Friday, August 29, 2008

Skype Security Risks

What are the risks of Skype in an enterprise environment? Is it good or bad? To me there is no definite answer. Let's consider different factors and see why:
  • Skype uses peer-to-peer (P2P) architecture. Many companies are very cautious about P2P, but is it really a problem in case of Skype? Not quite. It doesn't have information sharing capabilities, which is major contribution to the level of risk. And in most corporate environment it will not work as P2P due to the presence of firewall.
  • Data confidentiality matters - Skype encrypts all the traffic, and although the encryption scheme is not open (hence no public analysis has been performed), it uses standard encryption algorithms as AES, not proprietary ones.
  • There is definitely a risk of data leakage. This is always the case with any new data transmission channel. It can be controlled to some degree - for example by using Skype for Business and disabling file transfer feature.
  • Skype can be used by malware (through its API) as a covert data transmission or control channel. Again, API can be disabled in business version.
  • There is a risk of overloading Internet link. What can contribute to this - usage of video capabilities and super nodes (if one of your clients becomes a super node). Later is unlikely in an enterprise (firewalled) environment and in any case can be avoided again by using a proper configured business version. Voice traffic uses about 5 KB/sec, which is about 25 simultaneous calls for 1M line.
  • Usage of Skype is most likely undesirable in regulated environments (like financial institutions), where communication recording (logs, contents) is required.
  • Not really a risk, but support costs may contribute to the picture.
My opinion is that risks of using Skype are sometimes exaggerated. In fact in many environments usage of Skype can bring more benefits than drawbacks, provided that it is used in a controlled manner. So before  about high risks and banning Skype I would suggest a following analysis process:
  • Identify, what are the business objectives of using Skype?
  • Analyze, which of those objectives can and which can not be achieved using already available corporate tools.
  • Analyze and present what are other options to solve those business objectives and do a high-level comparison if feasible.
  • Present a list of risks of using Skype, but do it in business terms. I.e. not "Skype is risky because it utilizes P2P architecture", but "Skype increases a risk of data leakage that can not be detected". Also, information about impact on Internet bandwidth and maintenance costs would be useful here.
  • Given all this information it would be possible to come to an optimal decision. One more thing that needs to be stressed is that if you are going to implement new technology (Skype or whatever), it should be done in a controlled manner - like disabling functions that are not part of initial business requirements (for Skype think about things file transfer and API) and meeting any other existing corporate IT/IT security policies and standards.
  • If business decides to go with Skype, insist on business version and formation of a technical working group to implement proper settings/policy before going live.
One more important point I wanted to raise here is if you go with prohibiting Skype, don't just do it declaratively. Utilize combination of detection and blocking to actually enforce the policy: Possible options would be:
  • Detection of Skype software update traffic. Skype uses distinguishable UserAgent header in such requests ("User-Agent: Skype 1.3", for example) and connects to ui.skype.com.
  • Skype generates TCP probes as part of normal work.
  • Skype can be blocked by blocking CONNECT on the proxy server. This is not feasible in most environments, however.
  • Skype can be detected by searching for "skype.exe" process running on users' workstations.
  • Skype installations can be detected with software inventory tool, like Microsoft SMS.
  • In some cases Skype can be detected by analyzing amount of https (CONNECT) Internet traffic.
  • Skype generates UDP and TCP packets to port 33033 during login process.
As a conclusion: every environment is different, but issues presented in this article can be used to conduct a risk assessment that is applicable in your case. Use the process outlined above, or Schneier's five-step risk assessment process, or any other method relative to your company. It is important that in many cases Skype can provide a cheap and secure option for VoIP and IM.

Useful links:

Friday, August 22, 2008

На "Маленькая Безопасность"

Нет, мир не белый и не черный, и, на мой взгляд, не стоит так радикально и жестко отметать то, что создано предыдущими поколениями. Стараясь быть максимально кратким постараюсь изложить свою позицию в нескольких тезисах:

  1. Мне практически не известны системы эффективные на 100%. Как следствие, имеющийся риск, как правило, не закрывается контролем на 100%. Обычно говорят о допустимых уровнях.
  2. Снижение эффективности связано с желанием большей гибкости, ибо абсолютно негибкие решения зачастую неприменимы (тут надо помнить, что безопасность - средство, а не цель, и, помимо того, что быть безопасным, бизнесу еще надо как-то работать)
  3. Не всегда есть возможность реализовывать превентивные меры, а так как оставаться совсем голым еще хуже - реалзиуем детективные: пусть нас можно атаковать, но мы об этом узнаем как только, так сразу, и это 100% лучше, чем не узнаем вообще!
  4. Считай что оценка рисков - выбор компромисса. Всегда, когда мы решаем проблему безопасности, мы вынуждены искать компромисс - это и есть оценка рисков, и она есть всегда, независимо от размера компании, шатата админов, критичности данных - все это влияет уже лишь на внутренюю организацию процесса оценки рисков. Но, как класс ативностей, он есть, возможно немного вырожденный или видоизмененный.
  5. Обучение пользователей. Ввиду того, что невозможно разных людей заставить думать одинаково, особенно в области, где они не специалисты, куда более эффективно придумать свод праил "что можно, а что нельзя". Это и есть те самые политики и стандарты. Да, они будут не такие пафосные, как в крупной компании, но как класс они неизбежно будут существовать, и о них будет разговор на awareness training-е для пользователей.
  6. На рынке есть решения и для SMB.

маленькая безопасность

Рынок безопасности бурно развивается и компании срывают с него сливки – крупные контракты, мощные системы, шифрование данных огромных объемов на огромных скоростях. Но, к сожалению, никто не обращает внимания на маленькие компании, в которых установлено от 2 до 100 рабочих мест, скоммутированных на неуправляемых коммутаторах или стареньких хабах, ведущих базу договоров и небольшую бухгалтерию. Зачастую такие компании даже не могут позволить нанять себе системного администратора, а если и нанимают, то это студент, который, в лучшем случае, учится по ходу работы.
Ну бог с ним, с российским рынком, тут своя специфика, но почему прозорливые компании с мировым именем не обращают внимания на этот сегмент?
Вы можете сказать, что дело в доходах. А вдруг нет? Вдруг дело в том, что вся информационная безопасность, в том виде, в котором она активно обсуждается на страницах глянцевых (!) журналов, становится очевидно-бесполезной в рамках небольших компаний? Нужны примеры? Пожалуйста:
1. Создание документов, в том числе высокого уровня (политики) не имеет смысла для компании, где личные связи между сотрудниками значат больше нежели приказы руководства;
2. Оценка рисков, инвентаризация активов теряют смысл из-за несоизмеримости затрат на выполнение работ и их практической ценности;
3. Системы мониторинга не работают из-за совмещения функций сотрудниками и элементами системы;
4. Эпидемии вредоносного ПО покрывают 100% парка, из-за тесных связей между сотрудниками.
Что выходит на первый план в таких системах? Думаю следующее:
1. Система должна быть защищена по-умолчанию. Возможно в ущерб функциональности.
2. На первый план выходят превентивные системы, такие как резервное копирование, снижение привилегий пользователей, ограничения на доступ к информационным системам. Все должно работать «из коробки».
3. Системы, эффективность которых значительно ниже 100% (значительно можно заменить на 90%) , отметаются как неэффективные. К ним относятся – системы обнаружения атак, антивирусы, системы фильтрации контента и почты.
4. Обучение пользователей, но не формальное, «для галочки», а то, что будет понятно людям и принято ими как правило.

Monday, August 11, 2008

Too Many Signatures Enabled

Recently I had a funny e-mail correspondence with ISS support centre. The problem was that suddenly one of Proventia GX IPS stopped passing traffic through it. It was at least strange for me because that IPS have to be fail-open (i.e. pass traffic through when fails). I ran Provinfo (it's a special script that collects information about device's configuration and recent logs that should help support engineers to figure out what was the problem) and sent resulting archive...

... and received an answer: "I took a closer look at your ProvInfo and noticed that you have too many signatures enabled. I am afraid you will have to tune your policy.

At this moment, when you have a lot of traffic, the Proventia G will just be overwhelmed because he needs to check for too many signatures, attack and audit".

Well this proposal sounds to me so strange that I even can't find right words to comment it. In addition it should be mentioned that Proventia has something called 'software bypass' that allows it to pass traffic without analysis in case of high load and this can't case devise to go down.

Tuesday, August 5, 2008

Трафик на 404.adatoms.com

Анализ журналов Web-прокси показал огромное количество трафика (5Гб, 92% всего трафика данного пользователя за неделю) от одного пользователя на сайт 404.adatoms.com. Вот фрагмент лога:

10.xx.xxx.xxx - "-" [04/Aug/2008:14:32:43 +0400] "GET http://404.adatoms.com/?client=MyCentriaIB%26ver=1.8%26wmid=81%26scheme=MYC2%26uid=FU4BEZLWRR56W%26lt=1217849565%26url=http%3A%2F%2Fwww%2Esj4%2Eru%2Fcgi%2Dbin%2Fiframe%2Fntv%3F929351%26code=403 HTTP/1.1" 403 1735 340 "" "MyCentria72" "wa, it" 10 text/html" "default" 0.215 "-"

Подобных обращений прокси фиксировал несколько десятков в секунду. Обращения фиксировались не постоянно, а в виде некой активности, которая, по сложившемуся впечатлению, активизировалась в случайное время, что не позволило установить какое приложение является источником трафика.

Интернет-поиск не дал ничего, кроме этой публикации.

Примечательно, что после отработки антивируса активность прекратилась. Антивирус (McAfee) успешно удалил файл с названием XPEHOMOP.exe, распознав его как New Malware.n (Trojan).