skype – instant messaging

Version: 2010.11.23Version: 2010.11.23

hilger it information services gmbh

Skype – Instant MessagingSicherheitsrisiko oder bereit für den Unternehmenseinsatz?

Agenda

Überblick Instant MessagingHistorie, FunktionenApplikationen, Protokolle

SkypeFunktionalitätTechnischer Background / ArchitekturMissverständnisseVerwundbarkeitenRisikenEinsatz in Unternehmen

2

Über mich Dr. Martin HILGER

Ca. 20 Jahre IT Erfahrung Ca. 10 Jahre IT Security, Risk Management

1988 - 2000: KPMG Österreich 2000 – 2003: ANECON Seit 2003: KPMG International - IT Services Global

○ Enterprise Architecture,○ Information Risk & Security Office

Seit 2006: hilger it - information services GmbH

3

Überblick Instant Messaging

Definition Form der Echtzeitkommunikation zwischen zwei oder mehr Benutzern von PCs oder anderen Devices über das Internet die IM software clients verwenden

4

Überblick Instant Messaging

HistorieErste Hälfte der 1980: Quantum Link Online

Servies für Commodore 64; Quantum Link wurde später zu AOL

1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime

2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen(zunächst für Jabber)

5

Überblick Instant Messaging

FunktionenChat zwischen Benutzern die online sind

(„presence“)Weitere Funktionalitäten

○ File Transfer○ Video chat○ Telefonie (VoIP) in/out○ SMS Messaging○ Social Network integration○ weitere über API Integration

Interoperabilität, Protokolle

6

Überblick Instant Messaging

Protokolle – ApplikationenEinige offene Standards aber weitgehend

proprietär!

7

Applikation Protokoll

Skype Skype

Yahoo Messenger YMSG

AOL OSCAR

Microsoft Live Messenger MSNP

Offene Standards SIP / SIMPLE, APEX, OMA

Überblick Instant MessagingEnterprise vs Consumer Applikationen

Consumer○ Skype○ Windows Live Messenger (MSN)○ Yahoo Messenger○ ICQ , AIM (AOL)

Enterprise○ Lotus Sametime○ Microsoft Office Communicator

8

Überblick Instant Messaging Verbreitung

9

2009 in Mio Nutzern0

100

200

300

400

500

600

Skype

Windows Messenger

Yahoo Messenger

ICQ (AOL)

AIM

Überblick Instant Messaging

10

Text Chat Audio Video Telefonie SMS File Trans-fer

Weitere

Skype Windows (Live) Messenger

App

sharing, white

boarding, Spiele

Yahoo Messenger

Offline messaging,

avatars

ICQ (AOL, Digital Sky Technologies)

Multi user

chat

AIM Multi user

chat

Überblick Skype

Historie & StatistikGegründet 2003Von denselben Entwicklern wie KazaaVielzahl von Plattformen

iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)

Nutzer: mehr als 520 Millionen (2009)2009: 13% Markanteil an internationalen

Telefongesprächen (2008: 8%)

11

Überblick Skype

Sicht der Analysten - Gartnerfrüher: „you must block“jetzt: „if you must use Skype then….“

12

Überblick Skype

FunktionalitätIm wesentlichen peer to peer statt

client/server:○ Instant Messaging (peer to peer)○ Video Conferencing (peer to peer)○ Audio (peer to peer)○ File Sharing (peer to peer)○ Telefonie / VoIP (telephony gateways)

○ Viele Add Ons, zB für Desktop Sharing, Gaming etc.

13

Skype - Architektur

14

Skype - Architektur Skype Backend Server – benötigt für

Login & Status tracking

Supernodes Control traffic inklusive availability information, instant messages, und

requests nach VoIP und file-transfer sessions gehen über Supernodes Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag;

erhöhte CPU usage

Clients, Nodes „Normaler“ Skype client

Services VoIP: two-way audio stream IM: small text messages File transfer Zusätzlich: Productivity, Games, Business, Remote Access,

Collaboration, Miscellaneous, Community etc

15

Skype - ArchitekturKommunikation

○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“

Verschlüsselungsprotokolle○ RSA, AES 256○ bei jeder Kommunikation ein anderer Schlüssel

Registrierungssystem für Benutzer○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im

wesentlichen unbekannt

16

Skype - Architektur

Applikation und Protokoll„Blackbox“, closed sourceUndokumentiertes, proprietäres Protokoll

Spekulationen über back doorsBerichte mehrerer Institutionen/Regierungen

darüber, dass sie Skype Kommunikation belauschen können

Diese Berichte wurden von Skype bisher nicht kommentiert

17

Skype – VulnerabilitiesTrack Record

18

Skype Jahr Alerts Kommentar

V1 2004 1 High (system access, from remote)

V1 2005 1 High (manipulation of data, from remote)

V1 2006 1 Moderate (exposure of sensitive information from remote)

V1 2007 0 N/A

V1 2008 2 Moderate – high (system access from remote)

V2 2008 2 Moderate – high (system access from remote)

V2 2007 0 N/A

V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass)

V3 2007 1 High (system access from remote)

V3 2008 2 Moderate – high (system access from remote)

V4 2009 1 Moderate

V4 2010 2 Less to moderately critical

V2 2010 1 Not critical (iPhone)

Skype - Vulnerabilities Bisher

KEINE weitverbreiteten Exploits Alle gefundenen vulnerabilities gepatcht

Potentielle HauptschwachpunkteVerschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette?

○ User○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API)○ OS Konfiguration○ PFW○ Application Level Traffic Awareness der Unternehmens-

Infrastruktur (Web Gateway, deep content filtering) Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices

19

Skype – Risiken

IT Sicherheits-RisikenPhishing„Poison“ URLsVirus in file attachments

Compliance RisikenHaftung gegen „inappropriate use“Schlechte/keine technische Kontrolle über

archiving/retention bzw zu löschende InhalteData Leakage

20

Skype – Security Configuration

Nur authentische Skype Kopien Autorisierte Skype Security Configuration

(Desktop/Notebook) - BeispieleKeine Firewall exceptionsSkype darf PFW nicht umkonfigurierenSpezifische PortsKeine SupernodesNur bestimmte Skype VersionenAutomatic updates (oder gemanagtes Patching)Last but not least: Group Policies in AD (Skype

ADM) in Windows Netzwerken!

21

Skype – Security Configuration

GPOs(Beispiele)

22

Skype – Security Configuration

GPOs

23

Skype – RM/Compliance

Interner Einsatz vs interner/externer Einsatz?

Ähnliche Fragestellungen wie bei Email:Welche Inhalte sind erlaubt?

(ad hoc, client confidential, etc.)Was muss protokolliert/aufbewahrt werden?

(es gibt kein zentrales Logging)Was muss/kann gelöscht werden?

24

Skype – Acceptable Use

Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:Verpflichtendes User TrainingFür welche Arten von Kommunikation darf

Skype eingesetzt werden, für welche nichtMüssen bestimmte Arten von

Kommunikation protokolliert werdenSkype darf nur laufen wenn verwendetEtc etc

25

Skype – Zusammenfassung If you must use Skype…

Sichere KonfigurationSicherer Betrieb (hotfixes)Acceptable Use Policy

26

Referenzen

27

SANS Institute : Skype – A Practical Security Analysishttp://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918

Skype Security Evaluation (2005!):http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf

Wikipedia – Skypehttp://en.wikipedia.org/wiki/Skype

CERNhttp://security.web.cern.ch/security/rules/en/skype.shtml

University Loughborough:

http://www.lboro.ac.uk/it/security/skype-policy.html

Instant Messaging Protocols:http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols

Skype As a Threat to National Security?http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security

Mohammad Jalali’s Bloghttp://www.mjalali.com/blog/?p=10

Learnings from Five Years as a Skype Architecthttp://www.infoq.com/articles/learnings-five-years-skype-architect

Referenzen

28

An Experimental Study of the Skype Peer-to-Peer VoIP Systemhttp://saikat.guha.cc/pub/iptps06-skype/

Fragen / Diskussion

29

30

Kontakt

Dr. Martin Hilger

hilger itinformation services gmbh

+43 676 946 44 77

Martin.Hilger@hilger-it.com

www.hilger-it.com

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

©2007 hilger-it information services gmbh