Skype ist sicher, trotz Sicherheitsleck

Der unabhängige Sicherheitsexperte Tom Berson hält Skype für vertrauenswürdiger als das normale Telefon.

Artikel erschienen in Swiss IT Magazine 2005/20

     

In der äusserst populären
VoIP-Software Skype wurden drei schwerwiegende Sicherheitslücken entdeckt. Die Fehler, die von mehreren Bugjägern entdeckt worden, erlauben in der Windows-Version des Einschleusen und Ausführen von bösartigem Code. Zudem ist es möglich, mit bestimmten Netzwerkpaketen den Skype-Client auf sämtlichen Plattformen zum Absturz zu bringen, da durch eine fehlerhafte Längenüberprüfung Speicher überschrieben werden kann. Entsprechende Fixes sind inzwischen erschienen, und ein Update wird von den Entwicklern dringend angeraten.






Doch Skype ist wegen dieser Sicherheitslücken nicht per se unsicher. So hat Tom Berson, unabhängiger Kryptologe, IT-Sicherheitsexperte und Partner der International Association for Cryptologic Research, den Kryptographie-Einsatz bei Skype untersucht. Er hatte unter anderem Zugriff auf den Source-Code von Skype und hat neben der Kryptografie-Implementierung auch den restlichen Code untersucht. Er ist zum Schluss gekommen, dass die Implementierung dem aktuellen Stand der Technik entspricht und als sicher angesehen werden kann. Insbesondere die Authentifizierung und Autorisierung beim Aufbau der Session zwischen zwei Anwendern und dem zentralen Computer von Skype hat ihn überzeugt – sogar so, dass er erklärt, dass er eine Skype-Session für vertrauenswürdiger hält als eine herkömmliche Telefonverbindung. Allerdings ist dadurch nicht ausgeschlossen, dass die Software durch Programmierfehler ausgehebelt werden kann. Auch für die Skeptiker, die fürchten, dass in Skype Malware oder Spionagesoftware enthalten ist, hält Tom Berson eine beruhigende Nachricht bereit: Er konnte im von ihm untersuchen Code keinerlei Anzeichen von Spyware oder ähnlichen Schadprogrammen entdecken.


VoIP nicht sicher genug

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zu den Bedrohungspotentialen von VoIP veröffentlicht. Sie kommt zum Schluss, dass es nur noch eine Frage der Zeit sei, bis spektakuläre Angriffe auf VoIP-Installationen ausgeführt werden. Zudem wird kritisiert, dass Anwender nur die Kostenvorteile von VoIP im Blick haben und diese schwinden, sobald sichere Systeme benötigt werden. Insbesondere von Software-Telefonen rät das BSI ab.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER