Konkrete Kritik an CVSS4
Marc Ruef
Skype ist seit langem ein beliebtes System, um Sprach- und Videoanrufe zu führen. Die Popularität der Lösung ist auf ihre Einfachheit hin zurückzuführen, die zu einer hohen Verbreitung und damit zu einem Mehr an Attraktivität geführt hat.
Aus Benutzersicht mag Skype viele Vorteile mitbringen. Aus Sicht eines Unternehmens, das um die Kontrolle und den Schutz des eigenen Netzwerks bemüht ist, handelt es sich bei Skype um einen Albtraum. Dieser Beitrag beleuchtet die sicherheitstechnischen Schwierigkeiten und die daraus resultierenden Risiken, die mit Skype einhergehen.
Am einfachsten wäre es, die Skype Clients einfach zu verbannen. Indem verhindert wird, dass diese installiert oder gestartet werden können. In Multiuser-Umgebungen können die entsprechenden Rechte, die für die Installation oder Nutzung des Standard-Skype-Clients erforderlich sind, weggenommen werden. Damit wird das Problem zwar zu grossen Teilen abgefangen. Es gibt aber Schlupflöcher, die sich nicht ohne weiteres stopfen lassen.
Normalerweise muss der Standard-Skype-Client installiert werden. Bei Skype Portable handelt es sich um eine spezielle Version der Software, die keine Installation erfordert. Da eine solche Installation in der Regel erweiterte Rechte auf einem System voraussetzt, wird damit die grosse Hürde der Unterbindung überwunden.
Das Verhindern des Ausführens fremder Software wird nach wie vor nur in den wenigsten Umgebungen durchgesetzt. Zwar könnte durch Whitelisting, wie es unter Windows mit AppLocker umgesetzt wird, dieses Ziel erreicht werden. Viele Firmen sträuben sich aber noch immer vor den zusätzlichen Aufwänden, die mit einer solch granularen Restriktion einhergehen. Für viele Angreifer heisst es also meistens: Sobald ich mein Binary auf dem System habe, kann ich es benutzen.
Die vergangenen Jahre standen ganz im Zeichen der drahtlosen Kommunikation. Immer mehr Geräte bringen die zusätzliche Flexibilität mit, ohne Kabel aber mit zusätzlichem Komfort mit ihnen arbeiten zu können. Massgeblich haben Smartphones und Tablets zu diesem Trend beigetragen.
Die Popularität dieser Lösungen ist unter anderem auch darauf zurückzuführen, dass sie einen Grossteil der Funktionalität, die man von traditionellen Computern her kennt, ebenfalls anbieten. Dazu gehört, dass der Skype-Client mittlerweile für die meisten populären Mobile-Plattformen erhältlich ist. Da selbst im Zeitalter von Bring your own Device nur sehr selten ein restriktives Device-Management von mobilen Geräten stattfindet, kann damit auf eine andere Plattform ausgewichen werden.
Falls die Installation von Skype nicht verhindert werden kann, kann man versuchen, die Kommunikation dessen zu unterbinden und damit Skype gänzlich unschädlich zu machen. Doch auch hier gibt es Fallstricke, die ihre Existenz eigentlich darin begründet haben, die reibungslose Kommunikation möglichst einfach für den Benutzer anbieten zu können.
Im Zeitalter von Firewalls und NAT wurde es für verteilte Systeme immer schwieriger, Kommunikationen herzustellen. Da eingehende Verbindungen nicht mehr ohne weiteres möglich waren, wurde vielerorts auf ausgehende Verbindungen umgeschwenkt.
Ausgehende Verbindungen werden tendenziell weniger kontrolliert und eingeschränkt, da ein Egress-Filtering ähnlich wie ein Whitelisting-Ansatz für Software mit einem überproportional hohen Aufwand verbunden ist.
Klassische Netzwerkapplikationen pflegen statische Ports zu benutzen. Zielports sind standardmässig immer die Gleichen:
Wenn nun ein Port-Blocking zum Tragen kommt, kann der Skype-Client dynamisch seine Portbelegung ändern. Dadurch wird es möglich, erlaubte Verbindungsmöglichkeiten zu finden. Unter anderem wird bewusst versucht, die Ports tcp/80 und tcp/443 zu nutzen. Diese Standard-Webports sind in den meisten Umgebungen zugelassen und werden dann einfach durch Skype mitgebraucht. Solange also irgendein ausgehender Port in einem Netzwerk zugelassen ist, kann theoretisch Skype genutzt werden.
Grundsätzlich ist ein Application Gateway mit seinen Proxies darum bemüht, die jeweiligen Kommunikationen auf Applikationsebene auf ihre Korrektheit hin zu untersuchen. Da Skype-Kommunikationen nicht wie HTTP aussehen, würde eine Verbindung über tcp/80 als illegitim erkannt und unterbunden werden.
Skype kann nun aber mittels Protokoll-Tunnelling diese Restriktion umgehen. Dabei werden die Skype-Daten in eine HTTP-Übertragung eingebettet. Der Webproxy kann nun üblicherweise nicht mehr erkennen, ob die Kommunikation zugelassen werden soll oder nicht. Nur mit erhöhtem Aufwand, der Proxy müsste um zielgerichtete eine Deep Inspection erweitert werden, wäre die Kontrolle wieder möglich. Ein erhöhter Entwicklungsaufwand und zusätzlicher Performanceverlust würde damit einhergehen.
Skype ist für Unternehmen aber nicht nur wegen seiner schwierigen Kontrolle und Einschränkung ein Problem. Sondern auch dann, wenn die Lösung bzw. die mit ihr einhergehenden Risiken akzeptiert werden. Und zwar deshalb, weil durch Skype zwangsweise die Angriffsfläche für den Benutzer, seine Kommunikation sowie das gesamte Netzwerk ansteigt.
Obwohl die Funktionalität von Skype relativ überschaubar ist, macht der Client einen überdurchschnittlich komplexen Eindruck. Erstes Indiz hierfür ist das Binary. Es ist relativ gross und schwerfällig. Dies deutet darauf hin, dass die Entwicklung des Clients nur mit erhöhtem Aufwand die notwendige Sicherheit gewährleisten kann, sofern man denn überhaupt darum bemüht war.
Skype haftet seit jeher das Negative des closed source an. Es sind keine offiziellen Details zur internen Funktionsweise des Clients und des zugrundeliegenden Protokolls bekannt. Dies macht es deshalb schwierig, die gegebenen Abhängigkeiten, potentiellen Schwachstellen und effektiven Risiken abschätzen zu können.
Ein Reverse Engineering des Windows-Binaries illustriert sehr eindrücklich, dass ein hohes Mass an Komplexität gewollt ist. Es wird voraussichtlich als Teil des Anti-Reverse-Engineerings angesehen. Überhaupt finden sich vielerlei Hinweise, dass die Entwickler keine Mühen scheuen, Drittpersonen das Erarbeiten des Verständnisses der Funktionsweise besonders schwer zu machen. Dies ist auch ein Grund, warum für Skype trotz der enormen Popularität selbst bis heute keine alternativen Clients erschienen sind.
Skype wird in erster Linie als Lösung für Internet- und Videotelefonie wahrgenommen. Doch eine weitere beliebte Funktion ist der Chat. Im Rahmen dessen lassen sich Dateien übertragen. Dadurch wird für Unternehmen ein Einfalls- und Austrittstor aufgemacht, das sich unter Umständen nicht wie gewollt kontrollieren lässt. Zwar kann mittels Proxies und Antiviren-Lösungen die Weitergabe von unerwünschten Daten – zum Beispiel per Email oder im Web – verhindert werden. Für Skype existieren jedoch keine solch ausgereiften Mechanismen.
Kommunikationsbeziehungen sind immer ein Risiko, das die Parteien bewusst oder unbewusst eingehen. Indem Verbindungen aufgebaut und Daten ausgetauscht werden, können Fehler passieren oder ausgenutzt werden. Dies beginnt bei Social-Engineering-Angriffen und endet bei hochkomplexen technischen Attacken. Nutzer von Skype setzen sich selbst, die zugrundeliegende Infrastruktur und die damit behafteten Daten immer einem Risiko aus.
Ein Grossteil der Kommunikation im Skype-Netz findet auf der Infrastruktur Dritter, im Jahr 2011 wurde die Lösung von Microsoft übernommen, statt. Man hat dementsprechend nur sehr wenig Kontrolle über die Funktionsweise und den Umgang mit den jeweiligen Daten. Ein böswilliger Knotenpunkt könnte darum bemüht sein, Kommunikationen mitzulesen oder Datenübertragungen zu manipulieren.
Die Geschlossenheit von Skype macht es sehr schwierig, seine Schwächen erkennen zu können. Schwachstellen können aber auch absichtlich eingeführt werden, indem zum Beispiel geheime Hintertüren eingebaut werden. Unter Umständen könnten Anrufe von einem bestimmten Skype-Benutzer automatisch und ohne Wissen des Benutzers seine Webcam einschalten. Oder ein spezielles Kommando auf dem Netzwerk-Port könnte Zugriff auf das Dateisystem ermöglichen.
Aus Benutzersicht ist Skype eine komfortable Lösung. Aus Sicht eines Administrators, der um die Netzwerksicherheit seines Unternehmens bemüht zu sein hat, ist es alles andere als komfortabel. Es gibt eine Vielzahl an Risiken, die durch Skype eingeführt oder massgeblich erweitert werden. Nur mit erhöhtem Aufwand wird es möglich, die Nutzung des Produkts einzuschränken.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!