3. Über mich
Dr. Martin HILGER
Ca. 20 Jahre IT Erfahrung
Ca. 10 Jahre IT Security, Risk Management
1988 - 2000: KPMG Österreich
2000 – 2003: ANECON
Seit 2003: KPMG International - IT Services Global
○ Enterprise Architecture,
○ Information Risk & Security Office
Seit 2006: hilger it - information services GmbH
3
4. Überblick Instant Messaging
Definition
Form der Echtzeitkommunikation
zwischen zwei oder mehr Benutzern
von PCs oder anderen Devices
über das Internet
die IM software clients verwenden
4
5. Überblick Instant Messaging
Historie
Erste Hälfte der 1980: Quantum Link Online
Servies für Commodore 64; Quantum Link
wurde später zu AOL
1990er: ICQ, AOL Messenger; später Excite,
MSN, Yahoo, IBM Sametime
2000er: standardisiertes XMPP Protokoll –
Gateway zu anderen IM Protokollen
(zunächst für Jabber)
5
6. Überblick Instant Messaging
Funktionen
Chat zwischen Benutzern die online sind
(„presence“)
Weitere Funktionalitäten
○ File Transfer
○ Video chat
○ Telefonie (VoIP) in/out
○ SMS Messaging
○ Social Network integration
○ weitere über API Integration
Interoperabilität, Protokolle
6
7. Überblick Instant Messaging
Protokolle – Applikationen
Einige offene Standards aber weitgehend
proprietär!
Applikation Protokoll
Skype Skype
Yahoo Messenger YMSG
AOL OSCAR
Microsoft Live Messenger MSNP
Offene Standards SIP / SIMPLE, APEX, OMA
7
8. Überblick Instant Messaging
Enterprise vs Consumer Applikationen
Consumer
○ Skype
○ Windows Live Messenger (MSN)
○ Yahoo Messenger
○ ICQ , AIM (AOL)
Enterprise
○ Lotus Sametime
○ Microsoft Office Communicator
8
10. Überblick Instant Messaging
Text Chat Audio Video Telefonie SMS File Weitere
Trans-
fer
Skype
Windows App
(Live) sharing,
white
Messenger boarding,
Spiele
Yahoo Offline
Messenger messaging,
avatars
ICQ (AOL, Multi user
Digital Sky
Technologies)
chat
AIM Multi user
chat
10
11. Überblick Skype
Historie & Statistik
Gegründet 2003
Von denselben Entwicklern wie Kazaa
Vielzahl von Plattformen
iOS, Symbian, Windows,Windows Mobile,
Blackberry, Linux, Android, MacOS X, mehrere
Dutzend Mobile Phones, Playstation etc)
Nutzer: mehr als 520 Millionen (2009)
2009: 13% Markanteil an internationalen
Telefongesprächen (2008: 8%)
11
12. Überblick Skype
Sicht der Analysten - Gartner
früher: „you must block“
jetzt: „if you must use Skype then….“
12
13. Überblick Skype
Funktionalität
Im wesentlichen peer to peer statt
client/server:
○ Instant Messaging (peer to peer)
○ Video Conferencing (peer to peer)
○ Audio (peer to peer)
○ File Sharing (peer to peer)
○ Telefonie / VoIP (telephony gateways)
○ Viele Add Ons, zB für Desktop
Sharing, Gaming etc.
13
15. Skype - Architektur
Skype Backend Server – benötigt für
Login & Status tracking
Supernodes
Control traffic inklusive availability information, instant messages, und
requests nach VoIP und file-transfer sessions gehen über Supernodes
Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag;
erhöhte CPU usage
Clients, Nodes
„Normaler“ Skype client
Services
VoIP: two-way audio stream
IM: small text messages
File transfer
Zusätzlich: Productivity, Games, Business, Remote Access,
Collaboration, Miscellaneous, Community etc
15
16. Skype - Architektur
Kommunikation
○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP,
auch Ports 80 und 443) –> „aggressives Firewall bypassing
by design“
Verschlüsselungsprotokolle
○ RSA, AES 256
○ bei jeder Kommunikation ein anderer Schlüssel
Registrierungssystem für Benutzer
○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im
wesentlichen unbekannt
16
17. Skype - Architektur
Applikation und Protokoll
„Blackbox“, closed source
Undokumentiertes, proprietäres Protokoll
Spekulationen über back doors
Berichte mehrerer Institutionen/Regierungen
darüber, dass sie Skype Kommunikation
belauschen können
Diese Berichte wurden von Skype bisher
nicht kommentiert
17
18. Skype – Vulnerabilities
Track Record
Skype Jahr Alerts Kommentar
V1 2004 1 High (system access, from remote)
V1 2005 1 High (manipulation of data, from remote)
V1 2006 1 Moderate (exposure of sensitive information from remote)
V1 2007 0 N/A
V1 2008 2 Moderate – high (system access from remote)
V2 2008 2 Moderate – high (system access from remote)
V2 2007 0 N/A
V2 2006 1 Moderate (exposure of sensitive information from remote,
security bypass)
V3 2007 1 High (system access from remote)
V3 2008 2 Moderate – high (system access from remote)
V4 2009 1 Moderate
V4 2010 2 Less to moderately critical
V2 2010 1 Not critical (iPhone)
18
19. Skype - Vulnerabilities
Bisher
KEINE weitverbreiteten Exploits
Alle gefundenen vulnerabilities gepatcht
Potentielle Hauptschwachpunkte
Verschlüsselung ist AES 256bit – aber was ist das schwächste
Glied in der Kette?
○ User
○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API)
○ OS Konfiguration
○ PFW
○ Application Level Traffic Awareness der Unternehmens-
Infrastruktur (Web Gateway, deep content filtering)
Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices
19
20. Skype – Risiken
IT Sicherheits-Risiken
Phishing
„Poison“ URLs
Virus in file attachments
Compliance Risiken
Haftung gegen „inappropriate use“
Schlechte/keine technische Kontrolle über
archiving/retention bzw zu löschende Inhalte
Data Leakage
20
21. Skype – Security Configuration
Nur authentische Skype Kopien
Autorisierte Skype Security Configuration
(Desktop/Notebook) - Beispiele
Keine Firewall exceptions
Skype darf PFW nicht umkonfigurieren
Spezifische Ports
Keine Supernodes
Nur bestimmte Skype Versionen
Automatic updates (oder gemanagtes Patching)
Last but not least: Group Policies in AD (Skype
ADM) in Windows Netzwerken!
21
24. Skype – RM/Compliance
Interner Einsatz vs interner/externer
Einsatz?
Ähnliche Fragestellungen wie bei Email:
Welche Inhalte sind erlaubt?
(ad hoc, client confidential, etc.)
Was muss protokolliert/aufbewahrt werden?
(es gibt kein zentrales Logging)
Was muss/kann gelöscht werden?
24
25. Skype – Acceptable Use
Acceptable use policy (CERN, versch
Unternehmen, Universitäten), Beispiele:
Verpflichtendes User Training
Für welche Arten von Kommunikation darf
Skype eingesetzt werden, für welche nicht
Müssen bestimmte Arten von
Kommunikation protokolliert werden
Skype darf nur laufen wenn verwendet
Etc etc
25
26. Skype – Zusammenfassung
If you must use Skype…
Sichere Konfiguration
Sicherer Betrieb (hotfixes)
Acceptable Use Policy
26
27. Referenzen
SANS Institute : Skype – A Practical Security Analysis
http://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918
Skype Security Evaluation (2005!):
http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf
Wikipedia – Skype
http://en.wikipedia.org/wiki/Skype
CERN
http://security.web.cern.ch/security/rules/en/skype.shtml
University Loughborough:
http://www.lboro.ac.uk/it/security/skype-policy.html
Instant Messaging Protocols:
http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols
Skype As a Threat to National Security?
http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security
Mohammad Jalali’s Blog
http://www.mjalali.com/blog/?p=10
Learnings from Five Years as a Skype Architect
http://www.infoq.com/articles/learnings-five-years-skype-architect
27