Peer-to-Peer-Software, UDP, Firewall Hole Punching, Skype – Sicherheitsrisiken

Na, das war ja klar. Nach dem Beitrag zur Netzwerk-Misere im Bundestag wurde ich von Bekannten natürlich gefragt, warum ich ausgerechnet das auch von ihnen geliebte und viel genutzte Skype als potentielles Problem erwähnte. Man müsse ja wohl Software von großen Herstellern vertrauen können. Tja, ....

Das ist nun wirklich eine sehr unangenehme Frage. Aber eine, der sich zumindest professionelle Netzwerk-Administratoren ggf. ausgesetzt sehen, wenn sie im Rahmen einer Risikoanalyse und Risikobewertung für sicherheitsrelevante Netzwerkbereiche in ihrem Unternehmen das komplette Spektrum potentieller Gefahren erfassen wollen.

Trauen wir einer Software, die gezielt von innen Löcher in NAT Firewalls bohrt? Die aufgrund von Schwächen des UDP-Protokolls dann von irgendwelchen (!) externen Systemen und nicht nur vom Zielsystem unserer Kommunikation angesprochen werden kann? Die potentiell in der Lage ist, Daten von innen nach außen und von außen nach innen zu transportieren, ohne dass wir den Prozess im Detail kontrollieren könnten, gerade weil die Übertragung verschlüsselt erfolgt?

Was geschieht, wenn eine solche Software einmal über Exploits von Dritten für unlautere Zwecke genutzt werden kann? Überwiegt der potentiell mögliche Schaden wirklich den Nutzen, den eine Kommunikations-Software vom Schlage Skype unzweifelhaft mit sich bringt? Hinzu kommen die aktuellen Nutzungsbestimmungen von Microsoft, die sich jeder Systemadministrator und Sicherheitsverantwortlicher genau zu Gemüte führen sollte, das sie das Mitschneiden und Speichern der Kommunikationsinhalte potentiell zulassen. Vertraut man seine Kommunikation einem SW-Provider an, der sie ggf. irgendwo (im Ausland) und unter ungeklärten Sicherheitsvorkehrungen speichert?

Ich kann diese Fragen natürlich nicht pauschal beantworten. Es geht auch nicht speziell um Skype, sondern mehr um die Tatsache, dass eine ganze Reihe moderner Kommunikations- und auch Games-Softwarelösungen für Peer-to-Peer-Verbindungen [P2P-SW] gezielt so programmiert wird, dass sie (NAT-) Firewalls aushebeln. Dazu gibt es haufenweise Artikel im Internet - auch aus dem Bereich der Forschung. Also im Klartext:

Es gibt viele kluge Köpfe, die sich intensiv und erfolgreich Gedanken dazu machen, wie man mittels geschickt programmierter Peer-to-Peer-Software im IT-Alltag Firewalls umgehen und Verbindungen zu anderen Systemen, die ebenfalls durch Firewalls geschützt sind, aufbauen kann. Und ferner: Wie man einmal von innen eröffnete UDP-Kommunikationskanäle auch von anderen äußeren Systemen als dem vom Nutzer angewählten Kommunikations-Zielsystem für Dialoge mit der innerhalb der Firewall befindlichen SW nutzen kann?

Ich finde, man kann sich diese Tatsachen - und was sie im Kern bedeuten - gar nicht oft genug klarmachen, wenn man entsprechende Softwarepakete installiert. Dennoch: UDP-basierte Kommunikationsprogramme können selbst im Firmenumfeld nützlich sein - aber Sicherheit kann es nur geben, wenn man den Code dieser Programme kennt, ihnen daher wirklich vertrauen kann und die Kommunikation gezielt auf bestimmte Target-Systeme begrenzen kann.

Der geneigte Leser erkennt sicher, dass im professionellen Umfeld die Frage des Einblicks in den Source Code eine entscheidende Rolle bei der Risikobeurteilung spielen wird. Ist dieser Einblick nicht gegeben, so hat man es - schon aufgrund der UDP-Schwächen - mit einem potentiellen Risiko zu tun, das zumindest im Rahmen einer Sicherheitsstrategie für Unternehmen bewertet werden muss.

Ich denke, es ist im Rahmen dieses Blogs legitim, den Blick auf diese Tatsache zu lenken.

Eine Maßnahme zur Begrenzung von Risiken im Firmenumfeld kann ja z.B. sein, dass man bestimmte abgeschottete Netzwerkbereiche oder autonome Hochsicherheitsnetze etabliert, dort P2P-Software vom Schlage Skype gar nicht oder nur für bestimmte Zielsysteme zulässt und generell UDP-basierte (ausgehende) Verbindungen sperrt.

Ein weiterer Punkt ist der, dass ein Befassen mit populärer Software, die gezielt Firewalls umgeht, das Bewusstsein dafür schärfen kann, mit welchen Methoden platzierte Trojaner nach einem erfolgreichen Angriff u.a. arbeiten werden - und wie man im Ernstfall damit umgehen muss. In diesem Sinne ist es aus Sicherheitsperspektive durchaus sinnvoll, sich mit Firewall Hole Punching und Skype-ähnlicher Software, die z.B. STUN-Techniken benutzt, auseinanderzusetzen. Für diejenigen, die sich intensiver damit befassen wollen, habe ich nachfolgend ein paar Links zusammengestellt.

Dass auch manche Regierungen der westlichen Welt sich zu Recht intensiv mit dem Thema P2P-SW und u.a. auch Skype auseinandersetzen, zeigt u.a. der erste Link. Den dortigen Ausführungen ist kaum etwas hinzuzufügen. Ich gehe davon aus, dass auch meine Bekannten nach der Lektüre besser verstehen, warum ich das Thema im vorletzten Artikel ansprach.

Überblick über Risiken
http://www.ncsc.govt.nz/assets/NCSC-Documents/NCSC-Skype-Guidance-1.1.pdf
http://www.scip.ch/?labs.20140918

Technik und Risiken
https://www.rfc-editor.org/pdfrfc/rfc5128.txt.pdf

Hinweise auf spezielle Risiken
http://www.networkworld.com/article/2220923/microsoft-subnet/skype-exploits--i-know-where-you-are--what-you-are-sharing--and-how-to-best-stalk-y.html
http://www.makeuseof.com/tag/researchers-discover-skype-flaw-lets-hackers-track-news/

Informationen für Administratoren vom Hersteller
http://download.skype.com/share/business/guides/skype-it-administrators-guide.pdf
http://kirils.org/skype/stuff/pdf/2006/guide-for-network-admins-30beta.pdf

Einführende Artikel über die Umgehung von NAT Firewalls
http://www.heise.de/security/artikel/Wie-Skype-Co-Firewalls-umgehen-270856.html
http://www.h-online.com/security/features/How-Skype-Co-get-round-firewalls-747314.html
http://resources.infosecinstitute.com/udp-hole-punching/
http://www.it-administrator.de/lexikon/udp_hole_punching.html
http://www.cyberciti.biz/tips/howto-linux-iptables-bypass-firewall-restriction.html

Mehr Theorie
http://www.mi.fu-berlin.de/inf/groups/ag-tech/teaching/2009-10_WS/S_19510b_Proseminar_Technische_Informatik/fehrmann10you_slides.pdf
http://archive.cone.informatik.uni-freiburg.de/teaching/lecture/peer-to-peer-w12/slides/p2p12-16.pdf
https://www.goto.info.waseda.ac.jp/~wei/file/wei-apan-v10.pdf

Ausblick
https://www.iab.org/wp-content/IAB-uploads/2014/12/semi2015_huitema.pdf