Перехват private conversations в Skype при помощи Devicelock DLP

в 10:01, , рубрики: devicelock dlp, private conversations, skype, Блог компании Devicelock DLP, информационная безопасность, перехват, Системы обмена сообщениями, частные беседы

В августе этого года Microsoft включил в новый релиз Skype сквозное end-to-end шифрование, получившее название “частные беседы” (“Private Conversations”). Шифрование работает для звонков, текстовых сообщений, а также для файлов и использует протокол Signal, разработанный некоммерческой организацией Open Whisper Systems.

Безусловно, в Skype и до появления “частных бесед” использовалось шифрование, но это не было шифрованием канала между двумя пользователями, на ключах, выработанных только для их конечных устройств. До покупки этого мессенджера Майкрософтом в Skype использовалось AES-шифрование канала с 256-битными сессионными ключами, но потом от этого полностью отказались. А сейчас для обычного общения Skype использует TLS-протокол, который «накрывает» канал между пользователем и облаком компании.

Практически все современные системы предотвращения утечек данных (DLP-системы) научились отслеживать (а некоторые даже и контролировать) обычную передачу сообщений и файлов в Skype через достаточно стандартный прием — подмену сертификатов, известную как атака «человек посередине» (MitM). Однако для “частных бесед” этот трюк уже не проходит.

Мы в DeviceLock решили эту проблему, использовав одновременно контроль сетевых соединений и локальные агенты, работающие непосредственно на контролируемой машине. В результате DeviceLock DLP может полноценно контролировать “частные беседы” в Skype. Полноценно – значит, что система не только мониторит сам факт передачи данных и даже их состав, но и в реальном времени принимает решение о разрешении или запрещении передачи файлов и сообщений в зависимости от их содержимого и заданных для данного пользователя политик безопасности.

Покажу на реальном примере как запрещается передача сообщений, содержащих адреса электронной почты или файлы с ИНН в “частной беседе”. Создаем два правила для протокола Skype, запрещающие адрес электронной почты и ИНН в исходящих файлах и сообщениях.

Перехват private conversations в Skype при помощи Devicelock DLP - 1

Перехват private conversations в Skype при помощи Devicelock DLP - 2

Пробуем сообщением передать адрес электронной почты в “частной беседе”.

Перехват private conversations в Skype при помощи Devicelock DLP - 3

Передача адреса электронной почты в Частной беседе Skype

Как видно, Skype не смог отправить только то сообщение, которое содержит адрес электронной почты. При этом в логе теневого копирования DeviceLock DLP зафиксирована вся беседа целиком:

Перехват private conversations в Skype при помощи Devicelock DLP - 4

Теневая копия сообщений из Частной беседы Skype, созданная DeviceLock DLP

Теперь попробуем в “частной беседе” передать два файла, один из которых содержит
ИНН.

Перехват private conversations в Skype при помощи Devicelock DLP - 5

Передача файлов в Частной беседе Skype

Видим, что отправить второй файл не удалось, но при этом в журнале теневого копирования заблокированный он присутствует:

Перехват private conversations в Skype при помощи Devicelock DLP - 6

Теневая копия файла из Частной беседы Skype, созданная DeviceLock DLP

Это простейший пример применения контентной фильтрации в режиме реального времени, демонстрирующий способность DLP полноценно контролировать передачу данных в Skype даже при условии применения им сквозного шифрования.

Автор: nberko

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js