Skype hat in den letzten Jahren mehr und mehr an Bedeutung gewonnen, viele User nutzen die kostenlose Software v\u00f6llig unbedarft. Verantwortlich f\u00fcr die Verbreitung ist wohl die Tatsache, dass der Voice-over-IP-Dienst Skype schnell zu installieren ist und sich fast immer einen Weg durch die bestehende Firewall sucht. Genau dieser Umstand l\u00f6st aber immer wieder Diskussionen aus, wie sicher Skype ist, oder ob durch Skype evtl. eine Sicherheitsl\u00fccke entsteht.<\/p>\n
Durch die Skype-API ist es beispielsweise f\u00fcr externe Programme m\u00f6glich, auf die Funktionalit\u00e4ten des Skype-Clients und Teile des Netzwerkes zuzugreifen. Beispiel f\u00fcr eine solche Nutzung der API ist der SAM-Anrufbeantworter. Neben dem Telefonieren bietet Skype auch die M\u00f6glichkeit des Instant-Messaging, wobei auch Chats mit mehreren Teilnehmern m\u00f6glich sind und Dateien \u00fcbertragen werden k\u00f6nnen.<\/p>\n
Da es sich beim VoIP-Protokoll von Skype um eine propriet\u00e4re Eigenentwicklung handelt und der Hersteller die genaue Funktionsweise des Clients nicht offen gelegt hat, bleibt die Frage, was Skype sonst noch so alles kann und welche Risiken der Einsatz etwa im Unternehmensfeld mit sich bringt.<\/p>\n
Seit langem gibt es Versuche, die Arbeitsweise von Skype zu analysieren. Im Jahr 2004 lieferte die Universit\u00e4t Columbia erste Erkenntnisse, hier wurde aber haupts\u00e4chlich der Netzwerkverkehr untersucht. Philippe Biondi und Fabrice Desclaux von EADS haben vor einiger Zeit auf der Black-Hat-Konferenz nachgelegt und ihre Erkenntnisse zur Arbeitsweise des Clients ver\u00f6ffentlicht.<\/p>\n
Die beiden fanden heraus, dass der Hersteller gro\u00dfen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. Offensichtlich erkennt der Skype-Client, ob er in einem Debugger l\u00e4uft und \u00e4ndert daraufhin sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschl\u00fcsselt und werden erst zur Laufzeit ausgepackt. Die Ver\u00f6ffentlichung „Silver Needle in the Skype“ der beiden EADS-Wissenschaftler zeigt, wie es m\u00f6glich ist, Skype zu \u00fcberlisten, um es trotzdem zu analysieren.<\/p>\n
Weiter ist es den beiden gelungen, die Art der Datenverschl\u00fcsselung, die Berechnung des Keys sowie die Authentifizierung von Skype herauszufinden. Ein Teil ihres Vortrags zeigt sogar die prinzipielle M\u00f6glichkeit auf, manipulierte Supernodes ins Netz zu bringen, um VoIP-Verkehr umzuleiten und zu belauschen.<\/p>\n
Skype muss als nicht abh\u00f6rsicher angesehen werden. Zwar gibt Skype die Verschl\u00fcsselung bei direkten Gespr\u00e4chen zwischen Benutzern an, was sowohl f\u00fcr Kriminelle als auch f\u00fcr Strafverfolgungsbeh\u00f6rden Probleme schafft, jedoch wollte ein Sprecher von Skype in einem Interview eine grunds\u00e4tzliche Abh\u00f6rm\u00f6glichkeit nicht ausschlie\u00dfen. Kurt Sauer, Leiter der Sicherheitsabteilung von Skype, antwortete ausweichend auf die durch ZDNet gestellte Frage, ob Skype die Gespr\u00e4che abh\u00f6ren k\u00f6nne: \u201eWir stellen eine sichere Kommunikationsm\u00f6glichkeit zur Verf\u00fcgung. Ich werde Ihnen nicht sagen, ob wir dabei zuh\u00f6ren k\u00f6nnen oder nicht.\u201c Die Implementierung eines Textfilters in China deutet ebenfalls auf diese M\u00f6glichkeit hin.<\/p>\n
Im Jahr 2008 wurde bekannt, dass die \u00f6sterreichischen Beh\u00f6rden Skype abh\u00f6ren k\u00f6nnen.<\/p>\n
Die europ\u00e4ische Beh\u00f6rde zur Koordinierung grenz\u00fcberschreitender Strafermittlung (Eurojust) warf Skype 2009 vor, das Abh\u00f6ren von VoIP-Telefonaten durch ein Verschl\u00fcsselungssystem zu verhindern. Dieser Vorwurf wurde zur\u00fcckgenommen, als Skype seine Zusammenarbeit anbot.<\/p>\n
Matthias Walter,<\/strong> http:\/\/www.tec4net.com<\/a><\/p>\n ______________________________________________________________ Vortrag von Philippe Biondi und Fabrice Desclaux Erkenntnisse zum Skype Protokoll der Universit\u00e4t Columbia Telefonieren \u00fcbers Internet (zdnet) Backdoor f\u00fcr \u00f6sterreichische Beh\u00f6rden
\nQuellen und Links:<\/strong><\/strong><\/p>\n
\nhttp:\/\/www.secdev.org\/conf\/skype_BHEU06.handout.pdf<\/a><\/p>\n
\nhttp:\/\/www1.cs.columbia.edu\/~library\/TR-repository\/reports\/reports-2004\/cucs-039-04.pdf<\/a><\/p>\n
\nhttp:\/\/www.zdnet.de\/mobiles_internet_drahtloses_arbeiten_telefonieren_uebers_internet_wie_sicher_ist_skype_wirklich_story-39001620-39151472-3.htm<\/a><\/p>\n
\nhttp:\/\/www.heise.de\/security\/Spekulationen-um-Backdoor-in-Skype–\/news\/meldung\/113281<\/a><\/p>\n