Ist skype unsicher?

**Pätschi** · 23.10.2007, 17:59

Hi,

ich war heute bie einem händler, der mich darauf aufmerksam machte dass Skype unsicher sei! Unsicher in dem Sinne, das es Daten von mir ausliest. Durch den verkauf von Daten würde sich Skype angeblich auch finanzieren. Außerdem sei skype ein offenes scheunen Tor zu meinem computer.

Ist was an diesen Behauptungen dran? Gilt Skype als unsicher? Sollte ich auf einen anderen messenger umsteigen?

Viele Grüße,
P

**HotBot** · 23.10.2007, 18:12

Zitat von Pätschi

Durch den verkauf von Daten würde sich Skype angeblich auch finanzieren.

Es ist doch jedem freigestellt, wie umfangreich er sein Profil ausfüllt.

**Pätschi** · 23.10.2007, 18:16

Naja, nach einem Artikel in Heise.de wurde sogar das Bios ausgelesen. Denke das es nicht um die profile geht, sondern um alles andere auf dem computer

**linux-luder** · 23.10.2007, 18:32

Gegenfrage, welches Programm ist denn bei Dir "sicher"?
Unter IT-Fachleuten ist Skype nicht sonderlich beliebt, andersrum kann man mal gut beobachten wie simpel Firewalls ausgetrickst werden koennen.
Jedes dieser Messengerprogramme hat irgendwann mal Sicherheitsmaengel, ich persoenlich nutze es nur wenn es unbedingt sein muss.

Andy1 · 23.10.2007, 20:15

Beliebt kann man wirklich nicht sagen.
In meinen Augen ist Skype sehr unsicher, aber jeder kann selbst seine Schlussfolgerungen ziehen.

1.Es wird vom Hersteller die Untersuchung des Protokolls (Reverse Engineering) absichtlich erschwert (Verschlüsselung).
2.Auch das Programm Skype ist bewusst verschlüsselt, um die Untersuchung zu erschweren (Binary Protection).
3.Das Protokoll ist proprietär und nicht offengelegt.
4.Es ist somit nicht nachvollziehbar, was Skype im Hintergund treibt (vorsätzliche Entstellung des Verkehrs -> Jam traffic).
5.Der eigene Rechner dient als Server (Proxy) für andere (unbekannte) Nutzer. Umgekehrt fließen u.U. eigene Daten über Rechner Fremder.
6.Das Programm bohrt eigenständig Löcher durch die Firewall (weshalb es auch so einfach zu installieren ist).
7.Verschlüsselung im Programm nicht zugunsten der Privatsphäre der Anwender.
8.Abhören der Kommunikation durch Skype und durch andere möglich.
9.Es gibt bekannte Sicherheitslücken (Stand März 2007), die Skype zum Absturz bringen können und dem Angreifer Zugriff auf das System gewähren (Exploits).

Leider haben viele Firmen Skype im Einsatz und wollen oder (können) nicht mehr wechseln, aus welchen Gründen auch immer.

**GreatValue** · 23.10.2007, 22:40

Zitat von Andy1

6.Das Programm bohrt eigenständig Löcher durch die Firewall

Ist das nicht eher ein Armutszeugnis für die Firewalls?
Die Firewall wird ja nicht verändert oder ausgeschaltet, sondern es wird halt einfach über Port 80 kommuniziert. Eigentlich eher ein Beweis dafür, dass die Firewalls nicht so viel abhalten wie sie versprechen.

Andy1 · 24.10.2007, 06:20

Nein, kein Armutszeugniss für die Firewall und auch nicht für den Admin.

Das liegt micht an der Konfiguration dieser, sondern einfach eben daran was ich schon schrieb, das Protokoll welches Skype verwendet ist eben nicht bekannt und daher.

Nachzulesen auch hier:
http://comment.univie.ac.at/06-2/27/

**GreatValue** · 24.10.2007, 08:41

Zitat von Andy1

Nein, kein Armutszeugniss für die Firewall und auch nicht für den Admin.

Das liegt micht an der Konfiguration dieser, sondern einfach eben daran was ich schon schrieb, das Protokoll welches Skype verwendet ist eben nicht bekannt und daher.

Nachzulesen auch hier:
http://comment.univie.ac.at/06-2/27/

In diesem Link ist auch die Orginal Präsentation verlinkt welche der Auslöser für die ganzen Diskussionen war.

Dort steht doch eigentlich ziemlich klar auf Seite 78 wie man die Firewall konfigurieren muss um Skype abzuklemmen. Ich kenne mich mit iptables nicht aus, aber in den Folien ab Seite 78 stehen ziemlich viele Konfigurationseinträge mit dem Zusatz "How to make Skype deaf and dumb" (Wie man Skype taub und dumm macht).

Andy1 · 24.10.2007, 08:53

Hier noch in deutsch.
http://www.heise.de/security/artikel/82054

**GreatValue** · 24.10.2007, 10:08

Bei dem Heise Artikel klingt das ganze aber etwas "entspannter" (zumindest in meinen Ohren):

"Eine weiterentwickelte Form hat es sogar in den Rang eines Quasistandards geschafft: RFC 3489 beschreibt mit "Simple Traversal of UDP through NAT" - kurz STUN - ein Protokoll, mit dem zwei STUN-Clients unter Mithilfe eines STUN-Servers die Beschränkungen von NAT in vielen Fällen umgehen können"

Offensichtlich ist das beschriebene Verfahren für UDP nichts neues.

Allerdings steht in der Präsentation auch drin, dass Skype nicht auf UDP angewiesen ist, und auch komplett über TCP arbeiten kann. Wie das genau geht steht allerdings bei Heise nicht drin. Nur ein Hinweis im letzten Satz, dass es auch irgendwie über TCP geht (wenn auch etwas schwieriger)