Carezia Consultoria Skype: solução ou problema?

Skype: solução ou problema?

29/09/2004

Telefonia Internet se transformou hoje na tecnologia das manchetes. Suas vantagens sobre a telefonia convencional se espalham por revistas e jornais no mundo inteiro: conta telefônica menor, implantação mais rápida e unificação de cabeamento.

Programas modernos de comunicação pessoal, chamados peer-to-peer (P2P), não dependem de máquinas específicas para operar. Toda a funcionalidade está contida nas "pontas", ao contrário do modelo "cliente-servidor" usado no sistema de correio eletrônico, na transferência de arquivos via FTP ou na navegação Web. Além disso, os programas P2P são capazes de atravessar sistemas de proteção que normalmente isolariam redes internas contra conexões do mundo externo.

O Skype é a implementação dessas duas tecnologias juntas: qualquer usuário de computador instala, tem uma boa qualidade de voz e funciona em qualquer lugar. Perfeito? Nem tanto.

Kazaa

O código do Skype é em grande parte o mesmo do Kazaa, o famoso programa de compartilhamento de arquivos; ambos foram desenvolvidos pela mesma equipe.

A procupação com a segurança da implementação não é o ponto forte deles. Por conta disso, já há pelo menos 50 vermes diferentes para o Kazaa, e quase todos os vírus recentes usam o programa de compartilhamento de arquivos para se espalhar. Além disso, há diversas vulnerabilidades ainda não resolvidas para o Kazaa.

O próprio Skype também já tem seu próprio histórico de vulnerabilidades, e o fato de ser desenvolvido em código fechado não vai ajudar a melhorar sua qualidade. Conforme documentação deles:

Is the source code for Skype available? Can I have a copy?
No. Skype is proprietary and closed-source software.
Em sistema fechado, é possível colocar uma porta-dos-fundos que permita monitorar as conversas, controlar remotamente o programa, e até desativá-lo após uma mudança no esquema de licenciamento.

Obscuridade

É simples: se o programa for comandado para fazer uma conexão para fora, as restrições impostas por qualquer firewall de última geração (mesmo stateful como o Netfilter do Linux 2.4) para tráfego entrante não valem mais. É importante lembrar que o TCP é sempre bidirecional (full-duplex).

Se o código do Skype fosse "open source", então ele poderia ser auditado e haveria a possibilidade de mantê-lo livre de cavalos-de-tróia, portas-dos-fundos (colocadas pelo fabricante ou não) e vulnerabilidades. Mas, instalando o Skype em uma máquina na rede interna de uma organização bem protegida, uma caixa preta estará sendo posta na rede. É preciso torcer para que ela não se comporte mal nem seja abusada por outros habitantes do espaço cibernético.

Claro que isso vale também para o Internet Explorer e para o Word e outros programas populares da Microsoft, mas ela é uma empresa com 28 anos de mercado e não tem um histórico de colocar código malicioso em seus programas. Pequenos jogos e tentativas de forçar duvidosos esquemas de licença não contam... ;-)

Mesmo assim, recomendamos a adoção de software livre justamente porque é mais seguro. Nesse sentido, o Windows, o Internet Explorer, o Adobe Photoshop, o Acrobat Writer, para citar exemplos, são caixas pretas com níveis semelhantes de risco. Tecnicamente, tudo é possível com eles, e a diferença entre esses programas proprietários mais conhecidos e o Skype está apenas em aspectos não-técnicos: reputação, basicamente.

Vírus

Quanto à possibilidade de se usar o programa como mecanismo de propagação de vírus, é preciso lembrar que o Skype permite transferência de arquivos. No portal deles há o seguinte:
Can I get a virus with Skype File Transfer?
Just as with any email program or other file transfer programs or files you download directly from the web, you should take precautions when accepting files from other parties. We highly recommend that you use updated anti-virus software to scan all incoming files, even from people that you know.
Essa é a mesma explicação dada pela Microsoft quando lançou a primeira versão do Internet Explorer. E é a mesma explicação dada pela equipe do ICQ quando eles colocaram transferência de arquivos no programa. E há centenas de vírus se propagando hoje através do ICQ.

Hostilidade

O falta de registro do serviço no IANA é um problema adicional. Por isso, o Skype (assim como o KaZaa) usa *todas* as 65535 portas possíveis para tentar se conectar aos servidores. Há uma configuração para ajuste de uma porta determinada de entrada (para receber ligações), mas não há possibilidade de ajustá-lo para usar uma única porta de saída.

O Skype sempre tenta diversas portas até encontrar uma aberta. O mecanismo de procura exato é proprietário, mas aparentemente ele busca uma centena de portas e depois tenta a 443. Na próxima conexão, ele não usa a 443, mas busca de novo outras portas diferentes das primeiras.

Na realidade, o Skype usa várias técnicas como essa para conseguir evasão dos sistemas de proteção. Essas técnicas têm sido desenvolvidas nos últimos anos para o uso de vírus e cavalos-de-tróia.

Provavelmente essa é a razão para o CERN ter proibido o Skype em toda a sua rede interna.

Alternativas

Por violar diversos padrões da Internet e fazer o tráfego passar "na marra", o Kazaa e o Skype conseguiram o sucesso rápido. Eles funcionam em qualquer lugar, mesmo onde há restrições bem projetadas para garantir a integridade dos computadores e dados. Se eles trabalhassem com portas
específicas (como era o caso do Kazaa na primeira versão), não teriam tanto sucesso tão rápido. É a desordem que permite o sucesso, pelo menos temporário.

Não é o VoIP que é questionado, mas sua implementação errada e desordenada.

Há alternativas para ambiente Windows, além do NetMeeting: o SJphone e o X-Lite. Também há programas de telefonia Internet para Linux, como o PhoneGaim e o GnomeMeeting. Eles trabalham com o protocolo SIP, padrão que está aos poucos superando o antigo H.323.

Basta escolher sua alternativa.

Powered by Etomite XHTML - CSS