)是些簡(jiǎn)單的想法,但我們有規定不便泄露。
記者:有些人把Skype本身看作是一種安全威脅,尤其是在受控的企業(yè)環(huán)境下。即使IT人員試圖通過(guò)防火墻阻止,Skype還是可以輕松溜過(guò)。Skype存在安全威脅嗎?
Kurt Sauer:那就是我們最新的《網(wǎng)絡(luò )管理員指南》和Skype 3.0重點(diǎn)要解決的問(wèn)題。它們將向IT管理員提交控制權,讓他們以自己的方式定義網(wǎng)絡(luò )。許多管理員反對用戶(hù)在桌面電腦上安裝Skype,比如eBay。現在想來(lái)我們能成功并購真是十分有意思。我突然闖入,就此事和他們的IT人員交涉,他們差點(diǎn)暈到,因為他們對Skype十分懼怕。eBay對我們來(lái)說(shuō)是一個(gè)很好的學(xué)習機會(huì ),我們看到了一個(gè)非Skype的公司如何將Skype應用到自己的業(yè)務(wù)中。不過(guò)eBay強烈表示要推出相應策略并加以實(shí)施。
記者:您說(shuō)到了加密,甚至某些國家對此都很感興趣,因為他們想要控制正在傳遞的是什么樣的信息。您如何處理它,您是否給過(guò)某人Skype的密鑰?
Kurt Sauer:因為我們自己也沒(méi)有密鑰,所以我們不可能把它們送給任何人。
記者:那么說(shuō),您也無(wú)法監聽(tīng)我的Skype呼叫了?
Kurt Sauer:Skype的工作方式是:在交談各方之間形成安全通道,并由他們生成密鑰,不是由Skype生成密鑰。
記者:那么問(wèn)題的答案是——就算是您也無(wú)法監聽(tīng)別人的Skype電話(huà)?
Kurt Sauer:我們要說(shuō)的是,我們要提供的是一種安全溝通的體驗。我不會(huì )告訴你我們到底能不能監聽(tīng)到別人的電話(huà)。
記者:您也不會(huì )給政府或者其他機構和公司提供一種偷聽(tīng)別人Skype網(wǎng)絡(luò )交談的途徑?
Kurt Sauer:我們不會(huì )。
記者:Skype不斷推出更多付費服務(wù),比如呼叫普通座機。最近我聽(tīng)到了Skype用戶(hù)的一些抱怨之聲,稱(chēng)他們的信用卡雖然很正規,但還是不為Skype所接受。你們是否遭遇了許多的欺詐事件?
Kurt Sauer:任何人出售的無(wú)形有價(jià)產(chǎn)品都是制假的目標。我有朋友也跟我探討過(guò)這類(lèi)事情。我們不會(huì )公開(kāi)實(shí)施措施,這是我們的保護機制。我也不能告訴你我們對信用卡進(jìn)行保護的精確辦法是什么,但我可以這樣說(shuō),如果你打算在許多賬號上使用同一張信用卡,Skype很可能就不會(huì )讓你得逞。
記者:欺詐案件有增加嗎?它是否是你們首要關(guān)注的事情?
Kurt Sauer:不得不關(guān)注,就像心里總有個(gè)疙瘩。我們有反欺騙算法去跟蹤想要詐騙我們的用戶(hù),但它也會(huì )誤抓許多誠實(shí)的用戶(hù)。這就影響到了我們的業(yè)務(wù),要把持這個(gè)度很不容易。我們失去了很多良好交易機會(huì ),也失去了很多普通用戶(hù)。
記者:圍繞Skype和安全性,你們最重視的是什么?什么最讓你們寢食難安?
Kurt Sauer:如果說(shuō)最讓我寢食難安的,那就是未來(lái)的發(fā)展策略。我們啟動(dòng)了許多新項目。我們不停討論很多事情,比如添加向Skype轉賬的功能等。這些都是新的領(lǐng)域,也會(huì )帶來(lái)新的消費風(fēng)險,所以我們的工程組必須倍加努力,保證我們所做的事情一定都會(huì )有大宗客戶(hù)加入。
個(gè)人簡(jiǎn)介
作為Skype公司首席安全官,Kurt Sauer主要負責通過(guò)Skype平臺傳輸的通信服務(wù)的可靠性。
再2004年加入Skype之前,Sauer先生Sun Microsystems公司歐洲研究實(shí)驗室的主要網(wǎng)路安全架構師(Principal Network
Security Architect)。同時(shí),他還是ACM、IEEE、Mensa和FIRST的成員。Sauer先生獲得了得克薩斯A&M大學(xué)(Texas
A&M University)計算機工程學(xué)(Computer Engineering)學(xué)士學(xué)位,還會(huì )說(shuō)一口流利的英語(yǔ)和法語(yǔ)。
CNET科技資訊網(wǎng)(www.cnetnews.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
秦皇岛市|
榕江县|
通州市|
漳州市|
巴林右旗|
延川县|
长垣县|
疏附县|
封丘县|
吉安市|
永胜县|
古蔺县|
晋中市|
东乡县|
栾川县|
临高县|
宜城市|
峡江县|
鄱阳县|
卓资县|
临猗县|
克拉玛依市|
兴国县|
庆安县|
连山|
陆河县|
松溪县|
广河县|
海南省|
无棣县|
兴义市|
肇州县|
威远县|
司法|
涡阳县|
崇州市|
桑日县|
台东市|
牡丹江市|
广丰县|
金湖县|
http://444
http://444
http://444
http://444
http://444
http://444