skype – instant messaging

30
Version: 2010.11.23 hilger it information services gmbh Skype – Instant Messaging Sicherheitsrisiko oder bereit für den Unternehmenseinsatz?

Upload: martin-hilger

Post on 13-Dec-2014

529 views

Category:

Technology


2 download

DESCRIPTION

Skype Instant Messaging - Sicherheitsrisiko oder bereit für den Unternehmenseinsatz?

TRANSCRIPT

Page 1: Skype – Instant Messaging

Version: 2010.11.23Version: 2010.11.23

hilger it information services gmbh

Skype – Instant MessagingSicherheitsrisiko oder bereit für den Unternehmenseinsatz?

Page 2: Skype – Instant Messaging

Agenda

Überblick Instant MessagingHistorie, FunktionenApplikationen, Protokolle

SkypeFunktionalitätTechnischer Background / ArchitekturMissverständnisseVerwundbarkeitenRisikenEinsatz in Unternehmen

2

Page 3: Skype – Instant Messaging

Über mich Dr. Martin HILGER

Ca. 20 Jahre IT Erfahrung Ca. 10 Jahre IT Security, Risk Management

1988 - 2000: KPMG Österreich 2000 – 2003: ANECON Seit 2003: KPMG International - IT Services Global

○ Enterprise Architecture,○ Information Risk & Security Office

Seit 2006: hilger it - information services GmbH

3

Page 4: Skype – Instant Messaging

Überblick Instant Messaging

Definition Form der Echtzeitkommunikation zwischen zwei oder mehr Benutzern von PCs oder anderen Devices über das Internet die IM software clients verwenden

4

Page 5: Skype – Instant Messaging

Überblick Instant Messaging

HistorieErste Hälfte der 1980: Quantum Link Online

Servies für Commodore 64; Quantum Link wurde später zu AOL

1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime

2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen(zunächst für Jabber)

5

Page 6: Skype – Instant Messaging

Überblick Instant Messaging

FunktionenChat zwischen Benutzern die online sind

(„presence“)Weitere Funktionalitäten

○ File Transfer○ Video chat○ Telefonie (VoIP) in/out○ SMS Messaging○ Social Network integration○ weitere über API Integration

Interoperabilität, Protokolle

6

Page 7: Skype – Instant Messaging

Überblick Instant Messaging

Protokolle – ApplikationenEinige offene Standards aber weitgehend

proprietär!

7

Applikation Protokoll

Skype Skype

Yahoo Messenger YMSG

AOL OSCAR

Microsoft Live Messenger MSNP

Offene Standards SIP / SIMPLE, APEX, OMA

Page 8: Skype – Instant Messaging

Überblick Instant MessagingEnterprise vs Consumer Applikationen

Consumer○ Skype○ Windows Live Messenger (MSN)○ Yahoo Messenger○ ICQ , AIM (AOL)

Enterprise○ Lotus Sametime○ Microsoft Office Communicator

8

Page 9: Skype – Instant Messaging

Überblick Instant Messaging Verbreitung

9

2009 in Mio Nutzern0

100

200

300

400

500

600

Skype

Windows Messenger

Yahoo Messenger

ICQ (AOL)

AIM

Page 10: Skype – Instant Messaging

Überblick Instant Messaging

10

Text Chat Audio Video Telefonie SMS File Trans-fer

Weitere

Skype Windows (Live) Messenger

App

sharing, white

boarding, Spiele

Yahoo Messenger

Offline messaging,

avatars

ICQ (AOL, Digital Sky Technologies)

Multi user

chat

AIM Multi user

chat

Page 11: Skype – Instant Messaging

Überblick Skype

Historie & StatistikGegründet 2003Von denselben Entwicklern wie KazaaVielzahl von Plattformen

iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)

Nutzer: mehr als 520 Millionen (2009)2009: 13% Markanteil an internationalen

Telefongesprächen (2008: 8%)

11

Page 12: Skype – Instant Messaging

Überblick Skype

Sicht der Analysten - Gartnerfrüher: „you must block“jetzt: „if you must use Skype then….“

12

Page 13: Skype – Instant Messaging

Überblick Skype

FunktionalitätIm wesentlichen peer to peer statt

client/server:○ Instant Messaging (peer to peer)○ Video Conferencing (peer to peer)○ Audio (peer to peer)○ File Sharing (peer to peer)○ Telefonie / VoIP (telephony gateways)

○ Viele Add Ons, zB für Desktop Sharing, Gaming etc.

13

Page 14: Skype – Instant Messaging

Skype - Architektur

14

Page 15: Skype – Instant Messaging

Skype - Architektur Skype Backend Server – benötigt für

Login & Status tracking

Supernodes Control traffic inklusive availability information, instant messages, und

requests nach VoIP und file-transfer sessions gehen über Supernodes Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag;

erhöhte CPU usage

Clients, Nodes „Normaler“ Skype client

Services VoIP: two-way audio stream IM: small text messages File transfer Zusätzlich: Productivity, Games, Business, Remote Access,

Collaboration, Miscellaneous, Community etc

15

Page 16: Skype – Instant Messaging

Skype - ArchitekturKommunikation

○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“

Verschlüsselungsprotokolle○ RSA, AES 256○ bei jeder Kommunikation ein anderer Schlüssel

Registrierungssystem für Benutzer○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im

wesentlichen unbekannt

16

Page 17: Skype – Instant Messaging

Skype - Architektur

Applikation und Protokoll„Blackbox“, closed sourceUndokumentiertes, proprietäres Protokoll

Spekulationen über back doorsBerichte mehrerer Institutionen/Regierungen

darüber, dass sie Skype Kommunikation belauschen können

Diese Berichte wurden von Skype bisher nicht kommentiert

17

Page 18: Skype – Instant Messaging

Skype – VulnerabilitiesTrack Record

18

Skype Jahr Alerts Kommentar

V1 2004 1 High (system access, from remote)

V1 2005 1 High (manipulation of data, from remote)

V1 2006 1 Moderate (exposure of sensitive information from remote)

V1 2007 0 N/A

V1 2008 2 Moderate – high (system access from remote)

V2 2008 2 Moderate – high (system access from remote)

V2 2007 0 N/A

V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass)

V3 2007 1 High (system access from remote)

V3 2008 2 Moderate – high (system access from remote)

V4 2009 1 Moderate

V4 2010 2 Less to moderately critical

V2 2010 1 Not critical (iPhone)

Page 19: Skype – Instant Messaging

Skype - Vulnerabilities Bisher

KEINE weitverbreiteten Exploits Alle gefundenen vulnerabilities gepatcht

Potentielle HauptschwachpunkteVerschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette?

○ User○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API)○ OS Konfiguration○ PFW○ Application Level Traffic Awareness der Unternehmens-

Infrastruktur (Web Gateway, deep content filtering) Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices

19

Page 20: Skype – Instant Messaging

Skype – Risiken

IT Sicherheits-RisikenPhishing„Poison“ URLsVirus in file attachments

Compliance RisikenHaftung gegen „inappropriate use“Schlechte/keine technische Kontrolle über

archiving/retention bzw zu löschende InhalteData Leakage

20

Page 21: Skype – Instant Messaging

Skype – Security Configuration

Nur authentische Skype Kopien Autorisierte Skype Security Configuration

(Desktop/Notebook) - BeispieleKeine Firewall exceptionsSkype darf PFW nicht umkonfigurierenSpezifische PortsKeine SupernodesNur bestimmte Skype VersionenAutomatic updates (oder gemanagtes Patching)Last but not least: Group Policies in AD (Skype

ADM) in Windows Netzwerken!

21

Page 22: Skype – Instant Messaging

Skype – Security Configuration

GPOs(Beispiele)

22

Page 23: Skype – Instant Messaging

Skype – Security Configuration

GPOs

23

Page 24: Skype – Instant Messaging

Skype – RM/Compliance

Interner Einsatz vs interner/externer Einsatz?

Ähnliche Fragestellungen wie bei Email:Welche Inhalte sind erlaubt?

(ad hoc, client confidential, etc.)Was muss protokolliert/aufbewahrt werden?

(es gibt kein zentrales Logging)Was muss/kann gelöscht werden?

24

Page 25: Skype – Instant Messaging

Skype – Acceptable Use

Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:Verpflichtendes User TrainingFür welche Arten von Kommunikation darf

Skype eingesetzt werden, für welche nichtMüssen bestimmte Arten von

Kommunikation protokolliert werdenSkype darf nur laufen wenn verwendetEtc etc

25

Page 26: Skype – Instant Messaging

Skype – Zusammenfassung If you must use Skype…

Sichere KonfigurationSicherer Betrieb (hotfixes)Acceptable Use Policy

26

Page 27: Skype – Instant Messaging

Referenzen

27

SANS Institute : Skype – A Practical Security Analysishttp://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918

Skype Security Evaluation (2005!):http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf

Wikipedia – Skypehttp://en.wikipedia.org/wiki/Skype

CERNhttp://security.web.cern.ch/security/rules/en/skype.shtml

University Loughborough:

http://www.lboro.ac.uk/it/security/skype-policy.html

Instant Messaging Protocols:http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols

Skype As a Threat to National Security?http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security

Mohammad Jalali’s Bloghttp://www.mjalali.com/blog/?p=10

Learnings from Five Years as a Skype Architecthttp://www.infoq.com/articles/learnings-five-years-skype-architect

Page 28: Skype – Instant Messaging

Referenzen

28

An Experimental Study of the Skype Peer-to-Peer VoIP Systemhttp://saikat.guha.cc/pub/iptps06-skype/

Page 29: Skype – Instant Messaging

Fragen / Diskussion

29

Page 30: Skype – Instant Messaging

30

Kontakt

Dr. Martin Hilger

hilger itinformation services gmbh

+43 676 946 44 77

[email protected]

www.hilger-it.com

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

©2007 hilger-it information services gmbh