All posts in “Security”

Sg.hu, Skype – és a félretájékoztatás

Valamiért mindig felbosszant, ha könnyen kivédhető hülyeséget olvasok olyan orgánumokban, amit egyébként szeretek és/vagy általában hitelesnek tartok. Talán, mert hiszek a betűkben, és szeretném azt gondolni, hogy amit írástudók elémtárnak, az igaz, vagy legalábbis közelít az igazsághoz.
Nyilván komolyan megválogatom, hogy kinek és mit higgyek el, éppen ezért háborít fel, amikor a rendszeresen olvasott hírforrásaim cikkeiben, tudósításaiban penetráns állatságra bukkanok.
Az SG.hu – Informatika és Tudomány portált évek óta olvasgatom – a szórakoztató ismeretterjesztésnek és a többnyire hiteles tájékoztatásnak kellemes mixét nyújtja, egy olyan a területen, amely a mindennapi életem része. Nyilván nem érthetek mindenhez, ezért az esetek döntő többségében egyszerűen elhiszem, amit írnak, anélkül, hogy komolyabban utána járnék a kérdésnek (persze, ha valóban fontos számomra, akkor jön a kutatás), és gondolom, ez így is van rendjén. Feltételezem: közreműködőik, újságíróik elvégzik a dolgukat, és nem tájékoztatnak félre.
Az információ robbanás korában (ez amúgy egyik vesszőparipám), amikor elképesztő mennyiségű – épp ezért szinte ellenőrizhetetlen tömegű – hír zúdul a nyakunkba, kifejezett kihívássá válik, hogy mely forrásokat tekintsük hitelesnek. Úgy képzelem, már nincs messze az idő, amikor a hírek/információk valódiságát ezzel foglalkozó cégek fogják kereskedelmi alapon hitelesíteni, hogy az információ fogyasztó eldönthesse – hihet-e vagy ajánlott az óvatosság. Az ezzel kapcsolatos teóriám azonban hosszú, talán egy másik alkalommal megírom.
De lássuk a postomat kiváltó okot. Ma olvasom at SG.hu vezércikkét Webkettes felvilágosítás III.: Csevegünk-csetelünk címen. Nem mond különösebb újdonságokat, de az ebédidőmbe éppen belefér. Egyszercsak a következő bekezdésem akad meg a szemem:

A sokat utazóknak, a külföldre szakadt hazánkfiainak mindenképp egy értékes lehetőség, főleg, hogy a konkurens szolgáltatásokhoz képes sokkal jobb minőséget produkál már alacsonyabb sávszélességű elérésekkel is. A tavalyi évben már több kézikészülék jelent meg, ami WiFi kapcsolaton keresztül akár normál akár Skype telefonként is képes működni. A hype ez esetben is sokat segített a terjedésben, bár számos klón is felkapaszkodott a Skype szekerére, mint a VoIP Buster és társai. Ez a rendszer igazából nem vetélytársa az eddig felsorolt szolháltatásoknak, sőt a biztonság és a “privacy” teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

A Skyperól szóló rész zárómondata, ami kiverte a biztosítékot, annak is a második fele:

sőt a biztonság és a “privacy” teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

Na kérem: a Skype egyike a legbiztonságosabb internetes kommunikációs megoldásoknak.Kicsiségbe kötök bele, tudom, hiszen a cikk nem az üzenetküldők biztonságáról értekezik, hanem úgy általában a szolgáltatásokról. Csakhogy éppen ebben rejlik az ilyen félretájékoztatás/hozzánemértés veszélye: egy ilyen odalökött félmondat képes megragadni a laikusban, aztán idők múltán, amikor a téma valahogy előkerül, már mondja is: ja, az nem biztonságos, azt olvastam.
A dolog elvi alapvetésével van gondom: hány és hány olyan egy bekezdésben odalökött információt nyeltem le vajon eddig én is, ami hasonló nemtörődöm dilettantizmusból, a fizetett karakterek növelése okán született?

Mindenenesetre vicces végigkövetni az “szakújságíró” gondolatmenetét: a Skype ugye azért számított forradalmi újdonságnak, mert nem közvetlen kliens-szerver-kliens kapcsolatban valósítja meg a kommunikációt, hanem a peer-to-peer technológiát használja: az adatcsomagokat a rendszerben részt vevő számítógépek összeségén (illetve nyilván nem minden, csak megfelelő közelségű és számú klienst igénybe véve) keresztül továbbítja a fogadó félnek. Ergo – a cikk szerzője szerint – miután olyan sok kézen/gépen keresztül megy a kommunikációs folyam, nyilván: sőt a biztonság és a “privacy” teljes hiánya miatt üzleti felhasználása erősen ellenjavallott.

Nevezhetnénk józan paraszti ész diktálta ítéletnek, persze ostoba baromság, ha jobban belegondoluk. Simán belátható minden előképzettség nélkül is, hogy a szétdarabolt adatfolyam, ahol a darabok külöböző csomópontokon részenként kerülnek továbbításra csak nehezítik a lehallgatást. Mellesleg, ha már itt tartunk, a lehallgatás amúgy is a fogadó vagy küldő fél alhálózatán valósulhatna meg, ott, ahol az adatolyam egyesül. Ettől azonban olyan hatékonyan óvja meg a Skype beépített titkosítása (a Skype military strenght – bármit jelentsen is ez – szintű végponttól végpontig terjedő 256 bites AES titkosítást alkalmaz), hogy ez két éve valódi vihart kavart, amikor az FBI komoly tényezőként emelte ki, hogy az internetes telefónia, különösen a Skype terjedése veszélyt jelent, mert nem tudják lehallgatni. Alaphelyzetben, megfelelő ISP (internet szolgálató) közreműködéssel, annyi követhető nyomon, hogy ki-kivel beszél, a beszélgetés tartalma az alkalmazott kriptográfiai megoldásoknak köszönhetően nem fejthető vissza. Az FBI számára problémát az okozza, hogy megfelelő anonimitást kínáló proxy szervereket használva, még a kommunikációs partnerek identitása is elrejthető.
A legviccesebb az egészben, hogy a tisztelt cikkíró nemcsak nem ért a dolgohoz, de arra sem vette a fáradtságot, hogy az interneten, vagy legalább a saját anyaorgánumánál utána járjon a kérdésnek, hiszen 2006 januárjában éppen az SG.hu közölt egy hírt, amelyben a Skype biztonságáról és a már említett FBI problémáról számolnak be.

Nem mellesleg, a Skype biztonságtechnikai auditját, a szakma egyik nagy öregje, Tom Berson (Anagram Laboratories) végezte, ha valakit érdekelne, az eredményt letöltheti innen.

Ui.: a post szerzője paranoid, hálózati biztonságtechnikával foglalkozó szakember – ha ez a fentiekből nem derült volna ki.

Újragondolva?

Hmm… Úgy tűnik, mostanában mindenről az újra kifejezés jut az eszembe.
Ellenben nem tudom nem észrevenni, hogy a Symantec revideálta nézetét – újragondolta -, s bejelentette, mégsincs több kritikus hiba a Firefoxban, mint az Internet Explorer-ben.
Maga a tény, hogy erre a következtetésre jutott, persze nem lep meg – sosem is gondoltam másképp. Tavaly őszi kijelentésük csak arra volt elég, hogy a beléjük vetett – eddig sem túlságosan nagy – bizodalmam végképp megcsappanjon. Némi értetlenkedéssel figyeltem, miért fekszik le a Symantec a Microsoftnak, különösen annak fényében találtam furcsának, hogy a Gates féle mamut biztonságtechnikai törekvései nyílt konkurenciát jelentenek nekik.
A Microsoft ugyanakkor ennél nagyobb üzleti csodákat is véghez vitt – magamban csendesen elkönyveltem hát ezt is. Most azonban úgy tűnik, homokszem került a gépezetben: a Symantec hirtelen (szolid 7 hónap elteltével) ráébredt arra, hogy rosszul hasonlította össze a két böngésző sebezhetőségét, merthogy bemondásra tette – azaz megvizsgálta hogy hány kritikus hibát jelentett be a Microsoft és mennyit a Mozilla Alapítvány. Ezen összehasonlítás alapján jelentették ki tavaly szeptemberben, hogy az IE a biztonságosabb.
Tetszik érteni ugye? Mintha az Amnesty International annak alapján rangsorolna minden évben közzétett helyzetértékelésében, hogy az egyes országok, hány, az emberi jogokat durván megsértő cselekedetükről adnak számot. Gyanítom, egy ilyen összevetésben, mind Észak Korea, mind Kína meglehetősen előkelő helyet szereznének meg.
Az eset kapcsán mindjárt két kérdés merül fel bennem:

1. Ha a Symantec – amely átfogó biztonságtechnikai vállalatként definiálja önmagát – nem veszi a fáradtságot, hogy a sajátjának mondott szakértelmet felhasználva kiderítse (vagy legalább megpróbálja kideríteni) melyik böngésző a biztonságosabb, akkor minek tesz egyáltalán közzé ezzel kapcsolatban “felmérést”? Ilyenmódon felmérni akárki tud, már ha képes összeszámolni a két nyilvánosan elérhető hibalistán található kritikus hibák számát. Az egyszerű összeadás, mint matematikai művelet, nem tartozik a legbonyolultabbak közé, joggal feltételezhetnénk, hogy nem kell Symantec-nek lenni az elvégzéséhez.

2. Mi tartott hét hónapig e tarthatatlan hülyeség felismerésében?

A biztonságtechnikai piacon a bizalom a legfontosabb talán, hogy a tisztelt vásárló elhigye: az a cég, akire adatai, informatikai rendszere biztonságát bízza, nemcsak ért a biztonsághoz, de fő szempontja ügyfelei védelme, mindenféle részrehajlás, üzleti taktikázás nélkül.
Ha a Symantecre bízom a rendszerem védelmét, azért teszem, mert megbízom a szakértelmében, és elhiszem, hogy termékeik használata biztonságot jelent, hogy felméréseik a valóságot tükrözik, javaslataikra hallgatni célszerű.
Nincs módom persze megállapítani, hogy tavalyi kijelentésük hány potenciális felhasználót tántorított el a Firefoxtól, de ha csak egyet is, az több mint megengedhető.
Miért higgye el ezekután bárki is, hogy amit beszélnek, amit felméréseikben közzétesznek, az a valóságot tükrözi, s nem valamiféle üzleti taktikázásnak az eredménye? S innen már csak egyetlen, pici és logikus ugrás: miért higgyen bárki is abban, hogy termékeik azt, úgy, és olyan szinten csinálják, ahogyan állítják?