Skype – Instant Messaging

  • View
    511

  • Download
    2

Embed Size (px)

DESCRIPTION

Skype Instant Messaging - Sicherheitsrisiko oder bereit fr den Unternehmenseinsatz?

Transcript

  • 1. hilger it information services gmbhSkype Instant MessagingSicherheitsrisiko oder bereit frden Unternehmenseinsatz?Version: 2010.11.23

2. Agenda berblick Instant Messaging Historie, Funktionen Applikationen, Protokolle Skype Funktionalitt Technischer Background / Architektur Missverstndnisse Verwundbarkeiten Risiken Einsatz in Unternehmen 2 3. ber mich Dr. Martin HILGER Ca. 20 Jahre IT Erfahrung Ca. 10 Jahre IT Security, Risk Management 1988 - 2000: KPMG sterreich 2000 2003: ANECON Seit 2003: KPMG International - IT Services Global Enterprise Architecture, Information Risk & Security Office Seit 2006: hilger it - information services GmbH 3 4. berblick Instant Messaging Definition Form der Echtzeitkommunikation zwischen zwei oder mehr Benutzern von PCs oder anderen Devices ber das Internet die IM software clients verwenden4 5. berblick Instant Messaging Historie Erste Hlfte der 1980: Quantum Link OnlineServies fr Commodore 64; Quantum Linkwurde spter zu AOL 1990er: ICQ, AOL Messenger; spter Excite,MSN, Yahoo, IBM Sametime 2000er: standardisiertes XMPP Protokoll Gateway zu anderen IM Protokollen(zunchst fr Jabber) 5 6. berblick Instant Messaging Funktionen Chat zwischen Benutzern die online sind(presence) Weitere Funktionalitten File Transfer Video chat Telefonie (VoIP) in/out SMS Messaging Social Network integration weitere ber API Integration Interoperabilitt, Protokolle6 7. berblick Instant Messaging Protokolle Applikationen Einige offene Standards aber weitgehend proprietr! ApplikationProtokoll SkypeSkype Yahoo MessengerYMSG AOLOSCAR Microsoft Live Messenger MSNP Offene Standards SIP / SIMPLE, APEX, OMA7 8. berblick Instant MessagingEnterprise vs Consumer Applikationen Consumer Skype Windows Live Messenger (MSN) Yahoo Messenger ICQ , AIM (AOL) Enterprise Lotus Sametime Microsoft Office Communicator 8 9. berblick Instant Messaging Verbreitung 600Skype 500 400WindowsMessenger 300YahooMessenger 200ICQ (AOL) 100AIM02009 in Mio Nutzern9 10. berblick Instant MessagingText Chat Audio Video Telefonie SMS File WeitereTrans-ferSkype WindowsApp(Live) sharing,whiteMessenger boarding,SpieleYahooOfflineMessenger messaging,avatarsICQ (AOL,Multi userDigital SkyTechnologies) chatAIMMulti user chat10 11. berblick Skype Historie & Statistik Gegrndet 2003 Von denselben Entwicklern wie Kazaa Vielzahl von Plattformen iOS, Symbian, Windows,Windows Mobile, Blackberry, Linux, Android, MacOS X, mehrere Dutzend Mobile Phones, Playstation etc) Nutzer: mehr als 520 Millionen (2009) 2009: 13% Markanteil an internationalen Telefongesprchen (2008: 8%)11 12. berblick Skype Sicht der Analysten - Gartner frher: you must block jetzt: if you must use Skype then.12 13. berblick Skype Funktionalitt Im wesentlichen peer to peer statt client/server: Instant Messaging (peer to peer) Video Conferencing (peer to peer) Audio (peer to peer) File Sharing (peer to peer) Telefonie / VoIP (telephony gateways) Viele Add Ons, zB fr Desktop Sharing, Gaming etc.13 14. Skype - Architektur14 15. Skype - Architektur Skype Backend Server bentigt fr Login & Status tracking Supernodes Control traffic inklusive availability information, instant messages, undrequests nach VoIP und file-transfer sessions gehen ber Supernodes Insgesamt moderater Resourcenbedarf aber u.U. mehrere 100MB/Tag;erhhte CPU usage Clients, Nodes Normaler Skype client Services VoIP: two-way audio stream IM: small text messages File transfer Zustzlich: Productivity, Games, Business, Remote Access,Collaboration, Miscellaneous, Community etc15 16. Skype - Architektur Kommunikation auch hinter Unternehmens-Firewalls (UDP, ansonsten TCP, auch Ports 80 und 443) > aggressives Firewall bypassing by design Verschlsselungsprotokolle RSA, AES 256 bei jeder Kommunikation ein anderer Schlssel Registrierungssystem fr Benutzer Registrierung ist unkontrolliert, d.h. Benutzeridentitt im wesentlichen unbekannt 16 17. Skype - Architektur Applikation und Protokoll Blackbox, closed source Undokumentiertes, proprietres Protokoll Spekulationen ber back doors Berichte mehrerer Institutionen/Regierungendarber, dass sie Skype Kommunikationbelauschen knnen Diese Berichte wurden von Skype bishernicht kommentiert17 18. Skype VulnerabilitiesTrack RecordSkype Jahr Alerts KommentarV12004 1High (system access, from remote)V12005 1High (manipulation of data, from remote)V12006 1Moderate (exposure of sensitive information from remote)V12007 0N/AV12008 2Moderate high (system access from remote)V22008 2Moderate high (system access from remote)V22007 0N/AV22006 1Moderate (exposure of sensitive information from remote,security bypass)V32007 1High (system access from remote)V32008 2Moderate high (system access from remote)V42009 1ModerateV42010 2Less to moderately criticalV22010 1Not critical (iPhone) 18 19. Skype - Vulnerabilities Bisher KEINE weitverbreiteten Exploits Alle gefundenen vulnerabilities gepatcht Potentielle HauptschwachpunkteVerschlsselung ist AES 256bit aber was ist das schwchsteGlied in der Kette? User Skype Konfiguration, Applikationsarchitektur (Add Ons, API) OS Konfiguration PFW Application Level Traffic Awareness der Unternehmens-Infrastruktur (Web Gateway, deep content filtering) Enterprise Blocking: IDS Snort Config, Bluecoat Best Practices19 20. Skype Risiken IT Sicherheits-Risiken Phishing Poison URLs Virus in file attachments Compliance Risiken Haftung gegen inappropriate use Schlechte/keine technische Kontrolle berarchiving/retention bzw zu lschende Inhalte Data Leakage 20 21. Skype Security Configuration Nur authentische Skype Kopien Autorisierte Skype Security Configuration(Desktop/Notebook) - Beispiele Keine Firewall exceptions Skype darf PFW nicht umkonfigurieren Spezifische Ports Keine Supernodes Nur bestimmte Skype Versionen Automatic updates (oder gemanagtes Patching) Last but not least: Group Policies in AD (SkypeADM) in Windows Netzwerken!21 22. Skype Security Configuration GPOs(Beispiele) 22 23. Skype Security Configuration GPOs 23 24. Skype RM/Compliance Interner Einsatz vs interner/externerEinsatz? hnliche Fragestellungen wie bei Email: Welche Inhalte sind erlaubt?(ad hoc, client confidential, etc.) Was muss protokolliert/aufbewahrt werden?(es gibt kein zentrales Logging) Was muss/kann gelscht werden?24 25. Skype Acceptable Use Acceptable use policy (CERN, verschUnternehmen, Universitten), Beispiele: Verpflichtendes User Training Fr welche Arten von Kommunikation darfSkype eingesetzt werden, fr welche nicht Mssen bestimmte Arten vonKommunikation protokolliert werden Skype darf nur laufen wenn verwendet Etc etc25 26. Skype Zusammenfassung If you must use Skype Sichere Konfiguration Sicherer Betrieb (hotfixes) Acceptable Use Policy26 27. ReferenzenSANS Institute : Skype A Practical Security Analysishttp://www.sans.org/reading_room/whitepapers/voip/skype-practical-security-analysis_32918Skype Security Evaluation (2005!):http://www.skype.com/security/files/2005-031%20security%20evaluation.pdfWikipedia Skypehttp://en.wikipedia.org/wiki/SkypeCERNhttp://security.web.cern.ch/security/rules/en/skype.shtmlUniversity Loughborough:http://www.lboro.ac.uk/it/security/skype-policy.htmlInstant Messaging Protocols:http://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocolsSkype As a Threat to National Security?http://blogs.gartner.com/john_pescatore/2009/07/27/skype-as-a-threat-to-national-securityMohammad Jalalis Bloghttp://www.mjalali.com/blog/?p=10Learnings from Five Years as a Skype Architecthttp://www.infoq.com/articles/learnings-five-years-skype-architect27 28. ReferenzenAn Experimental Study of the Skype Peer-to-Peer VoIP Systemhttp://saikat.guha.cc/pub/iptps06-skype/28 29. Fragen / Diskussion29 30. Kontakt Dr. Martin Hilger hilger it information services gmbh +43 676 946 44 77 Martin.Hilger@hilger-it.com www.hilger-it.comThe information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although weendeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continueto be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.2007 hilger-it information services gmbh30