Your SlideShare is downloading. ×
Skype security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Skype security

1,705
views

Published on

Eine kritische Auseinandersetzung mit der populären Voice-over-IP Lösung in Zeiten der „Staatstrojaner“

Eine kritische Auseinandersetzung mit der populären Voice-over-IP Lösung in Zeiten der „Staatstrojaner“


1 Comment
2 Likes
Statistics
Notes
  • Thanks! This's a nice article.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
1,705
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
1
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Skype Security WDCM Dresden Friedemann Wulff-Woesten Eine kritische Auseinandersetzungmit der populären Voice-over-IP Lösung in Zeiten der „Staatstrojaner“
  • 2. Motivation
  • 3. WTF? Screenshot: Little Snitch & Skype für Mac OS X
  • 4. aus aktuellem Anlass
  • 5. Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
  • 6. Glück im Unglück Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
  • 7. Remote Forensic Software (aka Staatstrojaner)• Warum Skype per Trojaner überwachen? (Datei muss auf Rechner gelangen, Trojaner darf nicht von Virenscannern erkannt werden... Anschaffungskosten für Behörden vergleichsweise hoch)• Warum nicht gleich Pakete beim ISP abgreifen bzw. Skype zur Herausgabe der Daten bringen?
  • 8. mögliche Antworten• Skype selbst hat keine Gesprächsdaten (virtuelle Punkt-zu-Punkt-Verbindung zwischen Teilnehmern) Skype hat z.Zt. „nur“ IP-Adressen zu Benutzernamen bei der Registrierung und beim Geld aufladen auf Skype-Konto (z.B. Paypal) Quelle: http://cryptome.org/isp-spy/skype-spy.pdf• P2P Netz (basierend auf KaZaA) teilweise Gespräche über Relays (wenn beide hinter NAT; Rechner nicht von Skype, sondern von anderen Nutzern - meist unwissentlich - bereitgestellt: „Relay Nodes“)
  • 9. mögliche Antworten• Nachrichten und Gespräche geXORT mit AES- Session Key im ICM-Modus• Skype Protokoll bewusst sehr konfus, geschlossen alles öffentliche Wissen nur durch Reverse Engineering erhalten (welches Skype untersagt)
  • 10. mögliche Antworten• Skype-Nutzer sind oft mobil (Apps für alle möglichen mobilen Geräte, Skype funktioniert auch über 3G-Netz sehr gut oder in der Kneipe mit kostenlosem WiFi um die Ecke → ständig wechselnde ISPs und Einwahlknoten, kaum feste IPs)• verschlüsselte UDP-Pakete nach nicht standardisiertem Protokoll, bei mehreren ISPs → müssen einem Nutzer erst einmal zugeordnet werden → nicht unmöglich, aber nicht für jede Landesbehörde machbar
  • 11. „Skype was made by clever people“• Schutz der Skype-Software vor Reengineering (Anti-Debugging, Code Check, Verschlüsselung des Binaries, Code Obfuscation)• Verschlüsselung der reinen Signalisierung mit RC4• Einsatz von asymmetrischen (RSA) und symmetrischen Kryptoverfahren (AES) zur Verschlüsselung der Kommunikation und Authentifizierung der Nutzer
  • 12. „Skype was made by clever people“• AES 256 Transport Layer Encryption (Ende-zu-Ende)• RSA 1024bit Schlüssel zur Aushandlung der symmetrischen AES Schlüssel• Berechnung nutzt Login und Passwort des Skype Nutzers• Public Key des Nutzers wird signiert mit 2048 bit RSA Zertifikat• Super Nodes halten Public Key und Login der Nutzer, signiert von Skype
  • 13. „Skype was made by clever people“• AES 256 bit, RSA 1024 bit, 2048 bit RSA Zertifikat → vergleichsweise „teuer“ zu brechen, wenn man allein die Kryptoalgorithmen angreift
  • 14. Wie funktioniert Skype?• für Firma Skype wunderbar: Netzwerk braucht kaum Server (auf die Anzahl der Nutzer gesehen, man geht von > 663 Mio. registierten aus)• Load wird auf „Cloud“ verlagert• Aufpassen bei Traffic-Limit der eigenen Leitung: Skype hat massiven Overhead (ich selbst war in Tests oft Relaynode, wenn ich lange online war, dann ca. 10kB/s pro vermitteltem Gespräch)
  • 15. Skype nodes• ordinary node („normaler Benutzer“)• supernode• relay node
  • 16. Skype P2P Netzwerk Skype login server super node super node super node super node
  • 17. Login• Versuch, irgendeinen Supernode (aus Hostcache) zu erreichen - in letzter Zeit sieht man viele SN aus Microsoft IP-Adressbereichen • IP und Port • IP und Port 80 • IP und Port 443• nachdem erfolgreich mit SN verbunden, Authentifizierung gegenüber Skype Login Server
  • 18. Login• Client sendet 0x1603010000 Server sendet 0x1703010000• in meinem Falle sehr oft 2.17.22.161 (Datennetz der DTAG)• Skype mundtod machen: einfach Pakete mit 0x170301 verwerfen (Achtung! Andere Handshakes per SSL funktionieren u.U. auch nicht mehr!)
  • 19. Login: das sieht dein ISP Screenshot: Wireshark
  • 20. First Startup• ui.skype.com - „hello world“• Skype checkt dort ebenfalls für Updates
  • 21. „magic“ supernode• Verteilung des Skype Nutzerverzeichnisses, sind untereinander verbunden• wird man, wenn man • öffentliche IP hat und genügend Bandbreite • genug RAM • genug CPU-Power • ordentliche Uptime
  • 22. relay node• Weiterleitung der Kommunikation von Clients, die nicht direkt miteinander kommunizieren können (Firewall, NAT)• großer Vorteil: ICQ und Konsorten funktionieren fast nie, denn „Lieschen Müller“ ist zu hoher Wahrscheinlichkeit hinter NAT und hat kein UPnP aktiv• Nachteil: Skype in Unternehmen...
  • 23. Woher kommen nundie abgehörten Daten?
  • 24. BRD• in Deutschland wurde Skype nachweislich erfolgreich mit Software der Firma Digitask abgehört (aka 0zapftis) http://ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner• es wird nichts weiter getan, als den Anruf den Skype-API als Extra-Datenstream an einen Server in den USA auszuleiten (kein Knacken von Verschlüsselung oder Befassen mit Skype Protokoll)• Daten wurden vor Gericht als Beweise verwendet
  • 25. Regime unter Mubarak• in Ägypten wurde Skype mit der Software Finfisher abgehört (von GAMMA aus UK geliefert, in Deutschland entwickelt)• ebenfalls Trojaner, Protokoll wird nicht angegriffen• hatte gravierende Folgen für Regimegegner Screenshot: http://www.scribd.com/doc/50105199/Gamma-s-Anti-Skype-Finfisher-Spy-Software
  • 26. Belarussische Methode• einfacher, aber effektiver Hack: Skype-Login und -Passwort per Trojaner abschnorcheln• auf weiterem Rechner Skype Instanz öffnen und mit richtigen Login-Daten einloggen• Skype synchronisiert automatisch die Clients und sendet Nachrichten an 2. Instanz• Tool: UFR Stealer
  • 27. Belarussische Methode• ebenfalls im Einsatz: „Remote Manipulator System“• Entwickler: TeknotIT• Dropper als „Skype.exe“ getarnt, mit Skype-Logo (MD5 z.B. 43fe19eb0896979568b986b8e7fd0e42)• Binary auch auf Rechnern von Regimegegnern in Polen gefunden
  • 28. Belarussische Methode• allerdings:RemoteAdmin.Win32.RMS) (Kaspersky: sehr leicht zu erkennen• Binary trägt Decription „RMS Component“• relevante FilesRemote Manipulator System – Server C:Program Dateien in• ebenfalls Dynamische Bibliothek in C:WINDOWSsystem32RWLN.dll• Prozesse: rutserv.exe (SYSTEM), rfusclient.exe (user)
  • 29. Belarussische Methode• Auswirkungen: fast alles umsetzbar, Funktionalität des Trojaners geht sehr weit über Überwachung von Skype hinaus• in Deutschland würde diese Software nicht nur gegen ein Urteil des BVerfG zur Quellen-TKÜ verstoßen
  • 30. Beobachtungen:• keiner greift das Skype Protokoll direkt an• Datenausleitung per Skype API (Digitask) oder direkt Mikrofon abgegriffen (RMS)• Kryptoalgorithmen wie AES, RSA, RC4 werden nicht angegriffen
  • 31. Advanced: Skype in China• in China kann man normalen Skype Client nicht downloaden• stattdessen HTTP-Redirect auf Programm TOM-Skype, (http://www.skype.com auf http://skype.tom.com) entwickelt von TOM Group Limited (China)
  • 32. Advanced: Skype in China Screenshot: http://www.nartv.org/mirror/breachingtrust.pdf, Seite 9
  • 33. Advanced: Skype in China• Textchat wird gefiltert und auf Keywords gescannt, ggf. zensiert (Nachrichten werden nicht angezeigt)• wenn Match positiv, Upload des Chatprotokolls auf Server in China• es ist egal, ob auf der anderen Seite ein „normaler“ Skype-Client spricht• Logging-Server sind offen wie Scheunentor
  • 34. weitere Sicherheitsbedenken ...
  • 35. Skype Netzwerk missbrauchen• paralleles Netz aufbauen• http://www.blackhat.com/presentations/bh-europe-06/bh- eu-06-biondi/bh-eu-06-biondi-up.pdf• IP Adressen zu Nutzern mit Aufwand (leistungsfähige Rechner und Zeit) durch Sicherheitslücken im Protokoll herausfindbar, siehe Paper: „Exploiting P2P Communications to Invade Users’ Privacy“ http://cis.poly.edu/~ross/papers/skypeIMC2011.pdf
  • 36. Skype Client missbrauchen• Skype für Mac < 5.1.0.922 → weiterleiten auf Webseite mit Malware → bei Browser Sicherheitslücke → root shell http://www.purehacking.com/blogs/gordon- maddern/skype-bug-full-disclosure• heap-based buffer overflow• Skype traut allen, die sein Protokoll sprechen
  • 37. zer0-day (Windows Client)• http://www.exploit-db.com/download_pdf/18010• Persistent Cross Site Scripting Vulnerability• Persistent Software Vulnerability• Standby Remote Buffer Overflow Vulnerability• Denial of Service Vulnerability• Memory Corruption Vulnerability
  • 38. History-Datei angreifen• http://cryptome.org/isp-spy/skype-log-spy.pdf• wird gern verwendet, wenn bei Hausdurchsuchungen Rechner mitgenommen werden• häufigste Angriffsstelle!
  • 39. (not) everything is lost
  • 40. Tipps• SIP Clients als Alternative nur verschlüsselt! → unverschlüsseltes SIP können 12-Jährige mit Wireshark abhören• mit Netzwerkfilter / Personal-Firewall (Mac OS X: Little Snitch), Skype‘s Datenverkehr (Ziel-IPs und Menge) kontrollieren & einschränken (IP Block, etc.)• Chats könnten per OTR gecryptet werden
  • 41. Idee• cooles Tool, dass sich per Skype API in offiziellen Client einklinkt und OTR auf die Chats wirft• kann Adium (http://adium.im/) das?
  • 42. Tipps• Privatanwender in Deutschland brauchen nicht in Panik verfallen (Abhören von Skype ist in BRD nicht ganz billig, es muss Straftat vorliegen)• Skype in Firmen nicht nutzen (quasi nicht administrierbar und undurchsichtig, auch wegen Botnetz-Gefahr)• kommerzielle Alternativen in Betracht ziehen
  • 43. Tipps: Skype (etwas) kontrollieren• nicht automatisch starten lassen• nicht automatisch einloggen lassen• Benutzername & sicheres Passwort verwenden, nirgendwo anders benutzt• Ports 80 und 443 deaktivieren, auf bestimmten Port festlegen (z.B. 41234)• Supernode-Funktion deaktivieren (geht nur auf Windows per Registry-Schlüssel)• Filesharing-Funktion deaktivieren (auch Registry)
  • 44. Zukunft• Paranoia Attack: Microsoft könnte Abhörschnittstelle implementieren• sehr viel wahrscheinlicher: ausgefuchste Trojaner, nicht nur für Windows• OpenSource Skype Client: http://skype-open-source.blogspot.com/
  • 45. Quellen und Wiki• http://wiki.eisenrah.com/wiki/Skype
  • 46. Kontakt• Mail: friedemann@wulff-woesten.de• XMPP/Jabber: eisenrah@gmail.com• Skype: eisenrah - beware :)