Sicherheit und Privatsphäre in multimedialen
Transcrição
Sicherheit und Privatsphäre in multimedialen
Sicherheit und Privatsphäre in multimedialen Telekonferenzsystemen am Beispiel von Microsoft NetMeeting Hauptseminar Virtuelle Präsenz WS 2003/2004 Florian Holeczek 28.02.2004 Abteilung Verteilte Systeme Fakultät für Informatik Universität Ulm Inhaltsverzeichnis 1 Einleitung.............................................................................................................................. 3 2 Kurzübersicht über Microsoft NetMeeting............................................................................3 2.1 Warum NetMeeting?...................................................................................................... 3 2.2 Funktionalität von NetMeeting.......................................................................................3 2.2.1 Audio-Video-Übertragung...................................................................................... 4 2.2.2 Chat.........................................................................................................................4 2.2.3 Whiteboard............................................................................................................. 4 2.2.4 Dateiübertragung.....................................................................................................4 2.2.5 Application Sharing................................................................................................ 4 2.2.6 Verzeichnisdienst....................................................................................................4 2.3 Zusatzsoftware................................................................................................................5 2.4 NetMeetings Sicht von Sicherheit.................................................................................. 6 3 Verwendete Protokolle.......................................................................................................... 7 3.1 H.323.............................................................................................................................. 7 3.2 T.120...............................................................................................................................8 3.3 LDAP..............................................................................................................................8 4 Sicherheit und Privatsphäre: Probleme und Lösungsansätze................................................ 9 4.1 Verbindungsaufnahme....................................................................................................9 4.2 Identitätsraub.................................................................................................................. 9 4.3 Firewalls und Network Address Translation (NAT).................................................... 10 4.4 Man in the Middle: Mitlesen der Audio-Video-Daten durch Dritte.............................11 4.5 Freie Bahn bei Application Sharing............................................................................. 11 4.6 Software-Bugs.............................................................................................................. 12 5 Zusammenfassung und Fazit............................................................................................... 13 Literaturverzeichnis............................................................................................................. 14 3 1 Einleitung Multimediale Telekonferenzsysteme werden immer beliebter, wofür es im privaten als auch im geschäftlichen Umfeld viele Gründe gibt. Privatleute lernen nach und nach die Möglichkeit zu schätzen, mit entfernt wohnenden Verwandten oder Freunden besser und billiger kommunizieren zu können. Diese Entwicklung wird durch die fortschreitende Verbreitung von Breitband-Internetanschlüssen wie DSL und die breite Palette an preiswerten USBWebcams noch beschleunigt. Aus unternehmerischer Sicht kommen noch andere Gründe hinzu. Die Kommunikation mit Mitarbeitern an anderen, beliebig weit entfernten Standorten wird besser und zugleich kostengünstiger: Es fallen keine Reisekosten an, keine Arbeitszeit geht durch eine Geschäftsreise verloren, Termine werden kurzfristiger möglich. Es muß sich nicht zwangsläufig um eine Audio-Video-Konferenz handeln: außerdem wird die vernetzte gleichzeitige Arbeit an einem Rechner oder Dokument, auch E-Collaboration genannt, durch solche Systeme ermöglicht. Wie sieht es jedoch mit der Sicherheit und der Privatsphäre in solchen Systemen aus? Die vorliegende Arbeit befaßt sich mit dieser Frage am Beispiel von Microsoft NetMeeting, einem sehr verbreiteten, wenn auch nicht mehr ganz taufrischen Vertreter dieser Softwaregattung. Hierzu wird zunächst die Funktionalität von NetMeeting vorgestellt und dann auf die verwendeten Protokolle eingegangen. Schließlich sollen ausgewählte Beispiele einen Überblick geben, wie es um Sicherheit und Privatsphäre bestellt ist. Eine allumfassende Abhandlung ist aufgrund der Komplexität des Themas allerdings schwer möglich, für weiter- oder tiefergehende Informationen sei daher auf das Internet als reichhaltige Informationsquelle verwiesen. 2 Kurzübersicht über Microsoft NetMeeting 2.1 Warum NetMeeting? Wie bereits erwähnt ist Microsoft NetMeeting teilweise nicht mehr ganz auf dem aktuellen Stand der Technik. Teilweise bedeutet dabei vor allem die erreichbare Qualität der AudioVideo-Übertragung. Da NetMeeting aber aufgrund dessen, daß es als Gratis-Beigabe seit Windows 95 unter die Leute gebracht wird, sehr verbreitet ist (und auch eingesetzt wird) und außerdem von seiner Funktionalität her einen typischen Vertreter multimedialer Telekonferenzsysteme verkörpert, wurde es für diese Arbeit ausgewählt. Desweiteren sind Technologie und Know-How in diverse andere Microsoft-Produkte eingegangen, unter anderem MSN Messenger, Windows Messenger und Office Live Meeting ([10],[11],[12]), und mit ihnen die Sicherheitsproblematik. 2.2 Funktionalität von NetMeeting Im folgenden wird die Funktionalität von NetMeeting1 grob dargestellt. NetMeeting ist zumindest teilweise kompatibel mit allen Versionen bis zurück zur Version 2.0. Jedoch haben grundlegende Features wie Remote Desktop Sharing, Verschlüsselung und die Unterstützung von Gateways und Gatekeepern erst in die Version 3 Einzug gehalten (siehe [7]). 1 Falls nicht anders angegeben beziehen sich alle Angaben auf die Version 3.01, Build 3400. 4 2.2.1 Audio-Video-Übertragung NetMeeting unterstützt eine breiten Palette an Geräten. Jede erdenkliche Audio- oder Videoquelle, sei es nun USB-Webcam oder ausgewachsene Videokamera an einer TV-Karte, wird als Datenlieferant akzeptiert, solange nur die geeigneten Windows-Treiber installiert sind. NetMeeting bietet diverse Einstellmöglichkeiten für Qualität und Videogröße. Der Benutzer hat die Wahl zwischen drei Videogrößen und einer stufenlos regelbaren Videoqualität. Ferner kann zwischen Voll- und Halbduplex Audioübertragung gewählt werden. Das eigene Bild kann entweder ins Eck des Videobildes des Kommunikationspartners eingeblendet werden oder in einem eigenen Fenster angezeigt werden. Zu beachten ist, daß keine AudioVideo-Übertragung in verschlüsselten Sitzungen möglich ist. 2.2.2 Chat NetMeeting bietet einen schlichten, textbasierten Chat an. Der Benutzer kann wählen, ob eine Nachricht an alle oder nur an einen bestimmten Teilnehmer der Konferenz geschickt werden soll. Der Inhalt des Chatfensters ist im HTML-Format exportierbar. 2.2.3 Whiteboard Das Whiteboard bietet auf den ersten Blick lediglich eine einfache Mal-Oberfläche a la Microsoft Paint. Jede Aktion erfolgt jedoch objektorientiert, was unter anderem bedeutet, daß einzelne gezeichnete Komponenten später beliebig verschoben werden können. Außerdem werden mehrere virtuelle Seiten unterstützt. Auch das Einfügen von Bildschirminhalten ist möglich. Weiterhin gibt es Sperr- und Synchronisationsoptionen sowie den sogenannten Remotezeiger, ein entfernter virtueller Zeigestab. Insgesamt läßt sich mit den zur Verfügung stehenden Funktionen eine Tafelzeichnung vor den Kollegen im Büro gut nachbilden. 2.2.4 Dateiübertragung NetMeeting sendet und empfängt beliebige Dateien. Das Senden geschieht wahlweise an einen bestimmten Empfänger oder an alle Konferenzteilnehmer. Empfangene Dateien werden dabei im zentralen Zielordner "Empfangene Dateien" im NetMeeting-Programmordner des Zielrechners gespeichert. 2.2.5 Application Sharing Application Sharing bedeutet die Freigabe und Steuerung einzelner Programme oder des gesamten Desktops für bzw. durch andere Konferenzteilnehmer. Die Steuerung des eigenen Rechners ist jederzeit mit der ESC-Taste sofort abbrechbar. 2.2.6 Verzeichnisdienst NetMeeting-Benutzer können sich auf einem oder mehreren sogenannten ILS- (Internet Locator Service) bzw. früher ULS-Servern (User Locator Service) anmelden. Das Programm bietet davon unabhängig die Auflistung des Inhalts beliebiger ILS-Server an. Leider ist diese Funktion in der Praxis sehr langsam. Außerdem werden die Daten nicht selbständig auf dem aktuellen Stand gehalten. Aufgrund hohen Missbrauchs der Server (u.a. 0190-Anbieter) ist diese Funktion von NetMeeting nicht sinnvoll einsetzbar. 5 2.3 Zusatzsoftware Zu NetMeeting gibt es jede Menge Zusatzsoftware. Microsoft selbst bietet das NetMeeting Resource Kit an, in dem eine über 250 Seiten umfassende Dokumentation, eine Policy-Datei für die manuelle Konfiguration einer benutzerdefinierten Version von NetMeeting sowie der Resource Kit Wizard enthalten sind, der dies automatisiert. Angepaßt werden können AudioVideo-Einstellungen, Bandbreitenlimits fürs Netzwerk sowie Support-Funktionen. Außerdem gibt es noch das NetMeeting SDK (Software Development Kit), das allerdings nicht mehr offiziell verfügbar ist. Mit dem SDK lassen sich die Funktionen von NetMeeting mittels APIs für C, C++, Visual Basic, JavaScript oder VBScript in eigene Programme einbinden. Das wohl bekannteste Produkt, das dies tut, ist der T-Online Messenger (TOM), der auf Abbildung 1 zu sehen ist. Desweiteren existieren eine Vielzahl an Tools von Drittherstellern (siehe z.B. [13]). Abbildung 1: T-Online Messenger 6 2.4 NetMeetings Sicht von Sicherheit Abschließend folgen nun ein paar Worte über NetMeetings Sicht von Sicherheit. Allgemein kann man sagen, daß in NetMeeting Sicherheit als Add-On gehandelt wird, was sich am Zitat "Security is a new feature in NM3" (siehe [8]) gut ablesen läßt. Auch im Programm wird diese Metapher weiter verwendet (siehe Abbildung 2). Es erfolgt keine klare Unterscheidung zwischen Authentifizierung und Verschlüsselung. Im wesentlichen bietet NetMeeting Passwortschutz für geleitete Konferenzen, Benutzerauthentifizierung mittels Zertifikaten des angemeldeten Benutzers oder des Rechners sowie Verschlüsselung der übertragenen Daten an. Audio-Video-Daten sind hiervon jedoch ausgenommen. Außerdem ist eine Benutzerauthentifizierung ohne Datenverschlüsselung nicht möglich, was bedeutet, daß sich der Benutzer zwischen Authentifizierung und Audio-Video-Übertragung entscheiden muß. Bei allen anderen Sicherheitsaspekten wird dazu geraten, es über Policies zu lösen. Davon abgesehen, daß diese vom Benutzer umgangen werden können, läuft diese Art der Sicherheitspolitik lediglich auf ein Abschalten eventuell riskanter Funktionen hinaus (siehe [1]). Abbildung 2: NetMeeting-Dialog "Optionen", Reiter "Sicherheit" 7 3 Verwendete Protokolle Die Empfehlungsserien T.120, H.320, H.323, und H.324 der ITU-T2 stellen den Kern für multimediale Telekonferenzen dar (siehe Abbildung 3). NetMeeting unterstützt die Standards H.323 und T.120. Daher ist es mit anderen H.323-Produkten wie z.B. AVM Alice oder GnomeMeeting kompatibel. Bezüglich T.120 hapert es mit der Kompatibilität allerdings. Vermutlich ist der Grund hierfür, daß ein Teil davon noch nicht endgültig verabschiedet war, als NetMeeting entwickelt wurde. Jede Empfehlungsserie besteht aus mehreren Teilempfehlungen. Die Serien nehmen auch teilweise aufeinander bezug. Alle Protokolle unterscheiden zwischen Signalisierungs- und Nutzdaten. Abbildung 3: Empfehlungsserien der ITU-T (Quelle [6]) 3.1 H.323 Bei H.323 handelt es sich um eine Empfehlungsserie für Audio- und/oder VideoKonferenzen über paketbasierte Netze ohne Quality-of-Service-Garantie, wie das Internet mit TCP/IP eines ist. H.323 ist nicht zuletzt aufgrund seiner frühen Verfügbarkeit das am weitesten verbreitete Protokoll seiner Art. Per Definition ist es außerdem in der Lage, Verbindungen auch zu Geräten nach H.320 und H.324 aufzubauen und definiert hierzu die Gerätegruppen Terminal (Endpunkt einer Verbindung), Gatekeeper (zentrales Steuerelement für das Routen der Rufsignalisierung, die Auflösung von Telefonnummern bzw. IPAdressen), Gateway (Übergang in fremde Netze inkl. einer evtl. damit verbundenen Protokollumsetzung) und Multipoint Control Unit (MCU, zuständig für Konferenzschaltungen). Außerdem werden Codecs für die Kodierung und Dekodierung der Audio- und Videodaten definiert. Die Übertragung des H.323-Protokolls geschieht über das Real-Time Protocol (RTP, für die Nutzdatenübertragung) sowie das Real-Time Control Protocol (RTCP, für die Signalisierungsdatenübertragung). Das H.323-Protokoll verwendet mehrere 2 Abk. f. International Telecommunications Union, Telecommunication Standardization Sector. Ein Normierungsgremium hauptsächlich für Telekommunikation mit Sitz in Genf. 8 statische und dynamische TCP- und UDP-Ports, was, wie wir noch sehen werden, ein gewisses Manko darstellt. 3.2 T.120 Der T.120-Standard wurde 1994 von der ITU verabschiedet [14]. Er umfaßt eine Reihe von Unterpunkten, die zusammen eine echtzeitfähige, optional verschlüsselte (T.123 Annex B) Punkt-zu-Mehrpunkt-Datenkonferenz (T.124) mit den Merkmalen Dateitransfer (T.127), Application Sharing, Chat, Standbild (T.126) erlauben. Dabei kann T.120 entweder für alleine oder im Verbund mit anderen ITU-Standards wie H.323 genutzt werden, was bei NetMeeting der Fall ist. Microsoft spricht von einem T.128-Teilstandard für Application Sharing ([7]), jedoch befindet sich dieser noch im Status Draft, was wohl der Grund dafür ist, daß dieses Feature nur funktioniert, wenn der bzw. die Konferenzteilnehmer ebenfalls NetMeeting einsetzen. T.120 definiert außerdem verschiedene Netztopologien. Es gibt sternförmige, kaskadierte und Daisy-Chain-Topologien. Der Aufbau der Netztopologie erfolgt in NetMeeting sozusagen automatisch, je nachdem wer wen in welcher Reihenfolge anruft. 3.3 LDAP LDAP ist die Abkürzung für Leightweight Directory Access Protocol. Es ist aus dem OSIVerzeichnisdienst X.500 hervorgegangen und stellt sozusagen eine vereinfachte, speziell auf TCP/IP zugeschnittene Version des X.500-Verzeichnisprotokolls DAP dar ([14]). Es ist im Internet-Standard RFC 1777 definiert. Die erste Version von LDAP ist im Jahre 1993 erschienen, mittlerweile ist Version 3 gültig. LDAP wird in "nahezu standardkonformer" Form von NetMeeting für den Zugriff auf einen ILS-Server verwendet. Nahezu standardkonform deshalb, weil es im Grunde die Version 2 mit einigen Erweiterungen verwendet, die offiziell erst mit der Version 3 verabschiedet wurden. Der Grund hierfür ist der, daß NetMeeting genau zu der Zeit entwickelt wurde, als LDAPv3 noch in Arbeit war. 9 4 Sicherheit und Privatsphäre: Probleme und Lösungsansätze Nachdem wir nun die Funktionalität von NetMeeting sowie die verwendeten Protokolle kennengelernt haben läßt sich bereits erkennen, daß Sicherheit und Privatsphäre sehr komplexe Themen sind. Durch die Schachtelung bereits für sich gesehen sehr komplexer Protokolle entsteht schnell ein undurchschaubares Knäuel. Ein grundlegendes Sicherheitsproblem schon zur Entwicklungszeit ist sicherlich, daß wie in Kapitel 2.4 schon erwähnt Sicherheit als Add-On gesehen wird, das einfach nachträglich noch hinzuprogrammiert wird. Hierbei wird dem Benutzer Sicherheit vorgetäuscht, die gar nicht existiert. Dies ist noch gefährlicher als gar keine Sicherheitsfeatures zu bieten, da der Benutzer gar nicht erst mit Sicherheitsproblemen rechnet. Bei der Entwicklung von H.323 ist das genannte Problem offenbar ebenfalls aufgetaucht: Es drängt sich der Verdacht auf, daß sich zur Designzeit wohl niemand mit Sicherheitsaspekten des Protokolls beschäftigt hat, wie wir noch sehen werden. Es folgt nun eine Liste ausgewählter "Problemzonen" von Sicherheit und Privatsphäre, inklusive einiger Lösungsansätze hierzu. Ansätze deshalb, weil es in vielen Fällen einfach keine praktikable Lösung gibt. 4.1 Verbindungsaufnahme Bereits bei der Verbindungsaufnahme gibt es einige Unzulänglichkeiten. Aufgrund der Tatsache, daß Verschlüsselung nur in reinen Datenkonferenzen zur Verfügung steht und Authentifizierung von Benutzern wiederum nur in Verbindung mit Verschlüsselung verwendbar ist, folgt, daß für Audio-Video-Konferenzen keine Benutzerauthentifizierung zur Verfügung steht. Ein weiteres Problem ist die Möglichkeit der Verletzung der Privatsphäre, wenn man an einem öffentlichen Verzeichnisserver angemeldet ist. Aufgrund der Art der Verwendung durch 0190-Anbieter und co. als eine Art Internet-Rotlichtviertel ist diese Art der Verbindungsaufnahme sowohl für das geschäftliche Umfeld als auch für Minderjährige nicht geeignet. Hier hat Microsoft bereits reagiert und bietet im Folgeprodukt Windows Messenger nur noch den Verbindungsaufbau über die sogenannte Buddy-Liste an, wodurch Unbekannte von vornherein ausgesperrt werden. Eine weitere Unschönheit, die jedoch ein allgemeines Problem des Internet darstellt, ist die Notwendigkeit der impliziten oder expliziten Preisgabe der eigenen IP-Adresse, womit sowohl durch Rückschlüsse verschieder Art (Topologie des Firmennetzes, Provider, Ort, usw.), als auch durch direkte Angriffe sowohl Sicherheit als auch Privatsphäre in Mitleidenschaft gezogen werden können. Auch ist die in 3.1 erwähnte MCU als zentrale Verteilungsstelle der Konferenzdaten ein beliebter Angriffspunkt für Hacker, dessen Kompromittierung für den normalen NetMeetingBenutzer im Normalfall unbemerkt bleiben wird. 4.2 Identitätsraub Aufgrund der Tatsache, daß sämtliche Benutzerdaten in NetMeeting wie Name, E-MailAdresse, Ort usw. frei konfigurierbar sind, läßt sich leicht in die Rolle einer anderen Person schlüpfen. Dies ist in Verbindung mit der wie in 4.1 gezeigten oft fehlenden Benutzerauthentifizierung der erste Schritt in Richtung Social Engineering. Fällt der Betrug auf, ist es möglicherweise schon zu spät, weil etwa geheime Geschäftsunterlagen bereits zum Betrüger 10 transferiert worden sind. Doch auch wenn die Benutzerauthentifizierung verwendet wird bedeutet dies nicht wirklich mehr Sicherheit. Standardmäßig erfolgt die Authentifizierung lediglich anhand eines von NetMeeting generierten Zertifikats für den Benutzer eines Rechners, wahlweise sogar nur für den gesamten Rechner. Damit steht natürlich noch lange nicht fest, wer zum Zeitpunkt der Verbindungsaufnahme wirklich davorsitzt. Eine weitere Möglichkeit des Identitätsraubs ist die Kompromittierung eines Verzeichnisservers. Derjenige, der hierauf Zugriff hat, kann natürlich sämtliche Datensätze der angemeldeten Benutzer nach Belieben verändern und somit beispielsweise Verbindungen auf sich umleiten. 4.3 Firewalls und Network Address Translation (NAT) Nummer 389 522 1503 1718 1719 1720 1731 >1024 >1024 Protokoll TCP TCP TCP UDP UDP TCP TCP TCP Typ Statisch Statisch Statisch Statisch Statisch Statisch Statisch Dynamisch Funktion ILS ULS T.120 Gatekeeper discovery Gatekeeper RAS H.323 call setup (Q.931) Audio call control H.323 call control (H.245) H.323 audio video RTP/UDP Dynamisch streaming Tabelle 1: Von NetMeeting verwendete Ports Tabelle 1 zeigt alle von NetMeeting verwendeten Ports. Wie man sieht sind dies eine ganze Menge, wobei das Öffnen eines Ports in einer Firewall jeweils einen weiteren kleinen Angriffspunkt bedeutet. Wirklich problematisch sind jedoch die letzten beiden Zeilen von Tabelle 1. NetMeeting verwendet, da es das H.323-Protokoll so vorsieht, dynamische Ports, was eine gängige paketfilterbasierte Firewall vor ein unlösbares Problem stellt, da diese das H.323-Protokoll nicht mitverfolgt. Als Lösungen fir eine paketfilterbasierte Firewall bieten sich lediglich an: • den betreffenden Rechner außerhalb der Firewall zu betreiben. Dies bedeutet, daß man ihn möglichst von Firmennetz isolieren sollte und auch nicht zu videokonferenzfremden, sicherheitskritischen Zwecken verwenden sollte. • große Löcher in der Firewall zu öffnen. Die schlechteste aber einfachste Lösung, bei niedrigen Sicherheitsanforderungen jedoch trotzdem realistisch. • einen H.323-Proxy zu verwenden, der als Gateway fungiert und die Videokonferenzdaten durch die Firewall oder an ihr vorbei leitet. • einen Tunnel durch ein virtuelles privates Netzwerk (VPN) zu verwenden, was einen nicht unerheblichen initialen Aufwand sogar bei beiden Videokonferenzteilnehmern erfordert und somit nur bei regelmäßig abgehaltenen Konferenzen sinnvoll ist. 11 Firewalls, die das H.323-Protokoll erkennen und mitverfolgen und so gezielt die dynamischen Ports öffnen und wieder schließen können, sind heutzutage noch nicht sehr weit verbreitet und glänzen oft noch mit Fehlern im H.323-Protokollhandling, was wohl nicht zuletzt an der hohen Komplexität dieses Protokolls liegt (siehe z.B. [15]). Einige Hersteller von H.323-Videokonferenzprodukten erlauben die Einschränkung der dynamischen Ports auf einen benutzerdefinierten Bereich. Dies ist jedoch nicht standardkonform und verhindert die volle Kompatibilität zu anderen H.323-Produkten. NetMeeting unterstützt solche Funktionen nicht. Speziell bei Verwendung von Network Address Translation (NAT), also der Umsetzung interner (LAN-) auf externe (WAN-) Adressen gibt es eine weiteres Problem, das in H.323 begründet liegt. Das H.323-Protokoll sendet in seinen Paketen die IP-Adresse des lokalen Rechners mit, was unter Umständen eine lokale, nicht routingfähige Adresse ist (z.B. der Form 192.168.x.y). Ohne weitere Behandlung durch die NAT-Software kann der Zielrechner natürlich nichts damit anfangen, da eine Antwort auf dieses Paket nicht mehr möglich ist. Als Lösungsansätze hierfür bieten sich die bereits genannten H.323-Proxy oder VPN-Tunnel an, alternativ das Betreiben des Rechners "direkt am Internet". Ein anderes Problem, das zu einer Verfälschung von Daten auf alleroberster Ebene, nämlich der Interpretation durch den Menschen, führt, ist die effektive Erhöhung der Zeit für die Übertragung eines Pakets durch die Analyse einer oder mehrerer Firewalls auf dem Weg zum Empfänger. Übersteigt diese Latenzzeit einen bestimmten Toleranzbereich, so wird dies vom Empfänger unter Umständen als Zögern mißdeutet. 4.4 Man in the Middle: Mitlesen der Audio-Video-Daten durch Dritte Da Audio-Video-Daten nach H.323 nicht verschlüsselt werden besteht die Gefahr des Mitlesens dieser Daten durch Dritte. Die Tatsache, daß diese Daten auch noch verbindungslos per UDP übertragen werden, machen es dem Lauscher noch einfacher. Quelle [2] beschreibt, wie einfach dies mit einigen Bordmitteln funktioniert. Mittels eines Paketsniffers werden Kopien der Pakete angefertigt, deren Inhalt an ein Abspielprogramm weitergeleitet wird. Dank der von H.323 standardisierten Codecs gibt es nicht allzuviele Möglichkeiten, welcher Codec zum Einsatz kommt. Abhilfe bieten Standards wie IPsec, die eine Ende-zu-Ende-Verschlüsselung der IP-Pakete übernehmen. Das Einrichten einer solchen Verbindung ist allerdings mit einem gewissen Aufwand verbunden und lohnt sich daher erst, wenn es zu regelmäßigen Konferenzen kommt. Hinzu kommt, daß es für die Zielplattform natürlich eine IPsec-Implementierung geben muß. Ein Lösungsansatz, der sich noch im Entwurfsstatus befindet, ist das Secure Real-Time Transport Protocol (SRTP), das für die RTP- und RTCP-Pakete Sicherheitsdienste wie Vertraulichkeit und Authentifizierung/Integrität bietet ([2]). 4.5 Freie Bahn bei Application Sharing Wie bereits in 2.2.5 erwähnt gibt es zwei Arten des Application Sharing, die Freigabe entweder einzelner Anwendungen oder des gesamten Desktops. Daß die Freigabe des gesamten Desktips ein enormes Riskio für Sicherheit und Privatsphäre darstellt dürfte jedem sofort einleuchten. Jedoch steht die Freigabe einzelner Applikationen diesem oft in nichts nach. Gefahren stellen z.B. die in den meisten Office-Programmen integrierten Makros und Skriptsprachen dar. Auch wenn die Fragebe für einen entfernten 12 Benutzer erfolgt, so laufen die Programme doch mit den Rechten des lokal angemeldeten Benutzers. Dadurch wird mindestens der Zugriff auf sämtliche benutzereigenen Dateien möglich, meist sogar dank Administratorrechten auf die komplette Festplatte und in Firmen auf Netzlaufwerke. Auch kann die Privatsphäre beispielsweise bereits durch das Anzeigen aller Dateien im "Eigene Dateien"-Verzeichnis gestört werden. Weiterhin muß der entfernte Benutzer nicht bösartig handeln: kurz versehentlich eine Datei über eine bereits existierende gespeichert und schon sind wichtige Daten unwiederbringlich gelöscht. Da hilft dann auch das schnelle Drücken auf die ESC-Taste für das Entziehen der Steuerungserlaubnis nichts mehr. 4.6 Software-Bugs In einer Software, die so komplex ist wie NetMeeting, tritt natürlich auch das Problem von Bugs auf. In der Geschichte von NetMeeting gibt es einige Programmfehler der typischen Art. NetMeeting 2.0 hatte einen Buffer-Overflow-Fehler beim Lesen von .cnf-Dateien, die Verbindungsinformationen enthalten ([9]). Es bot also die Möglichkeit, beliebigen in den betreffenden String eingeschleusten Code im Kontext des gerade angemeldeten Benutzers auszuführen. Eine weitere, relativ junge Angriffsmöglichkeit ist eine Denial-of-Service(DoS)-Attacke auf einen Rechner, auf dem NetMeeting mit der Remote-Desktop-Freigabe läuft. Hierzu ist es nicht nötig, eine NetMeeting-Verbindung aufzubauen. Außerdem gibt es noch die sogenannte Directory-Traversal-Vulnerability ([19]), die es ermöglicht, übertragene Dateien außerhalb des "Empfangene Dateien"-Verzeichnisses an beliebiger Stelle zu speichern. Software-Bugs gibt es natürlich auch in den vielen an einer Videokonferenzinfrastruktur beteiligten Fremdprodukten, wie die bereits genannte Schwachstelle der Checkpoint Firewall-1 ([15]) oder die Möglichkeit einer DoS-Attacke auf allerlei H.323-Geräte der Firma Cisco ([17]). Lösungsmöglichkeiten hiergegen gibt es außer dem Einspielen verfügbarer Patches keine. Gegen die Übetragung von Viren schützt jedoch die Software BitDefender Antivirus for NetMeeting ([18]). 13 5 Zusammenfassung und Fazit Die Komplexität der Software und der verwendeten Protokolle führ zu einer verzwickten Sicherheitsproblematik, die selbst für Fachleute nicht trivial ist. Die Frage nach der Wahrung der Privatsphäre wird für den Benutzer äußerst schwierig bis gar nicht beantwortbar. Dies erweckt bei manchen Ängste und verhindert eine Nutzung der Technologie, andere wiederum kümmern Sicherheit und Privatsphäre wenig. Dort führt die Unbekümmertheit zuweilen zum Daten-GAU. Die Ursachen für viele der angesprochenen Probleme liegen in der fehlenden Beachtung von Sicherheitsaspekten zur Entwurfszeit der Protokolle und der Software. Sicherheit läßt sich nicht durch nachträgliche Flickschusterei erreichen, sondern muß von vornherein eingeplant und bedacht werden. Leider ist eine weitere Quelle von Problemen das Unwissen um bzw. die Nichtbeachtung von sehr wohl bereits vorhandenen Sicherheitsmechanismen. In solchen Fällen kann die Technik dem Benutzer natürlich weder weiterhelfen noch Verantwortung abnehmen. Die Probleme sind aber wohl erkannt und es gibt bereits erste Entwürfe, die sehr vielversprechend sind (z.B. SRTP). Trotzdem muß das junge Feld der virtuellen Präsenz aufpassen, denn viele der genannten Probleme lassen sich im Prinzip auf andere Anwendungen dieses Gebiets, wie z.B. virtuelle Welten, übertragen. Literaturverzeichnis [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] Shenton, C.: NetMeeting Security Concerns and Deployment Issues (1998), http://www.shenton.org/~chris/nasa-hq/netmeeting/ Lo Iacono, L.: Rote Telefone. Abhören von IP-Telefonaten, iX 5/2002, S. 118 Ehrmann, S.: Schau mir in die Augen, Oma. Videotelefonieren mit Windows und MacOS X, c't 22/2003, S. 106 Roedig, U., Görtz, M., Steinmetz, R.: H.323 und Firewalls. Probleme und Lösungen, https://www.vc.dfn.de/doku/firewalls/firewallstudie-H.323.pdf Siering, P.: Bei Bildstörungen... Praxistipps rund um die Videotelefonie, c't 17/2002 http://telecom.htwm.de/telecom/artikel/trendlinien_der_kt/sld033.htm Microsoft Windows NetMeeting 3 Resource Kit Technical Guide, Microsoft Corporation, Bestandteil des NetMeeting 3 Resource Kits Security in NetMeeting 3 http://www.microsoft.com/windows/NetMeeting/Features/security/ http://atzenger18.informatik.tu-muenchen.de/lehre/seminare/semsoft/unterlagen_02/ sicher2/website/#buffer MSN Messenger, http://msnmessenger.msn.de/ Windows Messenger, http://www.microsoft.com/windows/messenger/ Office Live Meeting, http://www.microsoft.com/office/livemeeting/prodinfo/ http://www.nmtoolbox.com/ Häfner, U.: Computer Supported Cooperative Work (1997), http://www.kbs.uni-hannover.de/Arbeiten/Diplomarbeiten/98/hfn_html/ Heise Security News, Checkpoint FireWall-1 anfällig über H.323-Schwäche, 30.01.2004, http://www.heise.de/security/news/meldung/44170 MS Windows NetMeeting Homepage, http://www.microsoft.com/windows/NetMeeting/ Heise Security News, Ciscos H.323-Implementierung für DoS-Attacken anfällig, 14.01.2004, http://www.heise.de/security/news/meldung/43604 BitDefender Antivirus for NetMeeting, http://www.johannrain-softwareentwicklung.de/ e_bd_netmeeting_antivirus_freeware.htm NetMeeting Directory Traversal Vulnerability, http://www.securiteam.com/windowsntfocus/5LP071PAKS.html