Skype – Instant Messaging

662
-1

Published on

Skype Instant Messaging - Sicherheitsrisiko oder bereit für den Unternehmenseinsatz?

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
662
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Skype – Instant Messaging

  1. 1. hilger it information services gmbhSkype – Instant MessagingSicherheitsrisiko oder bereit fürden Unternehmenseinsatz? Version: 2010.11.23
  2. 2. Agenda Überblick Instant Messaging  Historie, Funktionen  Applikationen, Protokolle Skype  Funktionalität  Technischer Background / Architektur  Missverständnisse  Verwundbarkeiten  Risiken  Einsatz in Unternehmen 2
  3. 3. Über mich Dr. Martin HILGER  Ca. 20 Jahre IT Erfahrung  Ca. 10 Jahre IT Security, Risk Management  1988 - 2000: KPMG Österreich  2000 – 2003: ANECON  Seit 2003: KPMG International - IT Services Global ○ Enterprise Architecture, ○ Information Risk & Security Office  Seit 2006: hilger it - information services GmbH 3
  4. 4. Überblick Instant Messaging Definition  Form der Echtzeitkommunikation  zwischen zwei oder mehr Benutzern  von PCs oder anderen Devices  über das Internet  die IM software clients verwenden 4
  5. 5. Überblick Instant Messaging Historie  Erste Hälfte der 1980: Quantum Link Online Servies für Commodore 64; Quantum Link wurde später zu AOL  1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime  2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen (zunächst für Jabber) 5
  6. 6. Überblick Instant Messaging Funktionen  Chat zwischen Benutzern die online sind („presence“)  Weitere Funktionalitäten ○ File Transfer ○ Video chat ○ Telefonie (VoIP) in/out ○ SMS Messaging ○ Social Network integration ○ weitere über API Integration  Interoperabilität, Protokolle 6
  7. 7. Überblick Instant Messaging Protokolle – Applikationen  Einige offene Standards aber weitgehend proprietär! Applikation Protokoll Skype Skype Yahoo Messenger YMSG AOL OSCAR Microsoft Live Messenger MSNP Offene Standards SIP / SIMPLE, APEX, OMA 7
  8. 8. Überblick Instant MessagingEnterprise vs Consumer Applikationen  Consumer ○ Skype ○ Windows Live Messenger (MSN) ○ Yahoo Messenger ○ ICQ , AIM (AOL)  Enterprise ○ Lotus Sametime ○ Microsoft Office Communicator 8
  9. 9. Überblick Instant Messaging Verbreitung 600 Skype 500 400 Windows Messenger 300 Yahoo Messenger 200 ICQ (AOL) 100 AIM 0 2009 in Mio Nutzern 9
  10. 10. Überblick Instant Messaging Text Chat Audio Video Telefonie SMS File Weitere Trans- ferSkype      Windows App(Live)      sharing, whiteMessenger boarding, SpieleYahoo OfflineMessenger      messaging, avatarsICQ (AOL, Multi userDigital SkyTechnologies)       chatAIM Multi user      chat 10
  11. 11. Überblick Skype Historie & Statistik  Gegründet 2003  Von denselben Entwicklern wie Kazaa  Vielzahl von Plattformen  iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)  Nutzer: mehr als 520 Millionen (2009)  2009: 13% Markanteil an internationalen Telefongesprächen (2008: 8%) 11
  12. 12. Überblick Skype Sicht der Analysten - Gartner  früher: „you must block“  jetzt: „if you must use Skype then….“ 12
  13. 13. Überblick Skype Funktionalität  Im wesentlichen peer to peer statt client/server: ○ Instant Messaging (peer to peer) ○ Video Conferencing (peer to peer) ○ Audio (peer to peer) ○ File Sharing (peer to peer) ○ Telefonie / VoIP (telephony gateways) ○ Viele Add Ons, zB für Desktop Sharing, Gaming etc. 13
  14. 14. Skype - Architektur 14
  15. 15. Skype - Architektur Skype Backend Server – benötigt für  Login & Status tracking Supernodes  Control traffic inklusive availability information, instant messages, und requests nach VoIP und file-transfer sessions gehen über Supernodes  Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag; erhöhte CPU usage Clients, Nodes  „Normaler“ Skype client Services  VoIP: two-way audio stream  IM: small text messages  File transfer  Zusätzlich: Productivity, Games, Business, Remote Access, Collaboration, Miscellaneous, Community etc 15
  16. 16. Skype - Architektur  Kommunikation ○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“  Verschlüsselungsprotokolle ○ RSA, AES 256 ○ bei jeder Kommunikation ein anderer Schlüssel  Registrierungssystem für Benutzer ○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im wesentlichen unbekannt 16
  17. 17. Skype - Architektur Applikation und Protokoll  „Blackbox“, closed source  Undokumentiertes, proprietäres Protokoll Spekulationen über back doors  Berichte mehrerer Institutionen/Regierungen darüber, dass sie Skype Kommunikation belauschen können  Diese Berichte wurden von Skype bisher nicht kommentiert 17
  18. 18. Skype – VulnerabilitiesTrack Record Skype Jahr Alerts Kommentar V1 2004 1 High (system access, from remote) V1 2005 1 High (manipulation of data, from remote) V1 2006 1 Moderate (exposure of sensitive information from remote) V1 2007 0 N/A V1 2008 2 Moderate – high (system access from remote) V2 2008 2 Moderate – high (system access from remote) V2 2007 0 N/A V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass) V3 2007 1 High (system access from remote) V3 2008 2 Moderate – high (system access from remote) V4 2009 1 Moderate V4 2010 2 Less to moderately critical V2 2010 1 Not critical (iPhone) 18
  19. 19. Skype - Vulnerabilities Bisher  KEINE weitverbreiteten Exploits  Alle gefundenen vulnerabilities gepatcht Potentielle Hauptschwachpunkte Verschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette? ○ User ○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API) ○ OS Konfiguration ○ PFW ○ Application Level Traffic Awareness der Unternehmens- Infrastruktur (Web Gateway, deep content filtering)  Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices 19
  20. 20. Skype – Risiken IT Sicherheits-Risiken  Phishing  „Poison“ URLs  Virus in file attachments Compliance Risiken  Haftung gegen „inappropriate use“  Schlechte/keine technische Kontrolle über archiving/retention bzw zu löschende Inhalte  Data Leakage 20
  21. 21. Skype – Security Configuration Nur authentische Skype Kopien Autorisierte Skype Security Configuration (Desktop/Notebook) - Beispiele  Keine Firewall exceptions  Skype darf PFW nicht umkonfigurieren  Spezifische Ports  Keine Supernodes  Nur bestimmte Skype Versionen  Automatic updates (oder gemanagtes Patching)  Last but not least: Group Policies in AD (Skype ADM) in Windows Netzwerken! 21
  22. 22. Skype – Security Configuration GPOs (Beispiele) 22
  23. 23. Skype – Security Configuration GPOs 23
  24. 24. Skype – RM/Compliance Interner Einsatz vs interner/externer Einsatz? Ähnliche Fragestellungen wie bei Email:  Welche Inhalte sind erlaubt? (ad hoc, client confidential, etc.)  Was muss protokolliert/aufbewahrt werden? (es gibt kein zentrales Logging)  Was muss/kann gelöscht werden? 24
  25. 25. Skype – Acceptable Use Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:  Verpflichtendes User Training  Für welche Arten von Kommunikation darf Skype eingesetzt werden, für welche nicht  Müssen bestimmte Arten von Kommunikation protokolliert werden  Skype darf nur laufen wenn verwendet  Etc etc 25
  26. 26. Skype – Zusammenfassung If you must use Skype…  Sichere Konfiguration  Sicherer Betrieb (hotfixes)  Acceptable Use Policy 26
  27. 27. ReferenzenSANS Institute : Skype – A Practical Security Analysishttp://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918Skype Security Evaluation (2005!):http://www.skype.com/security/files/2005-031%20security%20evaluation.pdfWikipedia – Skypehttp://en.wikipedia.org/wiki/SkypeCERNhttp://security.web.cern.ch/security/rules/en/skype.shtmlUniversity Loughborough:http://www.lboro.ac.uk/it/security/skype-policy.htmlInstant Messaging Protocols:http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocolsSkype As a Threat to National Security?http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-securityMohammad Jalali’s Bloghttp://www.mjalali.com/blog/?p=10Learnings from Five Years as a Skype Architecthttp://www.infoq.com/articles/learnings-five-years-skype-architect 27
  28. 28. ReferenzenAn Experimental Study of the Skype Peer-to-Peer VoIP Systemhttp://saikat.guha.cc/pub/iptps06-skype/ 28
  29. 29. Fragen / Diskussion 29
  30. 30. Kontakt Dr. Martin Hilger hilger it information services gmbh +43 676 946 44 77 Martin.Hilger@hilger-it.com www.hilger-it.comThe information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although weendeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continueto be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. ©2007 hilger-it information services gmbh 30

×