Skype Security   WDCM Dresden   Friedemann Wulff-Woesten  Eine kritische Auseinandersetzungmit der populären Voice-over-IP...
Motivation
WTF?       Screenshot: Little Snitch & Skype für Mac OS X
aus aktuellem Anlass
Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
Glück im Unglück      Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
Remote Forensic Software      (aka Staatstrojaner)• Warum Skype per Trojaner    überwachen?    (Datei muss auf Rechner gel...
mögliche Antworten•   Skype selbst hat keine Gesprächsdaten    (virtuelle Punkt-zu-Punkt-Verbindung zwischen Teilnehmern) ...
mögliche Antworten•   Nachrichten und Gespräche geXORT mit AES-    Session Key im ICM-Modus•   Skype Protokoll bewusst seh...
mögliche Antworten•   Skype-Nutzer sind oft mobil    (Apps für alle möglichen mobilen Geräte,    Skype funktioniert auch ü...
„Skype was made by clever people“•   Schutz der Skype-Software vor Reengineering    (Anti-Debugging, Code Check, Verschlüs...
„Skype was made by clever people“•   AES 256 Transport Layer Encryption (Ende-zu-Ende)•   RSA 1024bit Schlüssel zur Aushan...
„Skype was made by clever people“•   AES 256 bit, RSA 1024 bit, 2048 bit RSA Zertifikat    → vergleichsweise „teuer“ zu bre...
Wie funktioniert Skype?•   für Firma Skype wunderbar:    Netzwerk braucht kaum Server    (auf die Anzahl der Nutzer gesehe...
Skype nodes• ordinary node („normaler Benutzer“)• supernode• relay node
Skype P2P Netzwerk    Skype login server super node              super node super node              super node
Login• Versuch, irgendeinen Supernode  (aus Hostcache) zu erreichen -  in letzter Zeit sieht man viele SN aus Microsoft IP...
Login• Client sendet 0x1603010000  Server sendet 0x1703010000• in meinem Falle sehr oft 2.17.22.161  (Datennetz der DTAG)•...
Login: das sieht dein ISP                       Screenshot: Wireshark
First Startup• ui.skype.com - „hello world“• Skype checkt dort ebenfalls für Updates
„magic“ supernode•   Verteilung des Skype Nutzerverzeichnisses,    sind untereinander verbunden•   wird man, wenn man    •...
relay node• Weiterleitung der Kommunikation von  Clients, die nicht direkt miteinander  kommunizieren können (Firewall, NA...
Woher kommen nundie abgehörten Daten?
BRD• in Deutschland wurde Skype    nachweislich erfolgreich mit Software der    Firma Digitask abgehört (aka 0zapftis)    ...
Regime unter Mubarak•   in Ägypten wurde Skype    mit der Software Finfisher    abgehört (von GAMMA aus    UK geliefert, in...
Belarussische Methode• einfacher, aber effektiver Hack: Skype-Login  und -Passwort per Trojaner abschnorcheln• auf weitere...
Belarussische Methode•   ebenfalls im Einsatz:    „Remote Manipulator System“•   Entwickler: TeknotIT•   Dropper als „Skyp...
Belarussische Methode• allerdings:RemoteAdmin.Win32.RMS)  (Kaspersky:              sehr leicht zu erkennen• Binary trägt D...
Belarussische Methode• Auswirkungen: fast alles umsetzbar,  Funktionalität des Trojaners geht sehr weit  über Überwachung ...
Beobachtungen:• keiner greift das Skype Protokoll direkt an• Datenausleitung per Skype API (Digitask)  oder direkt Mikrofo...
Advanced: Skype in China• in China kann man normalen Skype Client  nicht downloaden• stattdessen HTTP-Redirect auf Program...
Advanced: Skype in China              Screenshot: http://www.nartv.org/mirror/breachingtrust.pdf, Seite 9
Advanced: Skype in China•   Textchat wird gefiltert und auf Keywords    gescannt, ggf. zensiert (Nachrichten werden    nich...
weitere Sicherheitsbedenken ...
Skype Netzwerk missbrauchen•   paralleles Netz aufbauen•   http://www.blackhat.com/presentations/bh-europe-06/bh-    eu-06...
Skype Client missbrauchen• Skype für Mac < 5.1.0.922    → weiterleiten auf Webseite mit Malware    → bei Browser Sicherhei...
zer0-day (Windows Client)•   http://www.exploit-db.com/download_pdf/18010•   Persistent Cross Site Scripting Vulnerability...
History-Datei angreifen•   http://cryptome.org/isp-spy/skype-log-spy.pdf•   wird gern verwendet, wenn bei Hausdurchsuchung...
(not) everything is lost
Tipps•   SIP Clients als Alternative nur    verschlüsselt! → unverschlüsseltes SIP    können 12-Jährige mit Wireshark abhö...
Idee• cooles Tool, dass sich per Skype API in  offiziellen Client einklinkt und OTR auf die  Chats wirft• kann Adium (http:...
Tipps•   Privatanwender in Deutschland brauchen    nicht in Panik verfallen (Abhören von Skype ist    in BRD nicht ganz bi...
Tipps: Skype (etwas) kontrollieren•   nicht automatisch starten lassen•   nicht automatisch einloggen lassen•   Benutzerna...
Zukunft• Paranoia Attack: Microsoft könnte  Abhörschnittstelle implementieren• sehr viel wahrscheinlicher: ausgefuchste  T...
Quellen und Wiki• http://wiki.eisenrah.com/wiki/Skype
Kontakt• Mail: friedemann@wulff-woesten.de• XMPP/Jabber: eisenrah@gmail.com• Skype: eisenrah                - beware :)
Upcoming SlideShare
Loading in …5
×

Skype security

2,664 views

Published on

Eine kritische Auseinandersetzung mit der populären Voice-over-IP Lösung in Zeiten der „Staatstrojaner“

1 Comment
2 Likes
Statistics
Notes
  • Thanks! This's a nice article.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
2,664
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
11
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

Skype security

  1. 1. Skype Security WDCM Dresden Friedemann Wulff-Woesten Eine kritische Auseinandersetzungmit der populären Voice-over-IP Lösung in Zeiten der „Staatstrojaner“
  2. 2. Motivation
  3. 3. WTF? Screenshot: Little Snitch & Skype für Mac OS X
  4. 4. aus aktuellem Anlass
  5. 5. Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
  6. 6. Glück im Unglück Screenshot: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
  7. 7. Remote Forensic Software (aka Staatstrojaner)• Warum Skype per Trojaner überwachen? (Datei muss auf Rechner gelangen, Trojaner darf nicht von Virenscannern erkannt werden... Anschaffungskosten für Behörden vergleichsweise hoch)• Warum nicht gleich Pakete beim ISP abgreifen bzw. Skype zur Herausgabe der Daten bringen?
  8. 8. mögliche Antworten• Skype selbst hat keine Gesprächsdaten (virtuelle Punkt-zu-Punkt-Verbindung zwischen Teilnehmern) Skype hat z.Zt. „nur“ IP-Adressen zu Benutzernamen bei der Registrierung und beim Geld aufladen auf Skype-Konto (z.B. Paypal) Quelle: http://cryptome.org/isp-spy/skype-spy.pdf• P2P Netz (basierend auf KaZaA) teilweise Gespräche über Relays (wenn beide hinter NAT; Rechner nicht von Skype, sondern von anderen Nutzern - meist unwissentlich - bereitgestellt: „Relay Nodes“)
  9. 9. mögliche Antworten• Nachrichten und Gespräche geXORT mit AES- Session Key im ICM-Modus• Skype Protokoll bewusst sehr konfus, geschlossen alles öffentliche Wissen nur durch Reverse Engineering erhalten (welches Skype untersagt)
  10. 10. mögliche Antworten• Skype-Nutzer sind oft mobil (Apps für alle möglichen mobilen Geräte, Skype funktioniert auch über 3G-Netz sehr gut oder in der Kneipe mit kostenlosem WiFi um die Ecke → ständig wechselnde ISPs und Einwahlknoten, kaum feste IPs)• verschlüsselte UDP-Pakete nach nicht standardisiertem Protokoll, bei mehreren ISPs → müssen einem Nutzer erst einmal zugeordnet werden → nicht unmöglich, aber nicht für jede Landesbehörde machbar
  11. 11. „Skype was made by clever people“• Schutz der Skype-Software vor Reengineering (Anti-Debugging, Code Check, Verschlüsselung des Binaries, Code Obfuscation)• Verschlüsselung der reinen Signalisierung mit RC4• Einsatz von asymmetrischen (RSA) und symmetrischen Kryptoverfahren (AES) zur Verschlüsselung der Kommunikation und Authentifizierung der Nutzer
  12. 12. „Skype was made by clever people“• AES 256 Transport Layer Encryption (Ende-zu-Ende)• RSA 1024bit Schlüssel zur Aushandlung der symmetrischen AES Schlüssel• Berechnung nutzt Login und Passwort des Skype Nutzers• Public Key des Nutzers wird signiert mit 2048 bit RSA Zertifikat• Super Nodes halten Public Key und Login der Nutzer, signiert von Skype
  13. 13. „Skype was made by clever people“• AES 256 bit, RSA 1024 bit, 2048 bit RSA Zertifikat → vergleichsweise „teuer“ zu brechen, wenn man allein die Kryptoalgorithmen angreift
  14. 14. Wie funktioniert Skype?• für Firma Skype wunderbar: Netzwerk braucht kaum Server (auf die Anzahl der Nutzer gesehen, man geht von > 663 Mio. registierten aus)• Load wird auf „Cloud“ verlagert• Aufpassen bei Traffic-Limit der eigenen Leitung: Skype hat massiven Overhead (ich selbst war in Tests oft Relaynode, wenn ich lange online war, dann ca. 10kB/s pro vermitteltem Gespräch)
  15. 15. Skype nodes• ordinary node („normaler Benutzer“)• supernode• relay node
  16. 16. Skype P2P Netzwerk Skype login server super node super node super node super node
  17. 17. Login• Versuch, irgendeinen Supernode (aus Hostcache) zu erreichen - in letzter Zeit sieht man viele SN aus Microsoft IP-Adressbereichen • IP und Port • IP und Port 80 • IP und Port 443• nachdem erfolgreich mit SN verbunden, Authentifizierung gegenüber Skype Login Server
  18. 18. Login• Client sendet 0x1603010000 Server sendet 0x1703010000• in meinem Falle sehr oft 2.17.22.161 (Datennetz der DTAG)• Skype mundtod machen: einfach Pakete mit 0x170301 verwerfen (Achtung! Andere Handshakes per SSL funktionieren u.U. auch nicht mehr!)
  19. 19. Login: das sieht dein ISP Screenshot: Wireshark
  20. 20. First Startup• ui.skype.com - „hello world“• Skype checkt dort ebenfalls für Updates
  21. 21. „magic“ supernode• Verteilung des Skype Nutzerverzeichnisses, sind untereinander verbunden• wird man, wenn man • öffentliche IP hat und genügend Bandbreite • genug RAM • genug CPU-Power • ordentliche Uptime
  22. 22. relay node• Weiterleitung der Kommunikation von Clients, die nicht direkt miteinander kommunizieren können (Firewall, NAT)• großer Vorteil: ICQ und Konsorten funktionieren fast nie, denn „Lieschen Müller“ ist zu hoher Wahrscheinlichkeit hinter NAT und hat kein UPnP aktiv• Nachteil: Skype in Unternehmen...
  23. 23. Woher kommen nundie abgehörten Daten?
  24. 24. BRD• in Deutschland wurde Skype nachweislich erfolgreich mit Software der Firma Digitask abgehört (aka 0zapftis) http://ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner• es wird nichts weiter getan, als den Anruf den Skype-API als Extra-Datenstream an einen Server in den USA auszuleiten (kein Knacken von Verschlüsselung oder Befassen mit Skype Protokoll)• Daten wurden vor Gericht als Beweise verwendet
  25. 25. Regime unter Mubarak• in Ägypten wurde Skype mit der Software Finfisher abgehört (von GAMMA aus UK geliefert, in Deutschland entwickelt)• ebenfalls Trojaner, Protokoll wird nicht angegriffen• hatte gravierende Folgen für Regimegegner Screenshot: http://www.scribd.com/doc/50105199/Gamma-s-Anti-Skype-Finfisher-Spy-Software
  26. 26. Belarussische Methode• einfacher, aber effektiver Hack: Skype-Login und -Passwort per Trojaner abschnorcheln• auf weiterem Rechner Skype Instanz öffnen und mit richtigen Login-Daten einloggen• Skype synchronisiert automatisch die Clients und sendet Nachrichten an 2. Instanz• Tool: UFR Stealer
  27. 27. Belarussische Methode• ebenfalls im Einsatz: „Remote Manipulator System“• Entwickler: TeknotIT• Dropper als „Skype.exe“ getarnt, mit Skype-Logo (MD5 z.B. 43fe19eb0896979568b986b8e7fd0e42)• Binary auch auf Rechnern von Regimegegnern in Polen gefunden
  28. 28. Belarussische Methode• allerdings:RemoteAdmin.Win32.RMS) (Kaspersky: sehr leicht zu erkennen• Binary trägt Decription „RMS Component“• relevante FilesRemote Manipulator System – Server C:Program Dateien in• ebenfalls Dynamische Bibliothek in C:WINDOWSsystem32RWLN.dll• Prozesse: rutserv.exe (SYSTEM), rfusclient.exe (user)
  29. 29. Belarussische Methode• Auswirkungen: fast alles umsetzbar, Funktionalität des Trojaners geht sehr weit über Überwachung von Skype hinaus• in Deutschland würde diese Software nicht nur gegen ein Urteil des BVerfG zur Quellen-TKÜ verstoßen
  30. 30. Beobachtungen:• keiner greift das Skype Protokoll direkt an• Datenausleitung per Skype API (Digitask) oder direkt Mikrofon abgegriffen (RMS)• Kryptoalgorithmen wie AES, RSA, RC4 werden nicht angegriffen
  31. 31. Advanced: Skype in China• in China kann man normalen Skype Client nicht downloaden• stattdessen HTTP-Redirect auf Programm TOM-Skype, (http://www.skype.com auf http://skype.tom.com) entwickelt von TOM Group Limited (China)
  32. 32. Advanced: Skype in China Screenshot: http://www.nartv.org/mirror/breachingtrust.pdf, Seite 9
  33. 33. Advanced: Skype in China• Textchat wird gefiltert und auf Keywords gescannt, ggf. zensiert (Nachrichten werden nicht angezeigt)• wenn Match positiv, Upload des Chatprotokolls auf Server in China• es ist egal, ob auf der anderen Seite ein „normaler“ Skype-Client spricht• Logging-Server sind offen wie Scheunentor
  34. 34. weitere Sicherheitsbedenken ...
  35. 35. Skype Netzwerk missbrauchen• paralleles Netz aufbauen• http://www.blackhat.com/presentations/bh-europe-06/bh- eu-06-biondi/bh-eu-06-biondi-up.pdf• IP Adressen zu Nutzern mit Aufwand (leistungsfähige Rechner und Zeit) durch Sicherheitslücken im Protokoll herausfindbar, siehe Paper: „Exploiting P2P Communications to Invade Users’ Privacy“ http://cis.poly.edu/~ross/papers/skypeIMC2011.pdf
  36. 36. Skype Client missbrauchen• Skype für Mac < 5.1.0.922 → weiterleiten auf Webseite mit Malware → bei Browser Sicherheitslücke → root shell http://www.purehacking.com/blogs/gordon- maddern/skype-bug-full-disclosure• heap-based buffer overflow• Skype traut allen, die sein Protokoll sprechen
  37. 37. zer0-day (Windows Client)• http://www.exploit-db.com/download_pdf/18010• Persistent Cross Site Scripting Vulnerability• Persistent Software Vulnerability• Standby Remote Buffer Overflow Vulnerability• Denial of Service Vulnerability• Memory Corruption Vulnerability
  38. 38. History-Datei angreifen• http://cryptome.org/isp-spy/skype-log-spy.pdf• wird gern verwendet, wenn bei Hausdurchsuchungen Rechner mitgenommen werden• häufigste Angriffsstelle!
  39. 39. (not) everything is lost
  40. 40. Tipps• SIP Clients als Alternative nur verschlüsselt! → unverschlüsseltes SIP können 12-Jährige mit Wireshark abhören• mit Netzwerkfilter / Personal-Firewall (Mac OS X: Little Snitch), Skype‘s Datenverkehr (Ziel-IPs und Menge) kontrollieren & einschränken (IP Block, etc.)• Chats könnten per OTR gecryptet werden
  41. 41. Idee• cooles Tool, dass sich per Skype API in offiziellen Client einklinkt und OTR auf die Chats wirft• kann Adium (http://adium.im/) das?
  42. 42. Tipps• Privatanwender in Deutschland brauchen nicht in Panik verfallen (Abhören von Skype ist in BRD nicht ganz billig, es muss Straftat vorliegen)• Skype in Firmen nicht nutzen (quasi nicht administrierbar und undurchsichtig, auch wegen Botnetz-Gefahr)• kommerzielle Alternativen in Betracht ziehen
  43. 43. Tipps: Skype (etwas) kontrollieren• nicht automatisch starten lassen• nicht automatisch einloggen lassen• Benutzername & sicheres Passwort verwenden, nirgendwo anders benutzt• Ports 80 und 443 deaktivieren, auf bestimmten Port festlegen (z.B. 41234)• Supernode-Funktion deaktivieren (geht nur auf Windows per Registry-Schlüssel)• Filesharing-Funktion deaktivieren (auch Registry)
  44. 44. Zukunft• Paranoia Attack: Microsoft könnte Abhörschnittstelle implementieren• sehr viel wahrscheinlicher: ausgefuchste Trojaner, nicht nur für Windows• OpenSource Skype Client: http://skype-open-source.blogspot.com/
  45. 45. Quellen und Wiki• http://wiki.eisenrah.com/wiki/Skype
  46. 46. Kontakt• Mail: friedemann@wulff-woesten.de• XMPP/Jabber: eisenrah@gmail.com• Skype: eisenrah - beware :)

×