据Skype首席安全官Kurt Sauer说,现在还没有病毒通过Skype网络电话传播,主要是由于安全专家们在该软件上做出了不懈努力,所以其防御性能极为强健。但这并不意味Skype(已被eBay收购)就不需要做安全工作了。
Sauer说,公司正打算整合支付功能,显然这是需要安全保护的。他还透露,Skype正和其他安全公司洽谈,希望能给软件加上插件以保护基于文本方式的通信安全。
Skype常被描述为优秀安全性的宠儿,因为使用它拨打的电话都是加密的,而且不使用被极易受互联网攻击的中央服务器。然而,这个应用程序也给许多IT管理员带来了麻烦,即使企业网络设定了很坚固的防火墙控制规则,可它还是会有漏洞可钻。
日前,Sauer随首席运营官Michael Jackson一起参加了CNET News.com的采访。
记者:作为Skype首席安全官,您工作的内容有哪些?
Kurt Sauer:我是2003年前来到Skype公司的。之前我曾在Sun
Microsystems公司,主要从事对等验证工作的研究。在Skype,我的工作是对Skype客户端已存在的加密方法进行审核。从此,我就担当了Skype家族产品安全体系总监察的角色。之后,我还负责对安全漏洞事件进行处理。自从被eBay收购后,萨班斯法案(Sarbanes-Oxley)的遵从性考查等安全事务也成了我的职责之一。
记者:Skype客户端的安全漏洞问题占多少比重?
Kurt
Sauer:我们有许多人员会处理大量的具体细节。我一半时间用于产品安全体系的研究和产品性能方面的控制,另外一半时间则用于考查各种法规遵从问题。
记者:您是否遇到过利用Skype客户端漏洞的恶意事件?Skype用户是否曾遭到过网络攻击?
Kurt
Sauer:我们还没有发现任何针对Skype漏洞的攻击。虽然漏洞可分为多个不同种类,但我们至今没有发现Skype产品中含有可以让蠕虫和病毒自我复制的易感单元。相反,出现的问题一般都是一次性的,可能偶尔会导致Skype不响应,但仅此而已。
记者:现在已经发现了一些和Skype链接有关的缺陷,点击某个恶意链接就可能危及个人电脑的安全。这些问题是否都会有人私下向您报告?
Kurt
Sauer:是的。我在Sun工作的时候有过从事安全漏洞反馈的经历。以我的这些经验,我想带给Skype的是一种和漏洞报告者之间透明化的交流。如果要让安全研究社区(security
researcher
community)失去价值,一个办法就是含糊其辞,不给他们任何反馈。有些研究者不想和你有口头交流,但是只要他们想要对话,我们就会满足他们。
记者:就Skype代码的稳健性看,您是否认为从您来到公司后,它们变得更加完美了?
Kurt
Sauer:大约三年前的时候,我们在质量担保方面存有一些问题。我们努力进行代码测试和模块测试以改善代码质量。一年前和两年前之间的那段时间,实际就是我们对实际代码开发进行优化的时期。
记者:有很多过程可用来确保软件出品的时候瑕疵尽可能的少,您感觉这些过程你们都建立了吗?
Kurt
Sauer:我认为所有的企业都擅长学习。我不认为我们是软件工程方面的完美企业。每添加一层控制,就需要一定的成本和时间。我们必须合理决定在产品开发周期中投入多少资金。我认为我们永远也不能说,在产品的质量保证上已经做得非常完美了。不过,进行同级评审是预防劣质代码的最有效方法之一,因为人们总是不愿意让同事看到自己写的代码。
记者:代码缺陷不是用户遭遇攻击的唯一原因。我们已经看到蠕虫会钻入所有流行即时通讯工具中。那么它对Skype是否也构成同样威胁?
Kurt
Sauer:但我还没有看到Skype受到任何蠕虫的感染。你无法通过聊天窗口发送可执行代码。即时通讯软件必须要做的大量工作就是设法保护用户,防止由链接激活对浏览器的攻击。这方面我们已进行了深远考虑,正在寻求和反病毒软件供应商的合作机会。
Symantec和McAfee都拥有对链接进行风险评测的产品。如果我们让第三方的专业应用程序对诸如链接等对象进行风险评估,帮助用户作出合适的选择,那也将是一件很有意义的事情。对此我们也在进行积极的讨论。
记者:有安全专家预测,Skype可以被黑客用作远程控制被感染计算机网络或者僵尸网络的工具。是否确有此事?
Kurt
Sauer:我没有见过此事,但你的确可以使用Skype进行程序与程序间的互发消息。但是你肯定不能那么做,我们还没看到那种情况真实发生。我们可以认为Skype客户端拥有充分的控制手段,能对自动传播等行为加以阻止。例如,除非得到了你的授权,否则我是无法向你发送文件的。
记者:您是否看到过以Skype为攻击目标的恶意软件的电子模型吗?
Kurt
Sauer:过去我们的一些安全研究员对某些模型进行了探讨。只不过是些简单的想法,但我们有规定不便泄露。
记者:有些人把Skype本身看作是一种安全威胁,尤其是在受控的企业环境下。即使IT人员试图通过防火墙阻止,Skype还是可以轻松溜过。Skype存在安全威胁吗?
Kurt
Sauer:那就是我们最新的《网络管理员指南》和Skype
3.0重点要解决的问题。它们将向IT管理员提交控制权,让他们以自己的方式定义网络。许多管理员反对用户在桌面电脑上安装Skype,比如eBay。现在想来我们能成功并购真是十分有意思。我突然闯入,就此事和他们的IT人员交涉,他们差点晕到,因为他们对Skype十分惧怕。eBay对我们来说是一个很好的学习机会,我们看到了一个非Skype的公司如何将Skype应用到自己的业务中。不过eBay强烈表示要推出相应策略并加以实施。
记者:您说到了加密,甚至某些国家对此都很感兴趣,因为他们想要控制正在传递的是什么样的信息。您如何处理它,您是否给过某人Skype的密钥?
Kurt
Sauer:因为我们自己也没有密钥,所以我们不可能把它们送给任何人。
记者:那么说,您也无法监听我的Skype呼叫了?
Kurt
Sauer:Skype的工作方式是:在交谈各方之间形成安全通道,并由他们生成密钥,不是由Skype生成密钥。
记者:那么问题的答案是——就算是您也无法监听别人的Skype电话?
Kurt
Sauer:我们要说的是,我们要提供的是一种安全沟通的体验。我不会告诉你我们到底能不能监听到别人的电话。
记者:您也不会给政府或者其他机构和公司提供一种偷听别人Skype网络交谈的途径?
Kurt Sauer:我们不会。
记者:Skype不断推出更多付费服务,比如呼叫普通座机。最近我听到了Skype用户的一些抱怨之声,称他们的信用卡虽然很正规,但还是不为Skype所接受。你们是否遭遇了许多的欺诈事件?
Kurt
Sauer:任何人出售的无形有价产品都是制假的目标。我有朋友也跟我探讨过这类事情。我们不会公开实施措施,这是我们的保护机制。我也不能告诉你我们对信用卡进行保护的精确办法是什么,但我可以这样说,如果你打算在许多账号上使用同一张信用卡,Skype很可能就不会让你得逞。
记者:欺诈案件有增加吗?它是否是你们首要关注的事情?
Michael
Jackson:不得不关注,就像心里总有个疙瘩。我们有反欺骗算法去跟踪想要诈骗我们的用户,但它也会误抓许多诚实的用户。这就影响到了我们的业务,要把持这个度很不容易。我们失去了很多良好交易机会,也失去了很多普通用户。
记者:围绕Skype和安全性,你们最重视的是什么?什么最让你们寝食难安?
Kurt
Sauer:如果说最让我寝食难安的,那就是未来的发展策略。我们启动了许多新项目。我们不停讨论很多事情,比如添加向Skype转账的功能等。这些都是新的领域,也会带来新的消费风险,所以我们的工程组必须倍加努力,保证我们所做的事情一定都会有大宗客户加入。
个人简介
作为Skype公司首席安全官,Kurt Sauer主要负责通过Skype平台传输的通信服务的可靠性。
再2004年加入Skype之前,Sauer先生Sun Microsystems公司欧洲研究实验室的主要网路安全架构师(Principal Network Security Architect)。同时,他还是ACM、IEEE、Mensa和FIRST的成员。Sauer先生获得了得克萨斯A&M大学(Texas A&M University)计算机工程学(Computer Engineering)学士学位,还会说一口流利的英语和法语。
网友评论