> > > > Skype-Lücke ermöglicht Angreifern Identifikation von Filesharing-Nutzern

Skype-Lücke ermöglicht Angreifern Identifikation von Filesharing-Nutzern

DruckenE-Mail
Erstellt am: von

skypeEine Studie von mehreren Wissenschaftlern aus Deutschland, Frankreich und den USA zeigt unter dem Titel "I Know Where You are and What You are Sharing", eine problematische Verhaltensweise im Skype-Protokoll auf, die zur Erstellung von Bewegungsprofilen und Identifikation von Filesharing-Nutzern dienen kann. Dabei ist es möglich, per Anruf die IP eines Skype-Nutzers herauszufinden, ohne dass dieser etwas davon bemerkt. Selbst dann, wenn dieser unbekannte Nutzer oder den Angreifer blockiert.

Die meisten Messenger und VoIP-Programme basieren auf P2P-Techniken. Die Kommunikation zwischen zwei Partner kommt dabei direkt zustande, die Server des Anbieters dienen vorallem zur Vermittlung und Identifikation der Nutzer. Der direkte Austausch der IP-Adressen ist deshalb zwangsläufig notwendig, wenn die Verbindung aufgebaut wurde. Im Falle des in der Studie verwendeten Skype, wird diese IP-Adresse auch bis zu 72 Stunden nach dem ein User gesehen wurde noch gespeichert und übermittelt. Die Forscher waren darüber in der Lage die jeweilige IP beim Kommunikationsaufbau herauszufiltern, trotz der Protokoll-Verschlüsselung die Skype einsetzt. Selbst wenn sich der Nutzer hinter einem NAT befand, war eine exakte Zuordnung möglich.

Dabei war es durch das Blockieren bestimmter Pakete möglich, dass dem Angerufenen der Verbindungsversuch nicht wie üblich angezeigt wurde, selbst wenn dieser online war. Zudem schützen die Einstellungen für die Privatsphäre nicht vor der Identifikation. Egal ob man nur Anrufe von Nutzern auf seiner Kontaktliste haben wollte oder diese angreifende Nummer direkt blockierte, die IP konnte immer erlangt werden. Die Studie zeigt dabei diverse Bedrohungsszenarien auf. Zunächst ist es möglich einen bestimmten Skype-Namen zu recherchieren und diesen dann regelmäßig versuchen zu erreichen. Da Skype unabhängig vom Status die aktuelle oder letzte bekannte IP bekannt gibt, lassen sich damit - zumindest rudimentäre - Bewegungsprofile erstellen und der aktuelle Aufenthaltsort zeitnah herausgefunden werden. 

Um zu zeigen, dass sich die gewonnen Daten relativ einfach mit anderen Informationen verknüpfen lassen, nutzte man 100.000 zufällig ausgewählte Skype-Accounts und untersuchte deren BitTorrent-Aktivitäten. Über einen BitTorrent-Crawler und den von diversen Clients genutzten DHT (Distributed Hash Table) zum Auffinden von Peers, war man in der Lage regelmäßig die IPs bei den 50.000 beliebtesten Dateien abzugreifen. Dabei ergaben sich rund 15.000 Übereinstimmungen mit den über Skype gesammelten IP-Daten. Nach dem Ausschluss von unklaren Fällen und geteilten Anschlüssen, konnte man immerhin noch 400 Nutzer exakt identifizieren und welche Daten sie per Filesharing übertrugen. Diese Accounts gaben fast alle öffentlich ihren Namen, Wohnort und Land bei Skype an.

In der vorgestellten Studie weisen die Autoren auf die Möglichkeiten des Stalkings und der Erpressung hin, die die Lücke ermöglicht. Ebenso ließen sich so Statistiken erstellen, welche (Skype-)Nutzer wann welche Daten heruntergeladen haben. Die bereits Ende letzten Jahres durchgeführten Tests und Erkenntnisse wurden Skype bereits damals mitgeteilt, jedoch hat Skype bisher keine Anstrengungen unternommen diese Lücke zumindest teilweise zu beheben. Die Problematik betrifft allerdings nicht nur Skype, sondern ließe sich nach Aussage der Autoren möglicherweise auch über andere parallel laufende Dienste realisieren. Die Studie wird man auch auf der Internet Measurement Conference im November in Berlin vorstellen.

Weiterführende Links: