SlideShare une entreprise Scribd logo

Skype – Instant Messaging

Télécharger en tant que PPTX, PDF
Martin Hilger
Martin Hilger

Skype Instant Messaging - Sicherheitsrisiko oder bereit für den Unternehmenseinsatz?

Technologie
1  sur  30
hilger it information services gmbh Skype – Instant Messaging Sicherheitsrisiko oder bereit für den Unternehmenseinsatz? Version: 2010.11.23
Agenda  Überblick Instant Messaging  Historie, Funktionen  Applikationen, Protokolle  Skype  Funktionalität  Technischer Background / Architektur  Missverständnisse  Verwundbarkeiten  Risiken  Einsatz in Unternehmen 2
Über mich  Dr. Martin HILGER  Ca. 20 Jahre IT Erfahrung  Ca. 10 Jahre IT Security, Risk Management  1988 - 2000: KPMG Österreich  2000 – 2003: ANECON  Seit 2003: KPMG International - IT Services Global ○ Enterprise Architecture, ○ Information Risk & Security Office  Seit 2006: hilger it - information services GmbH 3
Überblick Instant Messaging  Definition  Form der Echtzeitkommunikation  zwischen zwei oder mehr Benutzern  von PCs oder anderen Devices  über das Internet  die IM software clients verwenden 4
Überblick Instant Messaging  Historie  Erste Hälfte der 1980: Quantum Link Online Servies für Commodore 64; Quantum Link wurde später zu AOL  1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime  2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen (zunächst für Jabber) 5
Überblick Instant Messaging  Funktionen  Chat zwischen Benutzern die online sind („presence“)  Weitere Funktionalitäten ○ File Transfer ○ Video chat ○ Telefonie (VoIP) in/out ○ SMS Messaging ○ Social Network integration ○ weitere über API Integration  Interoperabilität, Protokolle 6
Überblick Instant Messaging  Protokolle – Applikationen  Einige offene Standards aber weitgehend proprietär! Applikation Protokoll Skype Skype Yahoo Messenger YMSG AOL OSCAR Microsoft Live Messenger MSNP Offene Standards SIP / SIMPLE, APEX, OMA 7
Überblick Instant Messaging Enterprise vs Consumer Applikationen  Consumer ○ Skype ○ Windows Live Messenger (MSN) ○ Yahoo Messenger ○ ICQ , AIM (AOL)  Enterprise ○ Lotus Sametime ○ Microsoft Office Communicator 8
Überblick Instant Messaging  Verbreitung 600 Skype 500 400 Windows Messenger 300 Yahoo Messenger 200 ICQ (AOL) 100 AIM 0 2009 in Mio Nutzern 9
Überblick Instant Messaging Text Chat Audio Video Telefonie SMS File Weitere Trans- fer Skype       Windows App (Live)      sharing, white Messenger boarding, Spiele Yahoo Offline Messenger      messaging, avatars ICQ (AOL, Multi user Digital Sky Technologies)       chat AIM Multi user      chat 10
Überblick Skype  Historie & Statistik  Gegründet 2003  Von denselben Entwicklern wie Kazaa  Vielzahl von Plattformen  iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)  Nutzer: mehr als 520 Millionen (2009)  2009: 13% Markanteil an internationalen Telefongesprächen (2008: 8%) 11
Überblick Skype  Sicht der Analysten - Gartner  früher: „you must block“  jetzt: „if you must use Skype then….“ 12
Überblick Skype  Funktionalität  Im wesentlichen peer to peer statt client/server: ○ Instant Messaging (peer to peer) ○ Video Conferencing (peer to peer) ○ Audio (peer to peer) ○ File Sharing (peer to peer) ○ Telefonie / VoIP (telephony gateways) ○ Viele Add Ons, zB für Desktop Sharing, Gaming etc. 13
Skype - Architektur 14
Skype - Architektur  Skype Backend Server – benötigt für  Login & Status tracking  Supernodes  Control traffic inklusive availability information, instant messages, und requests nach VoIP und file-transfer sessions gehen über Supernodes  Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag; erhöhte CPU usage  Clients, Nodes  „Normaler“ Skype client  Services  VoIP: two-way audio stream  IM: small text messages  File transfer  Zusätzlich: Productivity, Games, Business, Remote Access, Collaboration, Miscellaneous, Community etc 15
Skype - Architektur  Kommunikation ○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“  Verschlüsselungsprotokolle ○ RSA, AES 256 ○ bei jeder Kommunikation ein anderer Schlüssel  Registrierungssystem für Benutzer ○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im wesentlichen unbekannt 16
Skype - Architektur  Applikation und Protokoll  „Blackbox“, closed source  Undokumentiertes, proprietäres Protokoll  Spekulationen über back doors  Berichte mehrerer Institutionen/Regierungen darüber, dass sie Skype Kommunikation belauschen können  Diese Berichte wurden von Skype bisher nicht kommentiert 17
Skype – Vulnerabilities Track Record Skype Jahr Alerts Kommentar V1 2004 1 High (system access, from remote) V1 2005 1 High (manipulation of data, from remote) V1 2006 1 Moderate (exposure of sensitive information from remote) V1 2007 0 N/A V1 2008 2 Moderate – high (system access from remote) V2 2008 2 Moderate – high (system access from remote) V2 2007 0 N/A V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass) V3 2007 1 High (system access from remote) V3 2008 2 Moderate – high (system access from remote) V4 2009 1 Moderate V4 2010 2 Less to moderately critical V2 2010 1 Not critical (iPhone) 18
Skype - Vulnerabilities  Bisher  KEINE weitverbreiteten Exploits  Alle gefundenen vulnerabilities gepatcht  Potentielle Hauptschwachpunkte Verschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette? ○ User ○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API) ○ OS Konfiguration ○ PFW ○ Application Level Traffic Awareness der Unternehmens- Infrastruktur (Web Gateway, deep content filtering)  Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices 19
Skype – Risiken  IT Sicherheits-Risiken  Phishing  „Poison“ URLs  Virus in file attachments  Compliance Risiken  Haftung gegen „inappropriate use“  Schlechte/keine technische Kontrolle über archiving/retention bzw zu löschende Inhalte  Data Leakage 20
Skype – Security Configuration  Nur authentische Skype Kopien  Autorisierte Skype Security Configuration (Desktop/Notebook) - Beispiele  Keine Firewall exceptions  Skype darf PFW nicht umkonfigurieren  Spezifische Ports  Keine Supernodes  Nur bestimmte Skype Versionen  Automatic updates (oder gemanagtes Patching)  Last but not least: Group Policies in AD (Skype ADM) in Windows Netzwerken! 21
Skype – Security Configuration  GPOs (Beispiele) 22
Skype – Security Configuration  GPOs 23
Skype – RM/Compliance  Interner Einsatz vs interner/externer Einsatz?  Ähnliche Fragestellungen wie bei Email:  Welche Inhalte sind erlaubt? (ad hoc, client confidential, etc.)  Was muss protokolliert/aufbewahrt werden? (es gibt kein zentrales Logging)  Was muss/kann gelöscht werden? 24
Skype – Acceptable Use  Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:  Verpflichtendes User Training  Für welche Arten von Kommunikation darf Skype eingesetzt werden, für welche nicht  Müssen bestimmte Arten von Kommunikation protokolliert werden  Skype darf nur laufen wenn verwendet  Etc etc 25
Skype – Zusammenfassung  If you must use Skype…  Sichere Konfiguration  Sicherer Betrieb (hotfixes)  Acceptable Use Policy 26
Referenzen SANS Institute : Skype – A Practical Security Analysis http://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918 Skype Security Evaluation (2005!): http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf Wikipedia – Skype http://en.wikipedia.org/wiki/Skype CERN http://security.web.cern.ch/security/rules/en/skype.shtml University Loughborough: http://www.lboro.ac.uk/it/security/skype-policy.html Instant Messaging Protocols: http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols Skype As a Threat to National Security? http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security Mohammad Jalali’s Blog http://www.mjalali.com/blog/?p=10 Learnings from Five Years as a Skype Architect http://www.infoq.com/articles/learnings-five-years-skype-architect 27
Referenzen An Experimental Study of the Skype Peer-to-Peer VoIP System http://saikat.guha.cc/pub/iptps06-skype/ 28
Fragen / Diskussion 29
Kontakt Dr. Martin Hilger hilger it information services gmbh +43 676 946 44 77 Martin.Hilger@hilger-it.com www.hilger-it.com The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. ©2007 hilger-it information services gmbh 30

Recommandé

SPELLING BEE 2010
SPELLING BEE 2010SPELLING BEE 2010
SPELLING BEE 2010msweird3
 
Android understanding
Android understandingAndroid understanding
Android understandingRamesh Rao
 
The essential-guide-to-html5
The essential-guide-to-html5The essential-guide-to-html5
The essential-guide-to-html5Remi Kujawski
 
DC Julián Guarin Barkach-2
DC Julián Guarin Barkach-2DC Julián Guarin Barkach-2
DC Julián Guarin Barkach-2Julian Guarin Barkach
 
Den otevřených dveří SNM, FF UK
Den otevřených dveří SNM, FF UKDen otevřených dveří SNM, FF UK
Den otevřených dveří SNM, FF UKStudia nových médii, FF UK, Praha
 
Jen CV nestačí. Profesionálem na síti LinkedIn
Jen CV nestačí. Profesionálem na síti LinkedInJen CV nestačí. Profesionálem na síti LinkedIn
Jen CV nestačí. Profesionálem na síti LinkedInJakub Fiala
 
Top 10 Internet Trends 2008
Top 10 Internet Trends 2008Top 10 Internet Trends 2008
Top 10 Internet Trends 2008Jürg Stuker
 
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia IntellisyncC3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisyncguest608dc7
 

Recommandé

SPELLING BEE 2010
SPELLING BEE 2010SPELLING BEE 2010
SPELLING BEE 2010msweird3
 
Android understanding
Android understandingAndroid understanding
Android understandingRamesh Rao
 
The essential-guide-to-html5
The essential-guide-to-html5The essential-guide-to-html5
The essential-guide-to-html5Remi Kujawski
 
DC Julián Guarin Barkach-2
DC Julián Guarin Barkach-2DC Julián Guarin Barkach-2
DC Julián Guarin Barkach-2Julian Guarin Barkach
 
Den otevřených dveří SNM, FF UK
Den otevřených dveří SNM, FF UKDen otevřených dveří SNM, FF UK
Den otevřených dveří SNM, FF UKStudia nových médii, FF UK, Praha
 
Jen CV nestačí. Profesionálem na síti LinkedIn
Jen CV nestačí. Profesionálem na síti LinkedInJen CV nestačí. Profesionálem na síti LinkedIn
Jen CV nestačí. Profesionálem na síti LinkedInJakub Fiala
 
Top 10 Internet Trends 2008
Top 10 Internet Trends 2008Top 10 Internet Trends 2008
Top 10 Internet Trends 2008Jürg Stuker
 
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia IntellisyncC3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisyncguest608dc7
 
Handy-Programmierung mit Python
Handy-Programmierung mit PythonHandy-Programmierung mit Python
Handy-Programmierung mit PythonAndreas Schreiber
 
Liferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele UnternehmensanforderungenLiferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele UnternehmensanforderungenGFU Cyrus AG
 
Webcast 12 09
Webcast 12 09Webcast 12 09
Webcast 12 09Andreas Schulte
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Jürg Stuker
 
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)Novakenstein
 
Linux auf meinem PC
Linux auf meinem PCLinux auf meinem PC
Linux auf meinem PCPeter Bittner
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)Novakenstein
 
Windows 8 Client - eine Vorschau
Windows 8 Client - eine VorschauWindows 8 Client - eine Vorschau
Windows 8 Client - eine VorschauDigicomp Academy AG
 
Web 2.0 und skype
Web 2.0 und skypeWeb 2.0 und skype
Web 2.0 und skypeWalid El Sayed Aly
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010go4mobile
 
Ec2009 Templates
Ec2009 TemplatesEc2009 Templates
Ec2009 TemplatesUlrich Krause
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016ICS User Group
 
Top 10 Internet Trends 2002
Top 10 Internet Trends 2002Top 10 Internet Trends 2002
Top 10 Internet Trends 2002Jürg Stuker
 
DACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdfDACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdfDNUG e.V.
 
C1 CDH Sametime
C1 CDH SametimeC1 CDH Sametime
C1 CDH SametimeAndreas Schulte
 
Smartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSSmartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSdm-development
 
Smartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerrySmartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerrydm-development
 
CeBit 2001 Messebericht
CeBit 2001 MesseberichtCeBit 2001 Messebericht
CeBit 2001 MesseberichtThomas Wöhlke
 
Mono
MonoMono
Monoguestd7e9d
 

Contenu connexe

Similaire à Skype – Instant Messaging

Handy-Programmierung mit Python
Handy-Programmierung mit PythonHandy-Programmierung mit Python
Handy-Programmierung mit PythonAndreas Schreiber
 
Liferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele UnternehmensanforderungenLiferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele UnternehmensanforderungenGFU Cyrus AG
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Jürg Stuker
 
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)Novakenstein
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeCloudOps Summit
 
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)Novakenstein
 
Windows 8 Client - eine Vorschau
Windows 8 Client - eine VorschauWindows 8 Client - eine Vorschau
Windows 8 Client - eine VorschauDigicomp Academy AG
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010go4mobile
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016ICS User Group
 
Top 10 Internet Trends 2002
Top 10 Internet Trends 2002Top 10 Internet Trends 2002
Top 10 Internet Trends 2002Jürg Stuker
 
DACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdfDACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdfDNUG e.V.
 
Smartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSSmartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSdm-development
 
Smartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerrySmartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerrydm-development
 
CeBit 2001 Messebericht
CeBit 2001 MesseberichtCeBit 2001 Messebericht
CeBit 2001 MesseberichtThomas Wöhlke
 

Similaire à Skype – Instant Messaging (20)

Handy-Programmierung mit Python
Handy-Programmierung mit PythonHandy-Programmierung mit Python
Handy-Programmierung mit Python
 
Liferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele UnternehmensanforderungenLiferay Portal - ein Webportal für viele Unternehmensanforderungen
Liferay Portal - ein Webportal für viele Unternehmensanforderungen
 
Webcast 12 09
Webcast 12 09Webcast 12 09
Webcast 12 09
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005
 
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)
 
Linux auf meinem PC
Linux auf meinem PCLinux auf meinem PC
Linux auf meinem PC
 
WS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche WolkeWS: Uhl, Lisog - Deutsche Wolke
WS: Uhl, Lisog - Deutsche Wolke
 
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
 
Windows 8 Client - eine Vorschau
Windows 8 Client - eine VorschauWindows 8 Client - eine Vorschau
Windows 8 Client - eine Vorschau
 
Web 2.0 und skype
Web 2.0 und skypeWeb 2.0 und skype
Web 2.0 und skype
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
 
Ec2009 Templates
Ec2009 TemplatesEc2009 Templates
Ec2009 Templates
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
 
Top 10 Internet Trends 2002
Top 10 Internet Trends 2002Top 10 Internet Trends 2002
Top 10 Internet Trends 2002
 
DACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdfDACHNUG50 MX_Workshop.pdf
DACHNUG50 MX_Workshop.pdf
 
C1 CDH Sametime
C1 CDH SametimeC1 CDH Sametime
C1 CDH Sametime
 
Smartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOSSmartphone Betriebssysteme iOS
Smartphone Betriebssysteme iOS
 
Smartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerrySmartphone Betriebssysteme BlackBerry
Smartphone Betriebssysteme BlackBerry
 
CeBit 2001 Messebericht
CeBit 2001 MesseberichtCeBit 2001 Messebericht
CeBit 2001 Messebericht
 
Mono
MonoMono
Mono
 

Skype – Instant Messaging

  • 1. hilger it information services gmbh Skype – Instant Messaging Sicherheitsrisiko oder bereit für den Unternehmenseinsatz? Version: 2010.11.23
  • 2. Agenda  Überblick Instant Messaging  Historie, Funktionen  Applikationen, Protokolle  Skype  Funktionalität  Technischer Background / Architektur  Missverständnisse  Verwundbarkeiten  Risiken  Einsatz in Unternehmen 2
  • 3. Über mich  Dr. Martin HILGER  Ca. 20 Jahre IT Erfahrung  Ca. 10 Jahre IT Security, Risk Management  1988 - 2000: KPMG Österreich  2000 – 2003: ANECON  Seit 2003: KPMG International - IT Services Global ○ Enterprise Architecture, ○ Information Risk & Security Office  Seit 2006: hilger it - information services GmbH 3
  • 4. Überblick Instant Messaging  Definition  Form der Echtzeitkommunikation  zwischen zwei oder mehr Benutzern  von PCs oder anderen Devices  über das Internet  die IM software clients verwenden 4
  • 5. Überblick Instant Messaging  Historie  Erste Hälfte der 1980: Quantum Link Online Servies für Commodore 64; Quantum Link wurde später zu AOL  1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime  2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen (zunächst für Jabber) 5
  • 6. Überblick Instant Messaging  Funktionen  Chat zwischen Benutzern die online sind („presence“)  Weitere Funktionalitäten ○ File Transfer ○ Video chat ○ Telefonie (VoIP) in/out ○ SMS Messaging ○ Social Network integration ○ weitere über API Integration  Interoperabilität, Protokolle 6
  • 7. Überblick Instant Messaging  Protokolle – Applikationen  Einige offene Standards aber weitgehend proprietär! Applikation Protokoll Skype Skype Yahoo Messenger YMSG AOL OSCAR Microsoft Live Messenger MSNP Offene Standards SIP / SIMPLE, APEX, OMA 7
  • 8. Überblick Instant Messaging Enterprise vs Consumer Applikationen  Consumer ○ Skype ○ Windows Live Messenger (MSN) ○ Yahoo Messenger ○ ICQ , AIM (AOL)  Enterprise ○ Lotus Sametime ○ Microsoft Office Communicator 8
  • 9. Überblick Instant Messaging  Verbreitung 600 Skype 500 400 Windows Messenger 300 Yahoo Messenger 200 ICQ (AOL) 100 AIM 0 2009 in Mio Nutzern 9
  • 10. Überblick Instant Messaging Text Chat Audio Video Telefonie SMS File Weitere Trans- fer Skype       Windows App (Live)      sharing, white Messenger boarding, Spiele Yahoo Offline Messenger      messaging, avatars ICQ (AOL, Multi user Digital Sky Technologies)       chat AIM Multi user      chat 10
  • 11. Überblick Skype  Historie & Statistik  Gegründet 2003  Von denselben Entwicklern wie Kazaa  Vielzahl von Plattformen  iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)  Nutzer: mehr als 520 Millionen (2009)  2009: 13% Markanteil an internationalen Telefongesprächen (2008: 8%) 11
  • 12. Überblick Skype  Sicht der Analysten - Gartner  früher: „you must block“  jetzt: „if you must use Skype then….“ 12
  • 13. Überblick Skype  Funktionalität  Im wesentlichen peer to peer statt client/server: ○ Instant Messaging (peer to peer) ○ Video Conferencing (peer to peer) ○ Audio (peer to peer) ○ File Sharing (peer to peer) ○ Telefonie / VoIP (telephony gateways) ○ Viele Add Ons, zB für Desktop Sharing, Gaming etc. 13
  • 15. Skype - Architektur  Skype Backend Server – benötigt für  Login & Status tracking  Supernodes  Control traffic inklusive availability information, instant messages, und requests nach VoIP und file-transfer sessions gehen über Supernodes  Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag; erhöhte CPU usage  Clients, Nodes  „Normaler“ Skype client  Services  VoIP: two-way audio stream  IM: small text messages  File transfer  Zusätzlich: Productivity, Games, Business, Remote Access, Collaboration, Miscellaneous, Community etc 15
  • 16. Skype - Architektur  Kommunikation ○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“  Verschlüsselungsprotokolle ○ RSA, AES 256 ○ bei jeder Kommunikation ein anderer Schlüssel  Registrierungssystem für Benutzer ○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im wesentlichen unbekannt 16
  • 17. Skype - Architektur  Applikation und Protokoll  „Blackbox“, closed source  Undokumentiertes, proprietäres Protokoll  Spekulationen über back doors  Berichte mehrerer Institutionen/Regierungen darüber, dass sie Skype Kommunikation belauschen können  Diese Berichte wurden von Skype bisher nicht kommentiert 17
  • 18. Skype – Vulnerabilities Track Record Skype Jahr Alerts Kommentar V1 2004 1 High (system access, from remote) V1 2005 1 High (manipulation of data, from remote) V1 2006 1 Moderate (exposure of sensitive information from remote) V1 2007 0 N/A V1 2008 2 Moderate – high (system access from remote) V2 2008 2 Moderate – high (system access from remote) V2 2007 0 N/A V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass) V3 2007 1 High (system access from remote) V3 2008 2 Moderate – high (system access from remote) V4 2009 1 Moderate V4 2010 2 Less to moderately critical V2 2010 1 Not critical (iPhone) 18
  • 19. Skype - Vulnerabilities  Bisher  KEINE weitverbreiteten Exploits  Alle gefundenen vulnerabilities gepatcht  Potentielle Hauptschwachpunkte Verschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette? ○ User ○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API) ○ OS Konfiguration ○ PFW ○ Application Level Traffic Awareness der Unternehmens- Infrastruktur (Web Gateway, deep content filtering)  Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices 19
  • 20. Skype – Risiken  IT Sicherheits-Risiken  Phishing  „Poison“ URLs  Virus in file attachments  Compliance Risiken  Haftung gegen „inappropriate use“  Schlechte/keine technische Kontrolle über archiving/retention bzw zu löschende Inhalte  Data Leakage 20
  • 21. Skype – Security Configuration  Nur authentische Skype Kopien  Autorisierte Skype Security Configuration (Desktop/Notebook) - Beispiele  Keine Firewall exceptions  Skype darf PFW nicht umkonfigurieren  Spezifische Ports  Keine Supernodes  Nur bestimmte Skype Versionen  Automatic updates (oder gemanagtes Patching)  Last but not least: Group Policies in AD (Skype ADM) in Windows Netzwerken! 21
  • 22. Skype – Security Configuration  GPOs (Beispiele) 22
  • 23. Skype – Security Configuration  GPOs 23
  • 24. Skype – RM/Compliance  Interner Einsatz vs interner/externer Einsatz?  Ähnliche Fragestellungen wie bei Email:  Welche Inhalte sind erlaubt? (ad hoc, client confidential, etc.)  Was muss protokolliert/aufbewahrt werden? (es gibt kein zentrales Logging)  Was muss/kann gelöscht werden? 24
  • 25. Skype – Acceptable Use  Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:  Verpflichtendes User Training  Für welche Arten von Kommunikation darf Skype eingesetzt werden, für welche nicht  Müssen bestimmte Arten von Kommunikation protokolliert werden  Skype darf nur laufen wenn verwendet  Etc etc 25
  • 26. Skype – Zusammenfassung  If you must use Skype…  Sichere Konfiguration  Sicherer Betrieb (hotfixes)  Acceptable Use Policy 26
  • 27. Referenzen SANS Institute : Skype – A Practical Security Analysis http://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918 Skype Security Evaluation (2005!): http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf Wikipedia – Skype http://en.wikipedia.org/wiki/Skype CERN http://security.web.cern.ch/security/rules/en/skype.shtml University Loughborough: http://www.lboro.ac.uk/it/security/skype-policy.html Instant Messaging Protocols: http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols Skype As a Threat to National Security? http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security Mohammad Jalali’s Blog http://www.mjalali.com/blog/?p=10 Learnings from Five Years as a Skype Architect http://www.infoq.com/articles/learnings-five-years-skype-architect 27
  • 28. Referenzen An Experimental Study of the Skype Peer-to-Peer VoIP System http://saikat.guha.cc/pub/iptps06-skype/ 28
  • 30. Kontakt Dr. Martin Hilger hilger it information services gmbh +43 676 946 44 77 Martin.Hilger@hilger-it.com www.hilger-it.com The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. ©2007 hilger-it information services gmbh 30