(openPR) - Die Peer-to-Peer Software „Skype“ ist ein weit verbreitetes, kostenfreies Tool für VoIP-Telefonie, Chat und Instant Messaging. Die Software hat dabei den Ruf, problemlos in nahezu jeder Firewallumgebung zu funktionieren und für den Endnutzer sehr einfach bedienbar zu sein.
Die derzeit 370 Millionen registrierten Anwender scheinen dies zu bestätigen. Auf der anderen Seite wird immer wieder Kritik an Skype laut. Quelle sind hier vor allem die IT-Abteilungen in Unternehmen, die Sicherheitsbedenken wegen der mit Skype durchtunnelten Firewalls äußern. Aber auch die konsequente Verschleierung des Programmcodes und des Netzwerkverkehrs tragen ihren Anteil zu der Verunsicherung bei.
Skype ist ein proprietäres VoIP System von Skype Technologies S.A., ein in Luxemburg registriertes Unternehmen. Skype wurde 2003 von Niklas Zennström and Janus Friis gegründet, den gleichen Unternehmern, die bereits das Peer-to-Peer Protokoll „FastTrack“ und das darauf basierende Programm „KaZaA“ entwickelt haben.
Der Erfolg von Skype, wie auch vorher bereits der von KaZaA, dürfte wohl vor allem in seiner ausgesprochenen Anwenderfreundlichkeit liegen. Im Gegensatz zu vielen anderen Produkten arbeitet Skype nämlich auch problemlos hinter den meisten NAT-Routern, Firewalls und Proxies.
Nach erfolgreicher Installation und Anmeldung bei Skype stehen dem Nutzer diverse Funktionen zur Verfügung:
1. Chat
2. Video- und Audio Telefonie zu Zielen auch außerhalb des Skype-Netzwerkes („SkypeOut“/“SkypeIn“)
3. Anrufbeantworter
4. Versenden von SMS
5. Senden von PayPal-Zahlungen (PayPal ist ebenfalls ein Teil des eBay-Konzerns)
6. Austausch von Dateien
Dieser Segen an Funktionsvielfalt steht dabei nicht selten in Konflikt mit dem, was durch die Schutzwirkung einer Firewall und anderer Sicherungsmaßnahmen vermieden werden soll: Der völlig ungehinderte und unkontrollierbare Fluss beliebiger Daten über die Unternehmensgrenzen hinweg. Und Skype tut vieles dafür, die „Spaßbremse Admin“ zu umgehen. Für die Installation der Software auf dem lokalen PC braucht man im Normalfall nicht einmal die Privilegien eines Administrators. Die Kommunikation mit der Außenwelt wird dann trickreich durch die Firewall über gängige Ports (http, https) getunnelt. Schließlich arbeitet Skype mit vollständig verschlüsselten proprietären Netzwerkprotokollen und ständig wechselnden Peers, sodass es bereits eine Herausforderung ist, den Netzwerkverkehr von Skype überhaupt zuverlässig zu identifizieren.
Leider bleiben jedoch wichtige Details über die Funktionsweise von Skype im Verborgenen. Der gesamte Programmcode schützt sich außerordentlich trickreich gegen Reverse Engineering. Außerdem wird der Netzwerkverkehr nicht nur verschlüsselt abgewickelt, sondern zusätzlich auch noch durch einen RC4 Stream Cypher verschleiert. Auf diese Weise sind noch nicht einmal die Kommunikationsbestandteile beobachtbar, die beim Einsatz standardisierter kryptographischer Verfahren normalerweise noch im Klartext oder zumindest nachvollziehbar wären (z.B. Handshakes, oder Challenges). Wie aufwändig der Schutz gegen Reverse Engineering oder das „Network Obfuscation Layer“ gestaltet sind, lässt sich der Arbeit von Biondi und Desclaux vom „IT sec Lab“ der EADS (European Aeronautic Defence and Space Company) entnehmen.
Sicherheitsbedenken beim Einsatz von Skype
Verschleierung
Die Skype-Software und der genaue Ablauf der Kommunikation sind bisher eine beinahe vollständige Blackbox. Zumindest das „Network Obfuscation Layer“ arbeitet mit proprietären Protokollen. Dabei hat sich gerade beim Einsatz von kryptographischen Verfahren immer wieder bestätigt, dass die nicht-Offenlegung eines Mechanimus kein Garant für dessen Sicherheit ist (Kerckhoffs’ Prinzip). Dies wurde zuletzt durch die MIFARE-Attacke, die sogar die Dienstausweise der Bundeswehr betrifft, wieder einmal eindrucksvoll bewiesen. Skype hat jedoch, um Bedenken zu zerstreuen, 2005 eine Sicherheitsanalyse bei dem bekannten Kryptoanalytiker Tom Berson (Anagram Laboratories) in Auftrag gegeben, der Skype eine fehlerfreie Implementierung der verwendeten kryptographischen Verfahren und den ausschließlichen Einsatz von Standardprotokollen attestierte. Zumindest, was den Zweck des Einsatzes von RC4 betrifft, sind die Aussagen in der Analyse von Berson und der Arbeit von Biondi und Desclaux jedoch widersprüchlich, da nach Biondi und Desclaux der Einsatz von RC4 lediglich zur Verschleierung dient, nicht aber zur Geheimhaltung.
Ebenfalls im Jahr 2005 wurde im Skype-Client ein Heap-Overflow entdeckt, der sowohl zu einem DoS-Angriff als auch zur Ausführung beliebigen Programmcodes im Kontext des Anwenders genutzt werden kann.
Prinzipiell kann natürlich die Geheimhaltung des Programmcodes allein nicht die Annahme rechtfertigen, dass hier Schwachstellen oder gar absichtliche implementierte Hintertüren verborgen werden sollen. Durch den massiven Einsatz von Techniken zur Verschleierung der internen Programmabläufe sowie der Netzwerkkommunikation über die eigentliche Verschlüsselung hinaus (gerade bei einer kostenlosen Software!), werden jedoch Zweifel genährt, ob es nicht doch etwas zu verbergen gibt.
Durchtunnelung der FW
Wie bereits ausgeführt, kommuniziert Skype durch Firewalls hindurch, indem es z.B. über Standardports wie http oder https verschlüsselten Verkehr leitetet. Die bidirektionale Kommunikation wird dadurch gewährleistet, dass der Skype-Client fortlaufend Anfragen an den ihm aktuell zugeordneten Super Node schickt und dieser wiederum Nachrichten für den Skype-Client als Antwortpakete auf dessen Anfragen deklariert und damit durch die Firewall hindurchschleust.
Diese Technik an sich ist jedoch keine Erfindung von Skype und wird auch von diversen anderen Tools verwendet. Sobald ein Firewall Administrator irgendeine Verbindung von einem Client ins Internet zulässt, kann diese auch zum Tunneln von Verbindungen missbraucht werden. Beispiele hierfür sind DNStunnel , Verwendung von putty für SSH oder SSL Tunnel oder Ping Tunnel. Das bedeutet: Das Durchtunneln einer Firewall ist ein ganz allgemeines Sicherheitsproblem und hat mit Skype originär nichts zu tun. Skype verhält sich hier insofern sogar noch fair, als dass über den aufgebauten Tunnel tatsächlich nur die Instant Messaging und VoIP Funktionen realisiert werden. Andererseits ist die Verärgerung der Firewall Administratoren durchaus verständlich, da ja tatsächlich Daten direkt an Virenscannern oder DLP (Data Leakage Prevention, Maßnahmen gegen den Abfluss vertraulicher Daten aus Unternehmen) Tools vorbeigeschleust werden. Die beschriebene Problematik lässt zudem noch Restzweifel zu, dass sich vielleicht doch eine Backdoor im Skype-Client befindet, die zum nicht autorisierten Zugriff auf Unternehmensdaten geeignet ist.
(openPR) Die Innovations Softwaretechnologie gibt heute die Version 4.3 der Business Rules Management Platform Visual Rules bekannt. Schwerpunkt dieses Releases ist der Team Server, der als zentrales Regel-Repository das teambasierte Management von Geschäftsregeln unterstützt.
Business Rules Management für agile Unternehmen
Unternehmen wie die Volkswagen Bank managen die Geschäftsregeln z.B. für ihre Credit Risk Rating Anwendung mit der Business Rules Management Platform Visual Rules. Visual Rules hilft diesen Organisationen, ihre Systeme dynamisch an neue Anforderungen anzupassen – und das durch die Fachexperten selbst.
Was ist neu in Visual Rules 4.3?
Team Server
Die neue Komponente Visual Rules Team Server ist ein zentrales Regel-Repository. Sie ermöglicht das effiziente Erstellen und Verwalten von Geschäftsregeln im Team. Darüberhinaus erleichtert der Team Server die Wiederverwendung der Regeln, Datenstrukturen und weiterer zugehöriger Ressourcen.
Das Konzept des Team Servers vermeidet Bearbeitungskonflikte durch eine Reihe von Funktionen, z.B. das automatische Sperren der bearbeiteten Ressourcen innerhalb hierarchischer Organisationsebenen sowie Aktualisierungshinweise bei der Bearbeitung.
Die Vergabe von Benutzer- und Team-basierten Berechtigungen kann auf jeder Ebene der Regeln erfolgen.
Der Team Server speichert kontinuierlich alle Änderungsschritte bei der Regelerstellung und -bearbeitung, so dass bei Bedarf zu jeder Zeit vollständige Revisionsfähigkeit gegeben ist.
Modeler
Mit der Version 4.3 werden darüber hinaus Erweiterungen an der Komponente Visual Rules Modeler ausgeliefert:
Ein neuer Test-Browser ermöglicht den schnellen Überblick über definierte Tests.
Regeltests lassen sich jetzt auch für Regeln durchführen, in denen Ausnahmen als Ergebnis zurückgeliefert werden. Dies ist z.B. bei Validierungsregeln der Fall, wenn Eingabedaten ungültig sind.
Werden in Tests vorübergehend einzelne Testfälle nicht benötigt, können sie nun einfach deaktiviert werden.
(openPR) Nach der erfolg-reichen Markteinführung des ersten Handys mit dem Open-Source-Betriebssystem Android in den USA und Großbritannien warten Experten und Verbraucher hierzulande gespannt auf die Auslieferung dieses Smartphones in Deutschland (erstes Quartal 2009). Denn das Android-Handy steht in direkter Konkurrenz mit anderen Mobilgeräten (iPhone, Windows Mobile, BlackBerry) – nicht zuletzt wegen der Vielfalt an möglichen Anwendungen. Neben den Standardanwendungen (Anzeige von Webseiten, Versand von E-Mails und Fotos, Onlineabruf von Landkar-ten/Stadtpläne, Onlinezugriff auf Kontaktadressen) gibt es Zusatzanwen-dungen von Anbietern wie dem Münchener Unified-Communications-Spezialisten ANDTEK GmbH, mit denen sich die Geschäftskommunikati-on via Mobilfunknetz mittels iPhone und Android-Smartphones abwickeln und damit praktisch in die Tasche stecken lässt.
Android ist ein auf Linux und Java basierendes Betriebssystem für mobile Geräte wie Smartphones und Handys. Das Open-Source-Betriebssystem wurde von der „Open Handset Alliance“ unter Federführung von Google entwickelt. Diesem Verbund gehören über 30 renommierte Unternehmen an wie beispielsweise T-Mobile, Sprint, Telecom Italia, NTT DoCoMo, eBay, Motorola, Samsung und China Mobile – der mit rund 350 Millionen Kunden weltweit größte Mobilfunkanbieter.
In den USA und Großbritannien ist das erste Android-Handy („G1“ von T-Mobile) im vergangenen Oktober erfolgreich eingeführt worden. Alleine in den USA haben innerhalb von zwei Wochen 1,5 Millionen Menschen dieses Handy bestellt (zum Vergleich: Die erste iPhone-Version benötigte 74 Tage, bis das millionste Handy verkauft wurde).
In Deutschland ist die Markteinführung von „G1“ laut T-Mobile fest für das erste Quartal 2009 eingeplant. Andere Anbieter wie z.B. Samsung oder Motorola werden zweifelsohne folgen. So will der chinesische Smartphone-Hersteller Huawei ein Android-Handy für den OEM-Markt auf den Markt bringen. Über diesen Vertriebsweg können Distributoren und Händler problemlos Geräte mit individueller Software-Ausstattung unter eigenem Namen verkaufen (im Gegensatz beispielsweise zum iPhone), da der Großteil von Android auf Open-Source-Basis entwickelt und damit frei von Lizenzen ist.
Dem Entwicklergeist sind kaum Grenzen gesetzt. Auf „Android Market“, einem offenen Marktplatz eigens für Android-Anwendungen, können Softwareentwickler ihre Anwendungen ähnlich wie bei „Youtube“ uneingeschränkt einstellen und zum Download anbieten. Von Spielen über Webradio bis hin zu anspruchsvollen Business-Anwendungen soll jegliche Art von Inhalten zur Installation auf dem Smartphone möglich sein.
Neben der direkten Installation von Anwendungen am Mobiltelefon können weitere Dienste über den ausgereiften Web-Browser benutzt werden.
Diese Variante nutzt die Lösung „AND Mobile“ der ANDTEK GmbH, um mobile Geschäftskommunikation auf dem Smartphone direkt in das Unternehmensnetz einzubinden. Durch den WOA-Ansatz (Web Oriented Architecture) stehen diese Funktionen unabhängig vom Betriebssystem nicht nur auf Android-Mobilgeräten sondern auch geräteübergreifend zur Verfügung (beispielsweise sind alle Funktionen auch für das iPhone verfügbar). Damit können mobile Geschäftsanwendungen auch mit Mobilgeräten verschiedenster Hersteller eingesetzt werden, ohne daß eine aufwändige Umstellung im Unternehmen notwendig ist.
Die Flexibilität von „AND Mobile“ erlaubt es, dass Unternehmen und Benutzer ihre Smartphones für geschäftliche Kommunikation nutzen und über das Unternehmensnetz kommunizieren können.
Vorteile des Einsatzes von „AND Mobile“ sind:
Webbasierende Dienste haben den Vorteil, dass keine Installation von An-wendungen am Mobiltelefon notwendig ist. Damit kann auch eine große Be-nutzerzahl schnell in das Unternehmensnetz migriert werden und der Ein-satz von Mobiltelefonen unterschiedlicher Hersteller ist deutlich einfacher zu realisieren.
Alle webbasierenden Dienste und Anwendungen können ohne Einschränkung einfach auf mobile Endgeräte gebracht werden. Neben dem iPhone können damit auch Android-Smartphones einfach in das Unternehmensnetzwerk integriert werden.
Da keine Informationen am Mobiltelefon abgelegt werden, sind die Unternehmensdaten sicher. Wird das Mobiltelefon verloren oder gestohlen, kann der Zugriff vom Unternehmen jederzeit blockiert werden. Diese zentrale Administration erlaubt die Verwaltung von Benutzern und eine detaillierte Zugriffssteuerung.
Durch die Verbindung mit dem Unternehmensnetz können Gespräche vom Mobiltelefon gestartet und über das Unternehmensnetz (per Festnetz) ausge-führt werden. Neben einer besseren Kostenkontrolle bietet diese Funktion auch die Möglichkeit, eine saubere Trennung von Privat- und Dienstgesprächen zu erreichen.
Durch die Integration in das Unternehmensnetzwerk erfolgt die gesamte Kommunikation über eine Firmennummer (Single Number Reach), unabhängig davon, ob mit dem Tischtelefon im Unternehmen oder dem Mobiltelefon telefoniert wird. Zusätzlich haben Anwender Zugriff auf die Anruferliste innerhalb des Unternehmens, selbst wenn sie unterwegs sind. Dies ermöglicht auch eine gemeinsame Anruferliste zwischen Mobil- und Festnetztelefon.
Da die Kommunikation über das Internet gesteuert wird, lassen sich Telefonkonferenzen ortsunabhängig und mit beliebig vielen Teilnehmern via Smartphone abwickeln. Für die Durchführung der Konferenzen werden die vorhandenen Konferenzdienste des Unternehmensnetzes genutzt.
Nutzer können auf ihrem Smartphone die Statusanzeige aller Firmentelefone erkennen und sehen, welcher Kollege verfügbar ist. Damit diese Funktion nur einem bestimmten Nutzerkreis zugänglich ist, können be-liebige Personen via Server gesperrt werden.
Außendienstmitarbeiter können via Smartphone Einblick nehmen in Unter-nehmensdatenbanken wie z.B. CRM-Daten (Customer Relationship Management). Bei Verlust des Mobilgerätes ist die Sicherheit der Unter-nehmensdaten nicht gefährdet, weil die Daten nicht auf dem Smartphone gespeichert sind, sondern per Mobilfunknetz zur Verfügung gestellt werden.
