Thema: Wie Skype & Co. Firewalls umgehen

[SiLæncer]

Peer-to-Peer-Software ist der Albtraum eines Netzwerk-Admins. Um möglichst direkt Pakete mit dem Gegenüber austauschen zu können, bohrt sie mit raffinierten Tricks Löcher in Firewalls, die eigentlich keine Pakete von draußen reinlassen sollen.

Hinter einer Firewall, die das System vor den Gefahren aus dem Internet schützen soll, sitzen immer mehr Rechner. Im Idealfall realisiert diese Firewall-Funktion ein Router, der auch noch die lokale Netzwerkadresse des PC passend auf die öffentliche IP-Adresse umsetzt (Network Adress Translation, NAT). So kann kein Angreifer von außen den PC erreichen - Verbindungsaufbau ist nur von drinnen nach draußen möglich.

Problematisch wird das natürlich, wenn zwei Rechner jeweils hinter so einer NAT-Firewall sitzen und trotzdem direkt miteinander reden sollen - beispielsweise weil ihre Besitzer via Voice over IP miteinander telefonieren wollen. Das Dilemma ist offensichtlich: Egal, wer von den beiden wen anruft - die Firewall des Gegenübers wehrt den vermeintlichen Angriff ab und wirft die Datenpakete einfach weg; ein Gespräch kommt nicht zustande. So würde das ein Netzwerkadministrator jedenfalls erwarten.

Aufgebohrt

Doch wer schon einmal die populäre Internet-Telefonie-Software Skype eingesetzt hat, weiß, dass die hinter einer NAT-Firewall genauso reibungslos funktioniert, als hinge der PC direkt am Internet. Denn die Erfinder von Skype & Co. haben sich für dieses Problem etwas einfallen lassen.

Selbstverständlich muss jede Firewall auch Pakete ins lokale Netz hereinlassen - schließlich will der Anwender Webseiten betrachten, E-Mails lesen und so weiter. Dazu muss die Firewall die zugehörigen Datenpakete von außen an den Arbeitsplatzrechner im LAN weiterleiten. Sie tut dies aber nur, wenn sie zu der Überzeugung gelangt, dass ein Paket die Antwort auf ein ausgehendes Datenpaket darstellt. Dazu führt ein NAT-Router Tabellen, welcher interne Rechner mit welchem externen gesprochen hat und welche Ports die beiden dabei verwendet haben.

Der Trick der VoIP-Software besteht nun darin, der eigenen Firewall vorzugaukeln, es existiere eine Verbindung, der sie die später eingehenden Datenpakete zuordnen soll. Zugute kommt Skype dabei die Tatsache, dass die Audiodaten für VoIP ohnehin über das verbindungslose UDP verschickt werden. Anders als bei TCP, das in jedem Paket zusätzliche Verbindungsinformationen transportiert, sieht eine Firewall bei UDP nur die Adressen und Ports von Quell- und Zielsystem. Stimmen die bei einem eingehenden UDP-Paket mit den Daten eines NAT-Tabelleneintrags überein, leitet sie das Paket guten Gewissens an den internen Rechner weiter.

Vermittlung

Eine wichtige Aufgabe beim Gesprächsaufbau mit Skype übernimmt ein Vermittlungsserver, mit dem beide Kommunikationspartner in ständigem Kontakt stehen. Dies geschieht über eine TCP-Verbindung, die die Clients selber aufbauen. Der Skype-Server weiß somit ständig, unter welcher Adresse ein Skyper aktuell im Internet zu erreichen ist. Die eigentlichen Telefonverbindungen laufen wenn irgend möglich nicht über den Skype-Server. Stattdessen tauschen die Clients diese Daten direkt aus.

Angenommen Alice will ihren Freund Bob anrufen. Ihr Skype-Client teilt diesen Wunsch dem Skype-Server mit. Der weiß dabei schon einiges über Alice: An der ankommenden Anfrage sieht er, dass Alice derzeit unter der IP-Adresse 1.1.1.1 zu erreichen ist und ein kurzer Test enthüllt, dass ihre Audiodaten immer von UDP-Port 1414 kommen. Diese Informationen übermittelt der Skype-Server an den Skype-Client von Bob, den er laut seiner Datenbank derzeit unter der IP-Adresse 2.2.2.2 erreicht und der bevorzugt den UDP-Port 2828 verwendet.

Mehr...

Quelle : www.heise.de

[SiLæncer]

Die Windows-Version des Video- und Telefonie-Software Skype liest die BIOS-Daten des Rechners aus. Wie eine Hackerin mit dem Pseudonym Myria in einem Blog-Eintrag berichtet, legt die Software nach dem Start eine ausführbare Datei namens 1.com im Temp-Verzeichnis des Anwenders ab, die Code zum Übetragen der Daten im BIOS-Adressbereich zur aufrufenden Applikation enthält. Was die Skype-Software mit den Daten anstellt, die unter anderem die Seriennummer des Mainboards enthalten können, ist bislang noch unklar. Die geheimnisvolle com-Datei war nur durch eine Fehlermeldung aufgefallen, die Skype beim Start auf Systemen mit 64-Bit-Windows ausgibt. Den 64-Bit-Versionen fehlt die zur Ausführung des Programms nötige "NT Virtual DOS Machine" (NTVDM), die direkte Zugriffe auf BIOS-Speicherseiten ermöglicht.

Interessanterweise unternimmt die Skype-Software offenbar auch Schritte, die das Auslesen der com-Datei verhindern sollen. Den Ausführungen von Myria zufolge ließ sich die Datei erst nach einem Reboot aufgrund einer erzwungenen Kernel-Panic öffnen. Wie sich an den Kommentaren zum Blog-Posting erkennen lässt, nähren solche Maßnahmen allerdings das Misstrauen gegenüber dem Skype-Hersteller. AMD hatte Skype Anfang vergangenen Jahres in einem Kartellstreit mit Intel beschuldigt, die damals auf AMD-Systemen nicht verfügbare Konferenzfunktion seiner Telefonie-Software speziell auf Intel-Prozessoren zurechtgeschnitten zu haben.

Siehe dazu auch:

    * Skype Reads Your BIOS and Motherboard Serial Number, Blog-Eintrag von myria

Quelle und Links : http://www.heise.de/security/news/meldung/84955

[SiLæncer]

Die kürzlich entdeckten BIOS-Zugriffe der Video- und Telefoniesoftware Skype erfolgen durch die Plug-in-Verwaltung "Skype Extras Manager". Wie der Chief Security Officer des Unternehmens, Kurt Sauer, schreibt, nutzt die von der Firma EasyBits Software zugekaufte Komponente die BIOS-Daten zur eindeutigen Identifizierung von Rechnern, um per DRM die Einhaltung von Lizenzabkommen für die einzelnen Plug-ins zu kontrollieren.

Der Extras-Manager – erreichbar über Aktionen -> Extras -> Extras verwalten – wurde mit Skype 3 für Windows eingeführt. Er bietet Zugriff auf eine Fülle von teils kostenpflichtigen Zusatzmodulen, beispielsweise für kollaboratives Arbeiten, Datentransfer und Spielepartien zwischen Gesprächspartnern. Da es jedoch auf 64-Bit-Windows zu Fehlfunktionen der Software kam, liest die neue Skype-Version 3.0.0.216 laut Sauer nun keine BIOS-Daten mehr aus.

Wie genau die Skype-Komponente von EasyBits mit den gewonnenen Rechner-Daten umgeht, geht aus Sauers Ausführungen nicht hervor. Es ist jedoch denkbar, dass die eindeutigen Fingerabrücke an zentraler Stelle ausgewertet werden, um beispielsweise für Lizenzabkommen auf die Zahl der weltweit installierten Einheiten schließen zu können oder unerlaubte Kopien zu erkennen. Wer mehr über die Funktionsweise von Skype erfahren möchte, kann sich in einem Hintergrundartikel von heise Security informieren, wie Skype Firewalls umgeht. Außerdem beschreibt ein auf der Sicherheitskonferenz Black Hat 2006 gehaltener Vortrag die Ergebnisse einer tiefergehenden Analyse einer älteren Version der Software.

Quelle : www.heise.de