Mitternachtshacking

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!

Genaugenommen die Firma TOM, die den Skype-Dienst in China anbietet. Und was mich ehrlich überrascht: der Skype-Chef Josh Silverman hat nichts davon gewußt. Wie hätte er auch ahnen sollen, daß TOM nicht nur ein paar Übersetzungen und bunte Icons bastelt, als sie den Source Code für die gesamten Kommunikationsprotokolle verlangt haben.

Naja, für mich nicht überraschend, daher immer Finger weg von Skype.

Hihi, Probleme mit Skype (einer Ebay-Tochter) haben offensichtlich nicht nur Normalsterbliche sondern auch Staranwälte. Meiner Meinung nach läßt sich gerade beim Service eine rote Linie von Ebay über Paypal zu Skype ziehen.  Und zu Skype und Ebay/Paypal habe ich mich denke ich ausreichend geäußert.

SANS hat im Reading Room einen hervorragenden Artikel zu VoIP Security zusammengestellt. Aus dem Inhaltsverzeichnis:

1. Introduction
2. Security vulnerabilities transitioning from POTS to VoIP
3. Real Time Protocol (RTP)
4. Asterisk and Inter-Asterisk Exchange (IAX)
5. Session Initiation Protocol (SIP)
6. Skype
7. Cisco VoIP
8. Conclusion

insgesamt 125 Seiten. Ich habe den Text bisher nur kurz überflogen, sieht aber sehr detailliert und fundiert aus. Ein echtes must-read. Nur einen neuen moderneren Font könnte sich SANS mal aussuchen …

(via SIPVicious)

Skype fällt bei Heise mal wieder komisch auf:

Angeblich öffnet Skype auf Linux ein paar merkwürdige Dateien wie /etc/passwd (vermutlich nicht merkwürdig) und durchsucht das Firefox-Homeverzeichnis. Naja, das Password-File muß jedes Programm lesen, das für eine User-ID einen Loginnamen und ein Homeverzeichnis benötigt (wenn es sich nicht auf Environment-Variablen verlassen will) und im Firefox-Verzeichnis finden sich halt auch so sinnvolle Sachen wie Proxy-Einstellungen, die Skype braucht um ins Internet zu kommen. Erstmal harmlos soweit. Im Skype-Forum wird das auch relativ sachlich diskutiert.

Nur leider ist Skype nicht zum ersten Mal auffällig geworden. Ein Serientäter sozusagen. Bei Pagetable zum Beispiel mit einer Routine zum Auslesen des BIOS. Der Inquirer hat das dann verbreitet. Genutzt wurde so etwas zum Beispiel, damit nur Intel- und nicht AMD-Anwender in den Genuß der 10er-Konferenz kommen. Sogar Kaspersky hat zu Skype ein paar nette bunte Bildchen gemalt. Zwar nach dem Motto: haben wir keine Fakten, machen wir halt eine Umfrage. Aber sieht immerhin cool aus.

Ein Forum-Teilnehmer bringt die Skype-Misere zum Abschluß noch schön auf den Punkt:

What is so bad about Skype:

• Skype has been taken over by eBay for an ludicrous amount
• eBay has a history of cooperating with federal agencies far beyond the law
• Skype is using far more protection against reverse engineering than any software I am aware of
• Kazaa claimed not to be spyware but was found to be later. Skype has been developed by the very same people.

Dem kann man außer meiner Analyse von früher kaum was hinzufügen.

Skype-User hatten und haben gestern und heute anscheinend eine größere Zahl von Benutzern ein Problem mit der Anmeldung am Netzwerk. Im Skype-Blog gibt es dazu folgende Verlautbarung:

The Skype system has not crashed or been victim of a cyber attack. We love our customers too much to let that happen. This problem occurred because of a deficiency in an algorithm within Skype networking software. This controls the interaction between the user’s own Skype client and the rest of the Skype network.

Das spielgelt die häufigsten Kritikpunkte von Skype wieder:

1. Keine geprüfte, bewährte Technologie, die seit Jahren im Einsatz ist und die Skalierbarkeit bereits unter Beweis gestellt hat
2. Proprietäre Closed-Source Technologie, keiner weiß was die verwendeten Algorithmen oder das Verschlüsselungsverfahren wirklich taugen
3. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt

Anwender, die geschäftlich auf die Nutzung von Skype angewiesen sind, haben hier leider verloren. Es freut mich ja, daß Skype seine Kunden liebt. Aber leider besteht kein Anspruch auf Ersatz irgendwelcher Schäden und freiwillig wird Skype (wir erinnern uns, as Unternehmen gehört zu eBay) vermutlich nichts rausrücken.

Damit nicht genug. Spiegel Online berichtet über ein zweites Problem mit Skype, das insbesondere in Deutschland die Anwender zu quälen scheint:

Auch in Deutschland hat Skype ein peinliches, für die betroffenen Kunden höchst irritierendes Problem: Zahlreiche Kunden mit einem kostenpflichtigen SkypeIn/SkypeOut-Vertrag verloren in den letzten Wochen ihre Telefonnummer und waren nicht mehr zu erreichen - oftmals ohne es zu merken und ohne von Skype darüber informiert zu werden. Offenbar kommt es vor allem bei Vertragsverlängerungen zur Abschaltung der gemieteten Telefonnummern, die Gebühren werden aber kassiert.

Sehr amüsant, daß Anwender aufgefordert werden, ihre Beschwerde an die E-Mail Adresse support@skype.net zu richten. An dieser Adresse schlägt vermutlich alles auf, von Benutzern die ihre Software nicht mehr starten können, zu Problemen mit der Installation, Rechnungsfehlern, etc. Wie gut sich amerikanische Firmen um die E-Mail Anfragen deutscher Kunden kümmern … dazu möchte ich mich lieber nicht äußern. Bei der Deutschen Telekom bekomme ich wenigstens noch einen echten Menschen an das Telefon. Skype läßt sich nicht mal per Skype anrufen. Da ist man froh, wenn man auf so einen Dienst geschäftlich gerade nicht angewiesen ist.

Ich kann mich nur wiederholen: Skype ist im Unternehmen ein klares no-go!

Spiegel Online hat ein paar Ratschläge zur persönlichen Abhör-Abwehr zusammengestellt:

1. Mobiltelefone meiden

Gut, das ist jetzt nichts neues. Mobiltelefone lassen sich einfach abhören, wir hatten ja in Deutschland die Diskussion um den IMSI-Catcher und es ist inzwischen wohl auch allgemein bekannt, daß die Polizei gerne mal stille SMS verwendet, um daraus die Positionsdaten eines Mobiltelefons zu ermitteln oder Bewegungsprofile zu erzeugen. Moderne Telefone die sich von den Providern stillschweigend mit Softwareupdates bestücken lassen, bieten vermutlich auch die Möglichkeit, selbst bei ausgeschalteten Telefonen Raumgespräche abzuhören. Und die Anzahl der abgehörten Telefongespräche ist in Deutschland sowieso extrem hoch.

2. Satellitentelefone vermeiden

Das ist irgendwie auch nicht überraschend. Bin Laden wird abgehört, der BND wird abgehört und angeblich sind auch schon Al-Qaida-Terroristen über ihre Satellitentelefone lokalisiert worden. Irgendwie verständlich wenn man bedenkt, daß so ein Telefon mit hoher Leistung senden muß um einen Satelliten zu erreichen und da oben sicher nichts rumschwirrt (außer ein paar reinen Fernsehsatelliten), wo nicht irgendein nationaler Geheimdienst die Finger drin hat.

3. Finger weg von Skype

Zu Skype hatte ich hier schon was geschrieben, die Hauptprobleme liegen in der proprietären Verschlüsselung, daß die Kommunikation von Servern in den USA gesteuert wird, in den seltsamen Supernodes und eben der fehlenden Kontrolle, was da eigentlich genau passiert. Noch schlimmer ist die unverschlüsselte Sprachübertragung im Internet, da verweise ich auf die Präsentationen hier auf dem Server, wie man die Kommunikation z.B. mit Cain&Abel bequem mitschneiden und dann abhören kann.

4. Nicht drahtlos surfen

Zumindest nicht unverschlüsselt oder mit WEP und schon gar nicht über einen der tollen Zugänge z.B. in der Flughafen-Lounge. Es überrascht mich immer wieder, welche Daten da im Klartext übertragen werden, von E-Mails (GMX und Web.de sind auch bei Managern sehr beliebt) über diverse Zugangsdaten (Webmail-Passwörter, POP3 etc.) bis hin zu kompletten Firmendaten als Attachment. Und alles sehr einfach zum Mitlesen, die Tools dafür sind frei verfügbar. Solange die Daten nicht verschlüsselt sind, ist das sogar legal, die Strafbarkeit nach § 202a StGB setzt einen Schutz der Daten voraus.

5. E-Mails immer verschlüsseln

E-Mails sind wie Postkarten, sie werden im Klartext (SMTP) im Internet verschickt und jeder der ein wenig Ahnung hat und an den richtigen Knoten sitzt, kann sie bequem mitlesen. Dabei gibt es genug Tools zur E-Mail Verschlüsselung. Es muß ja nicht das teure PGP sein, GNU PG tut es sicher genauso. Es gibt sogar eine schöne Version für Windows: Gpg4Win. Und nicht vergessen, der deutsche Steuerzahler bezahlt sogar dafür. Das Bundesamt für Sicherheit in der Informationstechnik (und damit indirekt wiederum das Bundesministerium des Inneren, das ja so dringend mehr Abhörbefugnisse verlangt) unterstützt Gpg4Win, die Entwicklung von GnuPG wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und Bundesministerium des Innern (BMI) im Rahmen der Aktion „Sicherheit im Internet“ direkt unterstützt.

6. Keine Office Dokumente weitergeben

Spiegel Online kennt jetzt nur Word (klar, Redakteure), das Problem betrifft aber Excel und Powerpoint ganz genauso. In den Office-Dokumenten finden sich einerseits lustige Metadaten, andererseits darf die Änderungshistorie nicht unterschätzt werden.

7. Keine Technik verwenden

Das ist vermutlich direkt an alle Politiker gerichtet: Finger weg von der Technik. Ihr habt keine Ahnung davon und macht es nur kaputt. Knöpsche drücke dürfe nur die Ekschperte. Gell, Herr Beckstein.

Kollege Matthias hat sich für die Hacking Show in Neuss etwas detaillierter mit dem VoIP-Hacking beschäftigt und eine Erweiterung für die BackTrack 2.0 gebaut:

So mal eine kleine Ergänzung zu der ganzen Sache VoIP Hacking Reloaded von meiner Seite.Es ging ja mehr um Angriffe auf die Infrastruktur, als auf die Hardware. Ich habe mir mal die Mühe gemacht und eine Erweiterung für die BackTrack geschrieben. Dort habe ich noch ein paar Tools reingepackt, die mir auf der BT noch fehlen. Obwohl diese Tools dann gar nicht während der Show benötigt wurden, also auch nicht in der Präsentation vorkommen. Die meisten Tools sind von Hacking VoIP aus der beliebten Hacking Exposed Reihe. Weiterhin habe ich noch sipbomber und sipproxy reingepackt. Diese Programme halte ich für gute Tools um die eigentlichen Telefone mal Herz und Nieren zu testen. Ich hatte leider keinen Platz mehr sonst hätte ich noch c07-h2250v4-r2.jar reingezwängt. Aber das ganze LZM Paket ist schon 10 MB groß und dann wird es knapp mit dem Brennen der BT. Das jar kann man einfach bei den Finnen runterladen und mit java –jar starten.

Das Packet nennt sich voip.lzm. Einfach in das ISO Image der BT mit rein nehmen und dann happy hacking

Matthias

Wie versprochen die Präsentation zur Ingram Micro Voice-over-IP Hacking Show (PDF; 3,2 MB). Die Slides geben natürlich nur einen unvollständigen Eindruck wieder, weil die ganzen Angriffe wie Abhören der Sprachkommunikation, Mitsniffen der SIP-Anmeldung etc. live vorgeführt wurden und bei einigen Zuschauern zu erheblichen Aha-Effekten geführt haben.

Interessant war dabei, das Interesse richtete sich weniger auf die Thematik Voice-over-IP, die meisten Teilnehmer haben VLANs bereits implementiert oder irgnorieren das Thema weitgehend sondern die Folgediskussionen drehten sich hauptsächlich um die Problematik von Skype im Unternehmensnetz.

Meine persönliche Meinung ist dazu recht eindeutig: Skype ist im Unternehmen ein klares no-go und das hauptsächlich aus folgenden Gründen:

1. Der Administrator verliert durch die vielen verschiedenen Techniken die Skype verwendet, um Firewalls zu umgehen bzw. zu durchlöchern die Kontrolle, wer welche Art der Kommunikation durchführt.
2. Die Skype-Kommunikation ist proprietär verschlüsselt, der Administrator hat keine Kontrolle, welche Daten rein oder raus gehen, insbesondere da mit Skype auch Programme und andere Dateien übertragen werden können.
3. Die Skype-Kommunikation kann über sogenannte Supernodes laufen, über die der Administrator keine Kontrolle hat. Möglicherweise routet ein Skype-Client seinen Traffic über das VPN von einer Partnerfirma zu einem internen Rechner, der dann die Daten ins Internet weiterleitet. Diese Kommunikationspfade sind kaum beherrschbar und können erheblichen Datenverkehr verursachen.
4. Skype gehört eBay, einem amerikanischen Unternehmen das für seine “benutzerfreundliche” Datenschutzpolitik bekannt ist. Amerikanischen Behörden bekommen praktisch problemlos Zugriff auf alle Daten. Nicht umsonst sitzt eBay.de in Wirklichkeit in der Schweiz, also außerhalb der Europäischen Union.
5. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt. Skype kann laut AGB einen Account ohne Angabe von Gründen löschen und die Skype-ID ggf. einem anderen User übertragen. Der kriegt dann für mich bestimmte Anrufe.

Alles Gründe, die für mich keine Rolle spielen, wenn ich privat mit Freunden per Skype telefoniere aber die den Einsatz im Unternehmen klar verbieten. Wer hier “Futter” für die Geschäftsleitung braucht, darf mir gerne eine Mail schicken.