|
Skype: solução ou problema?
29/09/2004
Telefonia Internet se transformou hoje na tecnologia das manchetes.
Suas vantagens sobre a telefonia convencional se espalham por revistas
e jornais no mundo inteiro: conta telefônica menor,
implantação mais rápida e unificação
de cabeamento.
Programas modernos de comunicação pessoal, chamados peer-to-peer (P2P), não
dependem de máquinas específicas para operar. Toda a
funcionalidade está contida nas "pontas", ao contrário do
modelo "cliente-servidor" usado no sistema de correio eletrônico,
na transferência de arquivos via FTP ou na
navegação Web. Além disso, os programas P2P
são capazes de atravessar sistemas de proteção que
normalmente isolariam redes internas contra conexões do mundo
externo.
O Skype é a
implementação dessas duas tecnologias juntas: qualquer
usuário de computador instala, tem uma boa qualidade de voz e
funciona em qualquer lugar. Perfeito? Nem tanto.
Kazaa
O código do Skype é em grande parte o mesmo do Kazaa, o famoso programa
de compartilhamento de arquivos; ambos foram desenvolvidos pela mesma
equipe.
A procupação com a segurança da
implementação não é o ponto forte deles.
Por conta disso, já há pelo menos 50
vermes diferentes
para o Kazaa, e quase todos os vírus recentes usam o programa de
compartilhamento de arquivos para se espalhar. Além disso,
há diversas vulnerabilidades ainda não resolvidas para o
Kazaa.
O próprio Skype também já tem seu próprio
histórico de vulnerabilidades,
e o fato de ser desenvolvido em código fechado não vai
ajudar a melhorar sua qualidade. Conforme documentação
deles:
Is
the source code for Skype available? Can I have a copy?
No. Skype is proprietary and
closed-source software.
Em sistema fechado, é possível colocar uma
porta-dos-fundos que permita monitorar as conversas, controlar
remotamente o programa, e até desativá-lo após uma
mudança no esquema de licenciamento.
Obscuridade
É simples: se o programa for comandado para fazer uma
conexão para fora, as restrições impostas por
qualquer firewall de
última geração (mesmo stateful como o Netfilter do Linux
2.4) para tráfego entrante não valem mais. É
importante lembrar que o TCP é sempre bidirecional (full-duplex).
Se o código do Skype fosse "open source", então ele
poderia ser auditado e haveria a possibilidade de mantê-lo livre
de cavalos-de-tróia, portas-dos-fundos (colocadas pelo
fabricante ou não) e vulnerabilidades. Mas, instalando o Skype
em uma máquina na rede interna de uma organização
bem protegida, uma caixa preta estará sendo posta na rede.
É preciso torcer para
que ela não se comporte mal nem
seja abusada por outros habitantes do espaço cibernético.
Claro que isso vale também para o Internet Explorer e para o
Word e outros programas populares da Microsoft, mas ela é uma
empresa com 28 anos de mercado e não tem um histórico de
colocar código malicioso em seus programas. Pequenos jogos e
tentativas de forçar duvidosos esquemas de licença
não contam... ;-)
Mesmo assim, recomendamos a adoção de software
livre justamente porque é mais seguro. Nesse sentido, o Windows,
o Internet
Explorer, o Adobe Photoshop, o Acrobat Writer, para citar exemplos,
são
caixas pretas com níveis semelhantes de risco. Tecnicamente,
tudo é possível com eles, e a diferença entre
esses programas
proprietários mais conhecidos e o Skype está apenas em
aspectos
não-técnicos: reputação, basicamente.
Vírus
Quanto à possibilidade de se usar o programa como mecanismo de
propagação de vírus, é preciso lembrar que
o
Skype permite transferência de arquivos. No portal deles
há o seguinte:
Can I get a virus with Skype File Transfer?
Just as with any email program
or
other file transfer programs or files you download directly from the
web, you should take precautions when accepting files from other
parties. We highly recommend that you use updated anti-virus software
to scan all incoming files, even from people that you know.
Essa é a mesma explicação dada pela Microsoft
quando lançou a primeira versão do Internet Explorer. E
é a mesma
explicação dada pela equipe do ICQ quando eles colocaram
transferência de arquivos no programa.
E há centenas de vírus se propagando hoje através
do ICQ.
Hostilidade
O falta de registro do serviço no IANA
é um problema adicional. Por isso, o Skype (assim
como o KaZaa) usa *todas* as 65535 portas
possíveis para tentar se conectar aos servidores. Há uma
configuração para ajuste de uma porta determinada de
entrada (para receber ligações), mas não há
possibilidade de ajustá-lo para usar uma única porta de
saída.
O Skype sempre tenta diversas portas até
encontrar uma aberta. O mecanismo de procura exato é
proprietário, mas
aparentemente ele busca uma centena de portas e depois tenta a 443. Na
próxima conexão, ele não usa a 443, mas busca de
novo outras
portas diferentes das
primeiras.
Na realidade, o Skype usa várias técnicas como essa para
conseguir evasão dos sistemas de proteção. Essas
técnicas têm sido desenvolvidas nos últimos anos
para o uso de vírus e
cavalos-de-tróia.
Provavelmente essa é a razão para o CERN ter proibido
o Skype em toda a sua rede interna.
Alternativas
Por violar diversos padrões da Internet e fazer o tráfego
passar "na marra", o Kazaa e o Skype conseguiram o sucesso
rápido. Eles
funcionam em qualquer lugar, mesmo onde há
restrições bem
projetadas para garantir a integridade dos computadores e dados. Se
eles trabalhassem com portas
específicas (como era o caso do Kazaa na primeira
versão), não teriam tanto sucesso tão
rápido. É a desordem que permite
o sucesso, pelo menos temporário.
Não é o VoIP que é questionado, mas sua
implementação errada e desordenada.
Há alternativas para ambiente Windows, além do
NetMeeting: o
SJphone e o X-Lite.
Também há programas de telefonia Internet para Linux,
como o PhoneGaim e o GnomeMeeting. Eles trabalham
com o protocolo SIP,
padrão que está aos poucos superando o antigo H.323.
Basta escolher sua alternativa.
|