В августе этого года Microsoft включил в новый релиз Skype сквозное end-to-end шифрование, получившее название “частные беседы” (“Private Conversations”). Шифрование работает для звонков, текстовых сообщений, а также для файлов и использует протокол Signal, разработанный некоммерческой организацией Open Whisper Systems.
Безусловно, в Skype и до появления “частных бесед” использовалось шифрование, но это не было шифрованием канала между двумя пользователями, на ключах, выработанных только для их конечных устройств. До покупки этого мессенджера Майкрософтом в Skype использовалось AES-шифрование канала с 256-битными сессионными ключами, но потом от этого полностью отказались. А сейчас для обычного общения Skype использует TLS-протокол, который «накрывает» канал между пользователем и облаком компании.
Практически все современные системы предотвращения утечек данных (DLP-системы) научились отслеживать (а некоторые даже и контролировать) обычную передачу сообщений и файлов в Skype через достаточно стандартный прием — подмену сертификатов, известную как атака «человек посередине» (MitM). Однако для “частных бесед” этот трюк уже не проходит.
Мы в DeviceLock решили эту проблему, использовав одновременно контроль сетевых соединений и локальные агенты, работающие непосредственно на контролируемой машине. В результате DeviceLock DLP может полноценно контролировать “частные беседы” в Skype. Полноценно – значит, что система не только мониторит сам факт передачи данных и даже их состав, но и в реальном времени принимает решение о разрешении или запрещении передачи файлов и сообщений в зависимости от их содержимого и заданных для данного пользователя политик безопасности.
Покажу на реальном примере как запрещается передача сообщений, содержащих адреса электронной почты или файлы с ИНН в “частной беседе”. Создаем два правила для протокола Skype, запрещающие адрес электронной почты и ИНН в исходящих файлах и сообщениях.
Пробуем сообщением передать адрес электронной почты в “частной беседе”.
Передача адреса электронной почты в Частной беседе Skype
Как видно, Skype не смог отправить только то сообщение, которое содержит адрес электронной почты. При этом в логе теневого копирования DeviceLock DLP зафиксирована вся беседа целиком:
Теневая копия сообщений из Частной беседы Skype, созданная DeviceLock DLP
Теперь попробуем в “частной беседе” передать два файла, один из которых содержит
ИНН.
Передача файлов в Частной беседе Skype
Видим, что отправить второй файл не удалось, но при этом в журнале теневого копирования заблокированный он присутствует:
Теневая копия файла из Частной беседы Skype, созданная DeviceLock DLP
Это простейший пример применения контентной фильтрации в режиме реального времени, демонстрирующий способность DLP полноценно контролировать передачу данных в Skype даже при условии применения им сквозного шифрования.
Автор: nberko
