skype – instant messaging
Post on 13-Dec-2014
526 Views
Preview:
DESCRIPTION
TRANSCRIPT
Version: 2010.11.23Version: 2010.11.23
hilger it information services gmbh
Skype – Instant MessagingSicherheitsrisiko oder bereit für den Unternehmenseinsatz?
Agenda
Überblick Instant MessagingHistorie, FunktionenApplikationen, Protokolle
SkypeFunktionalitätTechnischer Background / ArchitekturMissverständnisseVerwundbarkeitenRisikenEinsatz in Unternehmen
2
Über mich Dr. Martin HILGER
Ca. 20 Jahre IT Erfahrung Ca. 10 Jahre IT Security, Risk Management
1988 - 2000: KPMG Österreich 2000 – 2003: ANECON Seit 2003: KPMG International - IT Services Global
○ Enterprise Architecture,○ Information Risk & Security Office
Seit 2006: hilger it - information services GmbH
3
Überblick Instant Messaging
Definition Form der Echtzeitkommunikation zwischen zwei oder mehr Benutzern von PCs oder anderen Devices über das Internet die IM software clients verwenden
4
Überblick Instant Messaging
HistorieErste Hälfte der 1980: Quantum Link Online
Servies für Commodore 64; Quantum Link wurde später zu AOL
1990er: ICQ, AOL Messenger; später Excite, MSN, Yahoo, IBM Sametime
2000er: standardisiertes XMPP Protokoll – Gateway zu anderen IM Protokollen(zunächst für Jabber)
5
Überblick Instant Messaging
FunktionenChat zwischen Benutzern die online sind
(„presence“)Weitere Funktionalitäten
○ File Transfer○ Video chat○ Telefonie (VoIP) in/out○ SMS Messaging○ Social Network integration○ weitere über API Integration
Interoperabilität, Protokolle
6
Überblick Instant Messaging
Protokolle – ApplikationenEinige offene Standards aber weitgehend
proprietär!
7
Applikation Protokoll
Skype Skype
Yahoo Messenger YMSG
AOL OSCAR
Microsoft Live Messenger MSNP
Offene Standards SIP / SIMPLE, APEX, OMA
Überblick Instant MessagingEnterprise vs Consumer Applikationen
Consumer○ Skype○ Windows Live Messenger (MSN)○ Yahoo Messenger○ ICQ , AIM (AOL)
Enterprise○ Lotus Sametime○ Microsoft Office Communicator
8
Überblick Instant Messaging Verbreitung
9
2009 in Mio Nutzern0
100
200
300
400
500
600
Skype
Windows Messenger
Yahoo Messenger
ICQ (AOL)
AIM
Überblick Instant Messaging
10
Text Chat Audio Video Telefonie SMS File Trans-fer
Weitere
Skype Windows (Live) Messenger
App
sharing, white
boarding, Spiele
Yahoo Messenger
Offline messaging,
avatars
ICQ (AOL, Digital Sky Technologies)
Multi user
chat
AIM Multi user
chat
Überblick Skype
Historie & StatistikGegründet 2003Von denselben Entwicklern wie KazaaVielzahl von Plattformen
iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc)
Nutzer: mehr als 520 Millionen (2009)2009: 13% Markanteil an internationalen
Telefongesprächen (2008: 8%)
11
Überblick Skype
Sicht der Analysten - Gartnerfrüher: „you must block“jetzt: „if you must use Skype then….“
12
Überblick Skype
FunktionalitätIm wesentlichen peer to peer statt
client/server:○ Instant Messaging (peer to peer)○ Video Conferencing (peer to peer)○ Audio (peer to peer)○ File Sharing (peer to peer)○ Telefonie / VoIP (telephony gateways)
○ Viele Add Ons, zB für Desktop Sharing, Gaming etc.
13
Skype - Architektur
14
Skype - Architektur Skype Backend Server – benötigt für
Login & Status tracking
Supernodes Control traffic inklusive availability information, instant messages, und
requests nach VoIP und file-transfer sessions gehen über Supernodes Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag;
erhöhte CPU usage
Clients, Nodes „Normaler“ Skype client
Services VoIP: two-way audio stream IM: small text messages File transfer Zusätzlich: Productivity, Games, Business, Remote Access,
Collaboration, Miscellaneous, Community etc
15
Skype - ArchitekturKommunikation
○ auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) –> „aggressives Firewall bypassing by design“
Verschlüsselungsprotokolle○ RSA, AES 256○ bei jeder Kommunikation ein anderer Schlüssel
Registrierungssystem für Benutzer○ Registrierung ist „unkontrolliert“, d.h. Benutzeridentität im
wesentlichen unbekannt
16
Skype - Architektur
Applikation und Protokoll„Blackbox“, closed sourceUndokumentiertes, proprietäres Protokoll
Spekulationen über back doorsBerichte mehrerer Institutionen/Regierungen
darüber, dass sie Skype Kommunikation belauschen können
Diese Berichte wurden von Skype bisher nicht kommentiert
17
Skype – VulnerabilitiesTrack Record
18
Skype Jahr Alerts Kommentar
V1 2004 1 High (system access, from remote)
V1 2005 1 High (manipulation of data, from remote)
V1 2006 1 Moderate (exposure of sensitive information from remote)
V1 2007 0 N/A
V1 2008 2 Moderate – high (system access from remote)
V2 2008 2 Moderate – high (system access from remote)
V2 2007 0 N/A
V2 2006 1 Moderate (exposure of sensitive information from remote, security bypass)
V3 2007 1 High (system access from remote)
V3 2008 2 Moderate – high (system access from remote)
V4 2009 1 Moderate
V4 2010 2 Less to moderately critical
V2 2010 1 Not critical (iPhone)
Skype - Vulnerabilities Bisher
KEINE weitverbreiteten Exploits Alle gefundenen vulnerabilities gepatcht
Potentielle HauptschwachpunkteVerschlüsselung ist AES 256bit – aber was ist das schwächste Glied in der Kette?
○ User○ Skype Konfiguration, Applikationsarchitektur (Add Ons, API)○ OS Konfiguration○ PFW○ Application Level Traffic Awareness der Unternehmens-
Infrastruktur (Web Gateway, deep content filtering) Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices
19
Skype – Risiken
IT Sicherheits-RisikenPhishing„Poison“ URLsVirus in file attachments
Compliance RisikenHaftung gegen „inappropriate use“Schlechte/keine technische Kontrolle über
archiving/retention bzw zu löschende InhalteData Leakage
20
Skype – Security Configuration
Nur authentische Skype Kopien Autorisierte Skype Security Configuration
(Desktop/Notebook) - BeispieleKeine Firewall exceptionsSkype darf PFW nicht umkonfigurierenSpezifische PortsKeine SupernodesNur bestimmte Skype VersionenAutomatic updates (oder gemanagtes Patching)Last but not least: Group Policies in AD (Skype
ADM) in Windows Netzwerken!
21
Skype – Security Configuration
GPOs(Beispiele)
22
Skype – Security Configuration
GPOs
23
Skype – RM/Compliance
Interner Einsatz vs interner/externer Einsatz?
Ähnliche Fragestellungen wie bei Email:Welche Inhalte sind erlaubt?
(ad hoc, client confidential, etc.)Was muss protokolliert/aufbewahrt werden?
(es gibt kein zentrales Logging)Was muss/kann gelöscht werden?
24
Skype – Acceptable Use
Acceptable use policy (CERN, versch Unternehmen, Universitäten), Beispiele:Verpflichtendes User TrainingFür welche Arten von Kommunikation darf
Skype eingesetzt werden, für welche nichtMüssen bestimmte Arten von
Kommunikation protokolliert werdenSkype darf nur laufen wenn verwendetEtc etc
25
Skype – Zusammenfassung If you must use Skype…
Sichere KonfigurationSicherer Betrieb (hotfixes)Acceptable Use Policy
26
Referenzen
27
SANS Institute : Skype – A Practical Security Analysishttp://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918
Skype Security Evaluation (2005!):http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf
Wikipedia – Skypehttp://en.wikipedia.org/wiki/Skype
CERNhttp://security.web.cern.ch/security/rules/en/skype.shtml
University Loughborough:
http://www.lboro.ac.uk/it/security/skype-policy.html
Instant Messaging Protocols:http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols
Skype As a Threat to National Security?http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-security
Mohammad Jalali’s Bloghttp://www.mjalali.com/blog/?p=10
Learnings from Five Years as a Skype Architecthttp://www.infoq.com/articles/learnings-five-years-skype-architect
Referenzen
28
An Experimental Study of the Skype Peer-to-Peer VoIP Systemhttp://saikat.guha.cc/pub/iptps06-skype/
Fragen / Diskussion
29
30
Kontakt
Dr. Martin Hilger
hilger itinformation services gmbh
+43 676 946 44 77
Martin.Hilger@hilger-it.com
www.hilger-it.com
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.
©2007 hilger-it information services gmbh
top related